Одним из важнейших аспектов, который стоит учитывать при анализе трансграничной передачи персональных данных (ПДн) в рамках требований GDPR, является определение, какие именно факторы влияют на то, будет ли передача считаться трансграничной.
Согласно руководству Европейского совета по защите данных (EDPB), трансграничная передача определяется следующим образом:

▫️На экспортера ПДн распространяются требования GDPR.
Организация должна соблюдать положения GDPR в рамках рассматриваемой обработки.
▫️Экспортер делает ПДн доступными или передает их другому контролеру или процессору.
Под передачей подразумевается не только физическое перемещение ПДн, но и их доступность третьим лицам.
▫️Импортер находится в третьей стране.
Получатель ПДн, вне зависимости от применения к нему GDPR, должен находиться за пределами Европейской экономической зоны (ЕЭЗ).

Таким образом, нахождение экспортера данных в ЕС не является обязательным критерием для определения передачи ПДн как трансграничной по GDPR. Возможны случаи, когда экспортер данных расположенный, например, в Казахстане, будет подпадать под требования GDPR в соответствии со статьей 3(2) GDPR в связи с предложением товаров клиентам в ЕС.
В таком случае при передаче ПДн европейских клиентов в Россию такая передача будет считаться трансграничной.

Чтобы соблюсти требования GDPR при трансграничной передаче, важно выполнять требования главы 5 GDPR, включая необходимость использования надлежащих гарантий передачи («appropriate safeguards»), например, стандартных договорных условий (SCCs), предусмотренных ст. 46 GDPR.

#Privacy

Вопрос:

Для чего можно использовать менеджер паролей?

Ответ:

Сегодня сотрудники компаний используют множество внешних сервисов, что создает повышенные риски ИБ, возникающие, как правило, при небезопасном хранении своих паролей или при выборе одного пароля для разных сервисов.
Подходящим вариантом минимизации такой категории рисков может быть менеджер паролей — сервис, предназначенный для безопасного управления паролями. О принципах создания паролей мы говорили ранее.

К преимуществам использования такого сервиса относятся:

🔸Защита паролей: хранение всех паролей пользователя в зашифрованной базе данных, которая защищена одним главным паролем (мастер-паролем).
🔸Защита систем: при компрометации учётных записей или увольнении работника возможна оперативная смена паролей во всех системах компании.
🔸Удобство: генерация уникальных и надежных паролей для каждого аккаунта и отсутствие необходимости запоминания паролей.
🔸Ускорение процесса авторизации: автоматическое заполнение соответствующих форм паролями и логинами для входа в систему.
🔸Синхронизация: получение доступа к паролям на разных устройствах пользователя через сервис.
🔸Безопасный обмен: передача паролей между пользователями через сервис.
🔸Аудит безопасности: своевременное уведомление о слабых или украденных паролях.

Сценариями использования менеджера паролей компанией могут быть:

🔸Контроль соблюдения работниками парольной политики.
🔸Проведение аудитов использования паролей с возможностью выявлять подозрительные учетные записи.
🔸Организация безопасного обмена паролями доступа к папкам или ПО между работниками, который может потребоваться в рамках проекта.
🔸Автоматизация предоставления паролей для новых работников и сброса паролей для увольняющихся.

Популярные сервисы менеджера паролей, которые предлагают различные уровни защиты и возможности в зависимости от потребностей:

🔸BearPass
🔸Bitwarden
🔸CommonKey
🔸Passbolt
🔸Passwork
🔸Zoho Vault

#ИБ
#ОтвечаетKept

Вступило в силу 27 сентября 2024 г.:
Постановление Правительства РФ от 19.09.2024 № 1281 о внесении изменений в Правила категорирования объектов КИИ
▫для кого: субъекты КИИ
▫что делать:
🔸субъектам КИИ, которые провели категорирование объектов КИИ: принять к сведению исключение из процедуры категорирования требования по формированию перечня объектов КИИ, подлежащих категорированию.
🔸субъектам КИИ, которые не провели категорирование объектов КИИ: принять к сведению риск привлечения к административной ответственности за непредоставление форм сведений о результатах категорирования

Вступило в силу 1 октября 2024 г.:
Положение Банка России от 27.10.2020 № 738-П о порядке обеспечения бесперебойности функционирования платежной системы Банка России
*▫*для кого: участники платежной системы Банка России
▫что делать:
🔸предусмотреть дополнительные контрольные мероприятия в целях мониторинга уровня риска ИБ в платежной системе;
🔸идентифицировать значимые риски не реже одного раза в год;
🔸ознакомиться с расширением перечня субъектов организационной структуры, обязанных обеспечивать бесперебойность функционирования платежной системы;
🔸ознакомиться с критериями отнесения риск-событий, реализовавшихся при оказании услуг платежной инфраструктуры, к риск-событиям приостановления оказания таких услуг

#ИБ
#ДеЮре

Дополнение к первому выпуску (часть 2)

Вступило в силу 01 апреля 2024 г.:

Национальный стандарт РФ ГОСТ Р 71206-2024
· для кого: компании, внедряющие процесс разработки безопасного программного обеспечения (РБПО)
· что делать: реализовать требования к мерам по РБПО при выполнении конструирования и комплексирования ПО, вводя дополнительные требования к безопасному компилятору
Национальный стандарт РФ ГОСТ Р 71207-2024
· для кого: компании, внедряющие РБПО
· что делать: реализовать требования к проведению статического анализа ПО, а также требования к статическим анализаторам и специалистам, участвующим в анализе
Национальный стандарт РФ ГОСТ Р 71252-2024
· для кого: компании, определившие риски при передаче данных в индустриальных системах
· что делать: рассмотреть возможность применения протокола защищенного обмена CRISP для индустриальных систем
Предварительный национальный стандарт РФ ПНСТ 905-2023
· для кого: объекты критической информационной инфраструктуры (КИИ)
· что делать: придерживаться единой терминологии, относящейся к доверенным программно-аппаратным комплексам, применимых на объектах КИИ
п. 2.4 Положения Банка России от 30.08.2023 № 808-П
· для кого: бюро кредитных историй
· что делать: использовать прикладное ПО автоматизированных систем и приложений, прошедших сертификацию ФСТЭК России, или оценку соответствия по требованиям к оценочному уровню доверия не ниже 4-ого уровня

Вступило в силу 06 апреля 2024 г.:

ФЗ от 06.04.2024 № 78-ФЗ об ужесточении наказания за нарушение требований к рекламе через email-рассылки, звонки и SMS
· для кого: компании, рекламирующие свои услуги; кредитные или микрофинансовые компании
· что делать: проверить выполнение требования к рекламе, исключив спам-звонки и рассылки

#ДеЮре
#ИБ
#КИИ