Пост Лукацкого
Задал я тут Минцифре официальный вопрос о том, надо ли аккредитовываться компаниям, которые: - используют СКУДы с идентификацией и аутентификацией по лицу - используют пропуска с фотографией сотрудников и посетителей, которые затем проверяются на входе - используют…
📎В дополнение к посту Алексея Лукацкого прикладываю ещё один ответ Минцифры по теме биометрии.
🧐Особое внимание привлёк заключительный абзац.
Спасибо подписчику В.Корелиной за предоставленный материал.
🧐Особое внимание привлёк заключительный абзац.
Спасибо подписчику В.Корелиной за предоставленный материал.
Листок бюрократической защиты информации
📎В дополнение к посту Алексея Лукацкого прикладываю ещё один ответ Минцифры по теме биометрии. 🧐Особое внимание привлёк заключительный абзац. Спасибо подписчику В.Корелиной за предоставленный материал.
Назревает коллизия?
https://xn--r1a.website/Persdata/4664
https://xn--r1a.website/Persdata/4664
Telegram
Персональные_данные
Минспорта подготовило проект постановления, которое предполагает оснащение стадионов системой видеонаблюдения для биометрической идентификации болельщиков.
Зрителей же хотят обязать проходить идентификацию и аутентификацию по FanID и не только.
Между тем…
Зрителей же хотят обязать проходить идентификацию и аутентификацию по FanID и не только.
Между тем…
🖋Вредные советы: оформляем согласие на обработку персональных данных
Помните книгу «Вредные советы» Г.Остера? Вот и преподаватель Moscow Digital School и DPO, старший юрист компании Joom Олег Блинов решил поделиться вредными советами на тему «Как оформить согласие на обработку персональных данных?»:
1. Впишите все согласия в политику конфиденциальности. Пусть пользователь разбирается сам.
2. В мобильном приложении запросите все разрешения на доступ сразу при запуске. Главное – не объясняйте, зачем они вам.
3. Не давайте пользователю зарегистрироваться, пока он не согласится на рекламную рассылку. Сам потом поблагодарит.
4. Пишите просто «вы даете согласие на обработку данных». Никаких пояснений.
5. Согласие нужно брать сразу на 50 лет. А если проект большой – на 70.
6. В согласии должно быть как можно больше юридических терминов. Оно же для Роскомнадзора, а не для пользователей.
Делаете так? 😏 Надеюсь, что нет.
А как правильно юристу работать с данными и какие навыки для этого нужны, можно узнать на новом потоке курса «Юрист по работе с данными» от Moscow Digital School.
Старт потока: 24 марта.
⚠️ Внимание! Обучение платное, но ещё можно успеть записаться на курс со скидкой 10% по промокоду: «BUREAUCRATICSECURITY».
➡️ Подробнее узнать о курсе и подать заявку на обучение можно здесь.
Помните книгу «Вредные советы» Г.Остера? Вот и преподаватель Moscow Digital School и DPO, старший юрист компании Joom Олег Блинов решил поделиться вредными советами на тему «Как оформить согласие на обработку персональных данных?»:
1. Впишите все согласия в политику конфиденциальности. Пусть пользователь разбирается сам.
2. В мобильном приложении запросите все разрешения на доступ сразу при запуске. Главное – не объясняйте, зачем они вам.
3. Не давайте пользователю зарегистрироваться, пока он не согласится на рекламную рассылку. Сам потом поблагодарит.
4. Пишите просто «вы даете согласие на обработку данных». Никаких пояснений.
5. Согласие нужно брать сразу на 50 лет. А если проект большой – на 70.
6. В согласии должно быть как можно больше юридических терминов. Оно же для Роскомнадзора, а не для пользователей.
Делаете так? 😏 Надеюсь, что нет.
А как правильно юристу работать с данными и какие навыки для этого нужны, можно узнать на новом потоке курса «Юрист по работе с данными» от Moscow Digital School.
Старт потока: 24 марта.
⚠️ Внимание! Обучение платное, но ещё можно успеть записаться на курс со скидкой 10% по промокоду: «BUREAUCRATICSECURITY».
➡️ Подробнее узнать о курсе и подать заявку на обучение можно здесь.
Тестирование на уязвимости систем головного удостоверяющего центра
Минцифры начинает модернизацию головного удостоверяющего центра.
Минцифры начинает модернизацию головного удостоверяющего центра.
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
Минцифры начинает модернизацию головного удостоверяющего центра
🔍 Индикаторы риска нарушений в сфере идентификации и (или) аутентификации
Официально опубликован приказ Минцифры от 06.12.2021 № 1308 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации».
Официально опубликован приказ Минцифры от 06.12.2021 № 1308 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации».
🖋 Индикаторы риска нарушений в сфере электронной подписи
Официально опубликован приказ Минцифры от 07.12.2021 № 1312 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи».
Официально опубликован приказ Минцифры от 07.12.2021 № 1312 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи».
🏥 МИАЦ и ИБ
Министерство здравоохранения Российской Федерации подготовило и представило для общественного обсуждения проект типового положение о медицинском информационно-аналитическом центре, определяющее основные функции (задачи) МИАЦ, к которым, например, в части информационной безопасности относятся:
• Методическое сопровождение деятельности по защите информации, в том числе персональных данных, обрабатываемых в ИС медицинских организаций, ГИС в сфере здравоохранения.
• Методическое сопровождение деятельности по обеспечению безопасности ОКИИ в сфере здравоохранения.
Для реализации функций (задач) МИАЦ по ИБ достаточно 3-х человек.
Министерство здравоохранения Российской Федерации подготовило и представило для общественного обсуждения проект типового положение о медицинском информационно-аналитическом центре, определяющее основные функции (задачи) МИАЦ, к которым, например, в части информационной безопасности относятся:
• Методическое сопровождение деятельности по защите информации, в том числе персональных данных, обрабатываемых в ИС медицинских организаций, ГИС в сфере здравоохранения.
• Методическое сопровождение деятельности по обеспечению безопасности ОКИИ в сфере здравоохранения.
Для реализации функций (задач) МИАЦ по ИБ достаточно 3-х человек.
Коллеги из BI.ZONE приглашают на вебинар «Автоматизируем обработку персональных данных с BI.ZONE Compliance Platform».
Мероприятии будет посвящено построению работы с персональными данными:
• Как построить автоматизированный процесс обработки ПДн и сэкономить 40% времени на рутинных задачах.
• Как создать модель угроз по новой методике ФСТЭК России, не закапываясь в документы.
• Ну и немного промо о том, как BI.ZONE Compliance Platform помогает с этими задачами.
⚠️ Вебинар бесплатный и состоится 3 марта (четверг) с 11:00 до 12:30 (мск).
⚠️ Обязательна предварительная регистрация.
Мероприятии будет посвящено построению работы с персональными данными:
• Как построить автоматизированный процесс обработки ПДн и сэкономить 40% времени на рутинных задачах.
• Как создать модель угроз по новой методике ФСТЭК России, не закапываясь в документы.
• Ну и немного промо о том, как BI.ZONE Compliance Platform помогает с этими задачами.
⚠️ Вебинар бесплатный и состоится 3 марта (четверг) с 11:00 до 12:30 (мск).
⚠️ Обязательна предварительная регистрация.
Forwarded from Об ЭП и УЦ
Подписаны 3 постановления Правительства по МЧД
Постановление Правительства Российской Федерации от 21.02.2022 № 222 "Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона "Об электронной подписи"
Постановление Правительства Российской Федерации от 21.02.2022 № 223 "Об утверждении организационно-технических требований к порядку хранения, использования и отмены указанных в статьях 17.2 и 17.3 Федерального закона "Об электронной подписи" доверенностей"
Постановление Правительства Российской Федерации от 21.02.2022 № 224 "Об утверждении требований к нормативным правовым актам федеральных органов исполнительной власти, устанавливающим порядок представления доверенности в предусмотренном пунктом 2 части 1 статьи 17.2 Федерального закона "Об электронной подписи" случае, и требований к порядку представления доверенности в предусмотренном пунктом 2 статьи 17.3 Федерального закона "Об электронной подписи"
Постановление Правительства Российской Федерации от 21.02.2022 № 222 "Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона "Об электронной подписи"
Постановление Правительства Российской Федерации от 21.02.2022 № 223 "Об утверждении организационно-технических требований к порядку хранения, использования и отмены указанных в статьях 17.2 и 17.3 Федерального закона "Об электронной подписи" доверенностей"
Постановление Правительства Российской Федерации от 21.02.2022 № 224 "Об утверждении требований к нормативным правовым актам федеральных органов исполнительной власти, устанавливающим порядок представления доверенности в предусмотренном пунктом 2 части 1 статьи 17.2 Федерального закона "Об электронной подписи" случае, и требований к порядку представления доверенности в предусмотренном пунктом 2 статьи 17.3 Федерального закона "Об электронной подписи"
publication.pravo.gov.ru
Постановление Правительства Российской Федерации от 21.02.2022 № 222 ∙ Официальное опубликование правовых актов
Постановление Правительства Российской Федерации от 21.02.2022 № 222
"Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона "Об электронной подписи"
"Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона "Об электронной подписи"
Forwarded from Пост Лукацкого
НКЦКИ выпустило бюллетень о растущей киберугрозе на наше родное Отечество, которое сегодня сталкивается с давлением мирового капитализма. При этом возможно формирование негативного образа нашей многострадальной страны в глазах мирового сообщества!
Будьте бдительны, - советует нам Национальный координационный центр по компьютерным инцидентам!
ЗЫ. Скриншот - это весь бюллетень.
Будьте бдительны, - советует нам Национальный координационный центр по компьютерным инцидентам!
ЗЫ. Скриншот - это весь бюллетень.
📋 Список контрольных вопросов для проверок в области обработки ПДн
Официально опубликован приказ Роскомнадзора от 24.12.2021 № 253 «Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами».
Официально опубликован приказ Роскомнадзора от 24.12.2021 № 253 «Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами».
📋 Оценка соответствия лицензиатов и соискателей лицензии ФСТЭК
Официально опубликованы приказы ФСТЭК России:
— от 28.12.2021 № 206 «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации».
— от 28.12.2021 № 207 «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации».
❗️Оба документа включают списки контрольных вопросов, ответы на которые должны свидетельствовать о соответствии (несоответствии) соискателя лицензии или лицензиата лицензионным требованиям.
Официально опубликованы приказы ФСТЭК России:
— от 28.12.2021 № 206 «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации».
— от 28.12.2021 № 207 «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации».
❗️Оба документа включают списки контрольных вопросов, ответы на которые должны свидетельствовать о соответствии (несоответствии) соискателя лицензии или лицензиата лицензионным требованиям.
Forwarded from ZLONOV security
Рекомендации ФТЭК России по предупреждению атак.
Forwarded from Майский указ
🤖 На помощь Роскомнадзору в защите информационного суверенитета срочно выдвинулась Федеральная служба по техническому и экспортному контролю вместе с Национальным координационным центром по компьютерным инцидентам.
Замглавы ФСТЭК Виталий Лютиков предупредил: планируются масштабные компьютерные атаки со стороны зарубежных хакерских группировок в отношении всей информационной инфраструктуры РФ с компрометацией и нарушением работы сайтов государственных органов и российских организаций. Господин Лютиков призывает:
1️⃣ Немедленно провести инвентаризацию служб и веб-сервисов, используемых для функционирования официальных сайтов ФОИВов, отключив все неиспользуемые службы и веб-сервисы;
2️⃣ Многократно усилить требования к парольной политике администраторов и пользователей;
3️⃣ Обеспечить сетевое взаимодействие с применением особо защищенных актуальных версий протоколов сетевого взаимодействия;
4️⃣ Полностью исключить применение на сайтах сервисов подсчета и сбора данных о посетителях и сервисов предоставления информации о местоположении, а также любых иностранных сервисов, в том числе RеСАРТСНА, YouTube, Google Analytics, Google Maps, Google Translate, Google Analytics и пр.;
5️⃣ Забыть про встроенные видео- и аудио файлы, API и «виджеты»;
6️⃣ Запустить наиболее эффективное межсетевое экранирование, настроить Firewall в режим особо мощного противодействия атакам, блокировать весь трафик с IP-адресов из США, ЕС и прочих «недоброжелателей», а также поступающий из «теневого Интернета» посредством TOR.
Совсем скоро посещаемость ресурсов будет устанавливаться программами, утвержденными российскими госорганами, любой иностранный траффик будет полностью заблокирован, зато в связи с отменой доставшей всех «Каптчи» не понадобится отмечать галочками и считать все светофоры или пешеходные переходы на картинке, а также решать в уме навязанные математические примеры.
Замглавы ФСТЭК Виталий Лютиков предупредил: планируются масштабные компьютерные атаки со стороны зарубежных хакерских группировок в отношении всей информационной инфраструктуры РФ с компрометацией и нарушением работы сайтов государственных органов и российских организаций. Господин Лютиков призывает:
1️⃣ Немедленно провести инвентаризацию служб и веб-сервисов, используемых для функционирования официальных сайтов ФОИВов, отключив все неиспользуемые службы и веб-сервисы;
2️⃣ Многократно усилить требования к парольной политике администраторов и пользователей;
3️⃣ Обеспечить сетевое взаимодействие с применением особо защищенных актуальных версий протоколов сетевого взаимодействия;
4️⃣ Полностью исключить применение на сайтах сервисов подсчета и сбора данных о посетителях и сервисов предоставления информации о местоположении, а также любых иностранных сервисов, в том числе RеСАРТСНА, YouTube, Google Analytics, Google Maps, Google Translate, Google Analytics и пр.;
5️⃣ Забыть про встроенные видео- и аудио файлы, API и «виджеты»;
6️⃣ Запустить наиболее эффективное межсетевое экранирование, настроить Firewall в режим особо мощного противодействия атакам, блокировать весь трафик с IP-адресов из США, ЕС и прочих «недоброжелателей», а также поступающий из «теневого Интернета» посредством TOR.
Совсем скоро посещаемость ресурсов будет устанавливаться программами, утвержденными российскими госорганами, любой иностранный траффик будет полностью заблокирован, зато в связи с отменой доставшей всех «Каптчи» не понадобится отмечать галочками и считать все светофоры или пешеходные переходы на картинке, а также решать в уме навязанные математические примеры.