Altirix Systems

Новости

​​📣⚡️⚡️Операторы ПДн = субъект ГосСОПКА❓

Вот и случилось то, что ещё недавно слабо можно было предоставить. С лёгкой руки законодателя, и на волне защиты персональных данных представителей спецслужб, обусловленной, как мне кажется, недавними громкими расследованиями Российской политической оппозиции, в сжатые сроки был принят Федеральный закон от 30.12.2020 № 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности». На ряду с прочим, данным законом были внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», которыми всех операторов персональных данных, имеющих информационные системы персональных данных, обязали реализовывать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них. Хорошо, конечно, что на этапе думских чтений законопроекта из него была исключена норма, в явном виде предусматривающая осуществлять взаимодействие с ГосСОПКА. Но позволяет ли эта корректировка расслабиться операторам ПДн, имеющих ИСПДн? На мой взгляд, даже такая формулировка несёт в себе определённые последствия в перспективе.
Вспомним недавний проект ГОСТ Р «Защита информации. Обнаружение, предупреждение и ликвидационный последствий компьютерных атак и реагирование на компьютерные инциденты. Термины и определения» (я понимаю, что это проект, но цитировать действующие Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, изданные ФСБ России в 2018 г., я не могу, так как документ имеет ограничительную пометку «Для служебного пользования», но в нем необходимая терминология схожа с приведённым проектом ГОСТа). В соотвествии с этим проектом ГОСТа вводится понятие сущности «Субъект ГосСОПКА», которая очень знакома субъектам КИИ. Субъектам ГосСОПКА являются государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных соглашений, осуществляющие обнаружение компьютерных атак, предупреждение компьютерных атак, ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты.
Как видно, рассматриваемые изменения в Федеральный закон от «О персональных данных» привели к тому, что операторы ПДн, имеющие ИСПДн, теперь являются субъектами ГосСОПКА, что, несомненно, добавит им головной боли.
Скорее всего, стоит ожидать, что в ближайшее время ФСБ России, как федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, вскоре модернизирует свои нормативные правовые акты, учитывающие прирост субъектов ГосСОПКА, не являющихся субъектами КИИ. К сожалению, нельзя однозначно сказать, что отсутсвие в Федеральном законе от «О персональных данных» явного указания на необходимость взаимодействия с ГосСОПКА, означает что субъекты ГосСОПКА, являющиеся операторами ПДн, не должны с ней взаимодействовать. Уже сейчас можно посоветовать операторам ПДн, имеющих ИСПДн, ознакомиться с данной статьей не ресурсе safe-surf.ru, подумать о формате своей структурной единице ГосСОПКА (не забывая профессиональный стандарт «Специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак», утверждённый приказом Минтруда от 29.12.2015 № 1179н).
—————————————————————
Но во что же действительно выльются эти поправки для операторов ПДн?

@bureaucraticsecurity
​​⚡️Общедоступных ПДн больше нет

Вот и добрался до официальной публикации Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», который на стадии проекта представлялся сумбурным и трудно читаемым. Однако, как видно, Думские чтения оказали влияние на предложенный текст законопроекта и, как следствие, на выходе получился несколько иной Закон.
Теперь из понятийного аппарата Федерального закона «О персональных данных» исключено понятие «общедоступные ПДн», которое заменено на «ПДн, разрешённые субъектом ПДн для распространения». Примечательно, что сохраняются общедоступные источники ПДн, однако, как следует из внесённых поправок, включение ПДн в такие источники теперь не означает, что данные ПДн можно распространять свободно (нужно получить соответствующее согласие).
Кстати о согласии. Чтобы оператору ПДн начать обрабатывать ПДн, разрешённые субъектом ПДн для распространения, необходимо получить соответствующее согласие, к которому, к слову, не предъявляется требований по форме (т.е. оно необязательно должно быть письменным, читай, удовлетворяющим ст. 9 Федерального закона «О персональных данных»), но:
➡️ установлена необходимость его обособления от других согласий на обработку ПДн;
➡️ содержание такого согласия должно включать, как минимум, перечень ПДн по каждой из категории ПДн, которые разрешается распространять (опционально такое согласие может содержать запреты на передачу и обработку ПДн неопределённому(ым) кругу(ом) лиц.
Примечательны и исключения, касающиеся обработки ПДн, разрешённых для распространению. Так, никакие запреты, установленные субъектом ПДн, на передачу и обработку или условия обработки ПДн, разрешённых для распространения, перестают действовать, если это касается неких государственных, общественных и иных публичных интересов, установленных законодательством Российской Федерации. Кроме того, внесённые поправки не применяются в случае обработки ПДн федеральными органами исполнительной власти, органами исполнительной субъектов Российской Федерации, органами местного самоуправления при выполнении возложенных на них функций, обязанностей и полномочий.

@bureaucraticsecurity
​​📯Административная ответственность за нарушение правил создания, замены и выдачи ключа ЭП, используемого при оказании госуслуг

Официально опубликован Федеральный закон от 30.12.2020 № 516-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», вводящий административную ответственность за нарушение правил создания, замены и выдачи ключа ЭП, используемого при оказании государственных и муниципальных услуг в электронной форме.

@bureaucraticsecurity
Хак-группу Energetic Bear обвиняют во взломе правительственных сетей США

Власти США заявили, что спонсируемая российским правительством хакерская группа Energetic Bear атаковала правительственные сети США и успешно их взломала.

https://xakep.ru/2020/10/23/energetic-bear-hacks/

@xakep_ru
ИБ-эксперт подобрал пароль к Twitter Дональда Трампа с пятой попытки

Известный специалист по безопасности, руководитель GDI Foundation, Виктор Геверс (Victor Gevers) рассказал, что ему удалось подобрать пароль от Twitter-аккаунта президента США Дональда Трампа: «maga2020!». Представители Twitter заявили, что у них нет никаких подтверждений слов эксперта.

https://xakep.ru/2020/10/23/trumps-twitter/

@xakep_ru
Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее для вас. Продолжая просматривать данный веб-сайт и его разделы, вы соглашаетесь с Политикой конфиденциальности