🖋Вредные советы: оформляем согласие на обработку персональных данных
Помните книгу «Вредные советы» Г.Остера? Вот и преподаватель Moscow Digital School и DPO, старший юрист компании Joom Олег Блинов решил поделиться вредными советами на тему «Как оформить согласие на обработку персональных данных?»:
1. Впишите все согласия в политику конфиденциальности. Пусть пользователь разбирается сам.
2. В мобильном приложении запросите все разрешения на доступ сразу при запуске. Главное – не объясняйте, зачем они вам.
3. Не давайте пользователю зарегистрироваться, пока он не согласится на рекламную рассылку. Сам потом поблагодарит.
4. Пишите просто «вы даете согласие на обработку данных». Никаких пояснений.
5. Согласие нужно брать сразу на 50 лет. А если проект большой – на 70.
6. В согласии должно быть как можно больше юридических терминов. Оно же для Роскомнадзора, а не для пользователей.
Делаете так? 😏 Надеюсь, что нет.
А как правильно юристу работать с данными и какие навыки для этого нужны, можно узнать на новом потоке курса «Юрист по работе с данными» от Moscow Digital School.
Старт потока: 24 марта.
⚠️ Внимание! Обучение платное, но ещё можно успеть записаться на курс со скидкой 10% по промокоду: «BUREAUCRATICSECURITY».
➡️ Подробнее узнать о курсе и подать заявку на обучение можно здесь.
Помните книгу «Вредные советы» Г.Остера? Вот и преподаватель Moscow Digital School и DPO, старший юрист компании Joom Олег Блинов решил поделиться вредными советами на тему «Как оформить согласие на обработку персональных данных?»:
1. Впишите все согласия в политику конфиденциальности. Пусть пользователь разбирается сам.
2. В мобильном приложении запросите все разрешения на доступ сразу при запуске. Главное – не объясняйте, зачем они вам.
3. Не давайте пользователю зарегистрироваться, пока он не согласится на рекламную рассылку. Сам потом поблагодарит.
4. Пишите просто «вы даете согласие на обработку данных». Никаких пояснений.
5. Согласие нужно брать сразу на 50 лет. А если проект большой – на 70.
6. В согласии должно быть как можно больше юридических терминов. Оно же для Роскомнадзора, а не для пользователей.
Делаете так? 😏 Надеюсь, что нет.
А как правильно юристу работать с данными и какие навыки для этого нужны, можно узнать на новом потоке курса «Юрист по работе с данными» от Moscow Digital School.
Старт потока: 24 марта.
⚠️ Внимание! Обучение платное, но ещё можно успеть записаться на курс со скидкой 10% по промокоду: «BUREAUCRATICSECURITY».
➡️ Подробнее узнать о курсе и подать заявку на обучение можно здесь.
Тестирование на уязвимости систем головного удостоверяющего центра
Минцифры начинает модернизацию головного удостоверяющего центра.
Минцифры начинает модернизацию головного удостоверяющего центра.
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
Минцифры начинает модернизацию головного удостоверяющего центра
🔍 Индикаторы риска нарушений в сфере идентификации и (или) аутентификации
Официально опубликован приказ Минцифры от 06.12.2021 № 1308 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации».
Официально опубликован приказ Минцифры от 06.12.2021 № 1308 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации».
🖋 Индикаторы риска нарушений в сфере электронной подписи
Официально опубликован приказ Минцифры от 07.12.2021 № 1312 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи».
Официально опубликован приказ Минцифры от 07.12.2021 № 1312 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи».
🏥 МИАЦ и ИБ
Министерство здравоохранения Российской Федерации подготовило и представило для общественного обсуждения проект типового положение о медицинском информационно-аналитическом центре, определяющее основные функции (задачи) МИАЦ, к которым, например, в части информационной безопасности относятся:
• Методическое сопровождение деятельности по защите информации, в том числе персональных данных, обрабатываемых в ИС медицинских организаций, ГИС в сфере здравоохранения.
• Методическое сопровождение деятельности по обеспечению безопасности ОКИИ в сфере здравоохранения.
Для реализации функций (задач) МИАЦ по ИБ достаточно 3-х человек.
Министерство здравоохранения Российской Федерации подготовило и представило для общественного обсуждения проект типового положение о медицинском информационно-аналитическом центре, определяющее основные функции (задачи) МИАЦ, к которым, например, в части информационной безопасности относятся:
• Методическое сопровождение деятельности по защите информации, в том числе персональных данных, обрабатываемых в ИС медицинских организаций, ГИС в сфере здравоохранения.
• Методическое сопровождение деятельности по обеспечению безопасности ОКИИ в сфере здравоохранения.
Для реализации функций (задач) МИАЦ по ИБ достаточно 3-х человек.
Коллеги из BI.ZONE приглашают на вебинар «Автоматизируем обработку персональных данных с BI.ZONE Compliance Platform».
Мероприятии будет посвящено построению работы с персональными данными:
• Как построить автоматизированный процесс обработки ПДн и сэкономить 40% времени на рутинных задачах.
• Как создать модель угроз по новой методике ФСТЭК России, не закапываясь в документы.
• Ну и немного промо о том, как BI.ZONE Compliance Platform помогает с этими задачами.
⚠️ Вебинар бесплатный и состоится 3 марта (четверг) с 11:00 до 12:30 (мск).
⚠️ Обязательна предварительная регистрация.
Мероприятии будет посвящено построению работы с персональными данными:
• Как построить автоматизированный процесс обработки ПДн и сэкономить 40% времени на рутинных задачах.
• Как создать модель угроз по новой методике ФСТЭК России, не закапываясь в документы.
• Ну и немного промо о том, как BI.ZONE Compliance Platform помогает с этими задачами.
⚠️ Вебинар бесплатный и состоится 3 марта (четверг) с 11:00 до 12:30 (мск).
⚠️ Обязательна предварительная регистрация.
Forwarded from Об ЭП и УЦ
Подписаны 3 постановления Правительства по МЧД
Постановление Правительства Российской Федерации от 21.02.2022 № 222 "Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона "Об электронной подписи"
Постановление Правительства Российской Федерации от 21.02.2022 № 223 "Об утверждении организационно-технических требований к порядку хранения, использования и отмены указанных в статьях 17.2 и 17.3 Федерального закона "Об электронной подписи" доверенностей"
Постановление Правительства Российской Федерации от 21.02.2022 № 224 "Об утверждении требований к нормативным правовым актам федеральных органов исполнительной власти, устанавливающим порядок представления доверенности в предусмотренном пунктом 2 части 1 статьи 17.2 Федерального закона "Об электронной подписи" случае, и требований к порядку представления доверенности в предусмотренном пунктом 2 статьи 17.3 Федерального закона "Об электронной подписи"
Постановление Правительства Российской Федерации от 21.02.2022 № 222 "Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона "Об электронной подписи"
Постановление Правительства Российской Федерации от 21.02.2022 № 223 "Об утверждении организационно-технических требований к порядку хранения, использования и отмены указанных в статьях 17.2 и 17.3 Федерального закона "Об электронной подписи" доверенностей"
Постановление Правительства Российской Федерации от 21.02.2022 № 224 "Об утверждении требований к нормативным правовым актам федеральных органов исполнительной власти, устанавливающим порядок представления доверенности в предусмотренном пунктом 2 части 1 статьи 17.2 Федерального закона "Об электронной подписи" случае, и требований к порядку представления доверенности в предусмотренном пунктом 2 статьи 17.3 Федерального закона "Об электронной подписи"
publication.pravo.gov.ru
Постановление Правительства Российской Федерации от 21.02.2022 № 222 ∙ Официальное опубликование правовых актов
Постановление Правительства Российской Федерации от 21.02.2022 № 222
"Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона "Об электронной подписи"
"Об утверждении Правил представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона "Об электронной подписи"
Forwarded from Пост Лукацкого
НКЦКИ выпустило бюллетень о растущей киберугрозе на наше родное Отечество, которое сегодня сталкивается с давлением мирового капитализма. При этом возможно формирование негативного образа нашей многострадальной страны в глазах мирового сообщества!
Будьте бдительны, - советует нам Национальный координационный центр по компьютерным инцидентам!
ЗЫ. Скриншот - это весь бюллетень.
Будьте бдительны, - советует нам Национальный координационный центр по компьютерным инцидентам!
ЗЫ. Скриншот - это весь бюллетень.
📋 Список контрольных вопросов для проверок в области обработки ПДн
Официально опубликован приказ Роскомнадзора от 24.12.2021 № 253 «Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами».
Официально опубликован приказ Роскомнадзора от 24.12.2021 № 253 «Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами».
📋 Оценка соответствия лицензиатов и соискателей лицензии ФСТЭК
Официально опубликованы приказы ФСТЭК России:
— от 28.12.2021 № 206 «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации».
— от 28.12.2021 № 207 «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации».
❗️Оба документа включают списки контрольных вопросов, ответы на которые должны свидетельствовать о соответствии (несоответствии) соискателя лицензии или лицензиата лицензионным требованиям.
Официально опубликованы приказы ФСТЭК России:
— от 28.12.2021 № 206 «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации».
— от 28.12.2021 № 207 «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации».
❗️Оба документа включают списки контрольных вопросов, ответы на которые должны свидетельствовать о соответствии (несоответствии) соискателя лицензии или лицензиата лицензионным требованиям.
Forwarded from ZLONOV security
Рекомендации ФТЭК России по предупреждению атак.
Forwarded from Майский указ
🤖 На помощь Роскомнадзору в защите информационного суверенитета срочно выдвинулась Федеральная служба по техническому и экспортному контролю вместе с Национальным координационным центром по компьютерным инцидентам.
Замглавы ФСТЭК Виталий Лютиков предупредил: планируются масштабные компьютерные атаки со стороны зарубежных хакерских группировок в отношении всей информационной инфраструктуры РФ с компрометацией и нарушением работы сайтов государственных органов и российских организаций. Господин Лютиков призывает:
1️⃣ Немедленно провести инвентаризацию служб и веб-сервисов, используемых для функционирования официальных сайтов ФОИВов, отключив все неиспользуемые службы и веб-сервисы;
2️⃣ Многократно усилить требования к парольной политике администраторов и пользователей;
3️⃣ Обеспечить сетевое взаимодействие с применением особо защищенных актуальных версий протоколов сетевого взаимодействия;
4️⃣ Полностью исключить применение на сайтах сервисов подсчета и сбора данных о посетителях и сервисов предоставления информации о местоположении, а также любых иностранных сервисов, в том числе RеСАРТСНА, YouTube, Google Analytics, Google Maps, Google Translate, Google Analytics и пр.;
5️⃣ Забыть про встроенные видео- и аудио файлы, API и «виджеты»;
6️⃣ Запустить наиболее эффективное межсетевое экранирование, настроить Firewall в режим особо мощного противодействия атакам, блокировать весь трафик с IP-адресов из США, ЕС и прочих «недоброжелателей», а также поступающий из «теневого Интернета» посредством TOR.
Совсем скоро посещаемость ресурсов будет устанавливаться программами, утвержденными российскими госорганами, любой иностранный траффик будет полностью заблокирован, зато в связи с отменой доставшей всех «Каптчи» не понадобится отмечать галочками и считать все светофоры или пешеходные переходы на картинке, а также решать в уме навязанные математические примеры.
Замглавы ФСТЭК Виталий Лютиков предупредил: планируются масштабные компьютерные атаки со стороны зарубежных хакерских группировок в отношении всей информационной инфраструктуры РФ с компрометацией и нарушением работы сайтов государственных органов и российских организаций. Господин Лютиков призывает:
1️⃣ Немедленно провести инвентаризацию служб и веб-сервисов, используемых для функционирования официальных сайтов ФОИВов, отключив все неиспользуемые службы и веб-сервисы;
2️⃣ Многократно усилить требования к парольной политике администраторов и пользователей;
3️⃣ Обеспечить сетевое взаимодействие с применением особо защищенных актуальных версий протоколов сетевого взаимодействия;
4️⃣ Полностью исключить применение на сайтах сервисов подсчета и сбора данных о посетителях и сервисов предоставления информации о местоположении, а также любых иностранных сервисов, в том числе RеСАРТСНА, YouTube, Google Analytics, Google Maps, Google Translate, Google Analytics и пр.;
5️⃣ Забыть про встроенные видео- и аудио файлы, API и «виджеты»;
6️⃣ Запустить наиболее эффективное межсетевое экранирование, настроить Firewall в режим особо мощного противодействия атакам, блокировать весь трафик с IP-адресов из США, ЕС и прочих «недоброжелателей», а также поступающий из «теневого Интернета» посредством TOR.
Совсем скоро посещаемость ресурсов будет устанавливаться программами, утвержденными российскими госорганами, любой иностранный траффик будет полностью заблокирован, зато в связи с отменой доставшей всех «Каптчи» не понадобится отмечать галочками и считать все светофоры или пешеходные переходы на картинке, а также решать в уме навязанные математические примеры.
Forwarded from Об ЭП и УЦ
Для общественного обсуждения размещен проект постановления Правительства РФ "О внесении изменений в Положение о Министерстве цифрового развития, связи и массовых коммуникаций Российской Федерации", которым предлагается включить пункт, что Минцифры России осуществляет реализацию мероприятий, направленных на повышение грамотности населения Российской Федерации по вопросам информационной безопасности.
Наш канал очень надеется, что вопросы использования электронной подписи также будут включены в программу повышения грамотности населения т.к. в настоящее время уровень грамотности населения по вопросам ЭП неудовлетворительный. Например, получив в УЦ ключ ЭП и сертификат на носителе мало какой ИП сможет самостоятельно настроить рабочее место для работы с тем же Личным кабинетом ИП, а журналисты до сих пор считают, что ЭП это надпись на планшете, сделанная стилусом [1], [2].
P.S. Размещенное на сайте Минцифры положение о ведомстве не актуализировалось с февраля 2019 года.
Наш канал очень надеется, что вопросы использования электронной подписи также будут включены в программу повышения грамотности населения т.к. в настоящее время уровень грамотности населения по вопросам ЭП неудовлетворительный. Например, получив в УЦ ключ ЭП и сертификат на носителе мало какой ИП сможет самостоятельно настроить рабочее место для работы с тем же Личным кабинетом ИП, а журналисты до сих пор считают, что ЭП это надпись на планшете, сделанная стилусом [1], [2].
P.S. Размещенное на сайте Минцифры положение о ведомстве не актуализировалось с февраля 2019 года.
Forwarded from Майский указ
🤖 Тем временем на помощь Роскомнадзору, ФСТЭКу, Национальному координационному центру по компьютерным инцидентам выдвинулась тяжелая артиллерия — вице-премьер Дмитрий Чернышенко. Он собрал совещание с федеральными и региональными руководителями цифровой трансформации, на котором в дополнение к ранее принятым мерам срочно поручил:
1️⃣ Заблокировать во всех субъектах РФ возможность удаленного доступа любых иностранных подрядчиков (компаний) в локальные сети органов государственной власти, муниципальных органов и подведомственных им организаций. Провести мероприятия по нейтрализации сопутствующих угроз. Губернаторам создать региональные штабы по обеспечению кибербезопасности, возложив координацию возложить на одного из заместителей. Внедрить систему отчетности по любым киберинцидентам.
2️⃣ Отключить автоматическое неконтролируемое обновление иностранного программного обеспечения. Обеспечить резервное копирование ключевых элементов ИТ-инфраструктуры, хранение резервных копий в изолированных сегментах. Ограничить использование средств защиты информации иностранного производства. Предоставить в Минцифры данные обо всех используемых средствах защиты информации иностранного производства.
3️⃣ Получить гарантии обязательств поставщиков и производителей по исполнению госконтрактов на создание и развитие российской информационной инфраструктуры. Обеспечить полную блокировку всего международного трафика в сети «Интернет» в отношении информационных ресурсов и систем органов государственной власти и подведомственных им организаций. Внедрить функционирование сервисов интеллектуальной фильтрации трафика. Проработать возможность перевода сайтов органов власти в кластеры экосистем цифровой экономики крупнейших российских провайдеров.
1️⃣ Заблокировать во всех субъектах РФ возможность удаленного доступа любых иностранных подрядчиков (компаний) в локальные сети органов государственной власти, муниципальных органов и подведомственных им организаций. Провести мероприятия по нейтрализации сопутствующих угроз. Губернаторам создать региональные штабы по обеспечению кибербезопасности, возложив координацию возложить на одного из заместителей. Внедрить систему отчетности по любым киберинцидентам.
2️⃣ Отключить автоматическое неконтролируемое обновление иностранного программного обеспечения. Обеспечить резервное копирование ключевых элементов ИТ-инфраструктуры, хранение резервных копий в изолированных сегментах. Ограничить использование средств защиты информации иностранного производства. Предоставить в Минцифры данные обо всех используемых средствах защиты информации иностранного производства.
3️⃣ Получить гарантии обязательств поставщиков и производителей по исполнению госконтрактов на создание и развитие российской информационной инфраструктуры. Обеспечить полную блокировку всего международного трафика в сети «Интернет» в отношении информационных ресурсов и систем органов государственной власти и подведомственных им организаций. Внедрить функционирование сервисов интеллектуальной фильтрации трафика. Проработать возможность перевода сайтов органов власти в кластеры экосистем цифровой экономики крупнейших российских провайдеров.