Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Закон "О персональных данных": грядут переменыValery Bychkov
Презентация с вебинара в сообществе Смартсорсинг. Ведущий: Макс Лагутин, серийный предприниматель, CEO проекта Б-152, специалист по информационной безопасности, обладатель mini-MBA "Менеджмент в сфере интернет-технологий", резидент бизнес-инкубатора HSE-Inc, участник программы акселерации TexDrive.
Основные темы вебинара:
Изменения законодательства в области персональных данных: что ждет компании в 2013 году
Послабление по требованиям защиты персональных данных
Тренды 2013: изменение взгляда операторов персональных данных
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Защита персональных данных в Беларуси 2021Legaltax
15.11.2021 вступает в силу Закон о защите персональных данных в Беларуси.
Мы подготовили для Вас чек-лист для проверки, готов ли Ваш бизнес к изменениям законодательства в сфере защиты персональных данных.
1. Что регулирует новый Закон?
2. Какая ответственность за нарушение регулирования по защите персональных данных?
3. Как проверить, готова ли ваша компания работать по новому Закону?
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
- Хостинг для операторов персональных данных
- Размещение ИСПДн на облачных вычислительных ресурсах
- Соответствие требованиям Федерального закона № 152-ФЗ от 27.07.2006
- Выполнение требований Постановления Правительства № 1119 от 01.11.2012
- Меры безопасности предусмотренные Приказом ФСТЭК № 21 от 18.02.2013
- Серверы на территории Российской Федерации
- Уровень надежности ЦОД - Tier 3
- Модели предоставления услуг: IaaS, PaaS, SaaS
- Сертифицированные СЗИ, СКЗИ
- Разработка Модели угроз ИСПДн
- Организационно-распорядительная документация
- Разработка проекта на систему защиты ИСПДн
- Аттестация ИСПДн
The FBI operates international offices in 78 countries through its International Operations Division to coordinate domestic and foreign investigations and support partner agencies. The document discusses the FBI's Cyber Division which works with cyber agents, cyber action teams, and private/government partners to combat cybercrime threats. Specifically in Ukraine, the FBI works with the SBU and MVD to investigate JabberZeus coders and pursue related spin-off investigations in both countries. The FBI aims to understand, resource, and prosecute cyber threats like account takeovers while informing network defenders.
Information Security Presentation (B.E.E.R 2021)Вячеслав Аксёнов
Презентация моего доклада на BEST ENGINEERING EVENT OF THE REPUBLIC (B.E.E.R 2021). https://itg.by/
Защита информации «All Inclusive»: от персональных данных до критических инфраструктур.
Защита персональных данных в Беларуси 2021Legaltax
15.11.2021 вступает в силу Закон о защите персональных данных в Беларуси.
Мы подготовили для Вас чек-лист для проверки, готов ли Ваш бизнес к изменениям законодательства в сфере защиты персональных данных.
1. Что регулирует новый Закон?
2. Какая ответственность за нарушение регулирования по защите персональных данных?
3. Как проверить, готова ли ваша компания работать по новому Закону?
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
Сети управления. Поддержка доступности сетей при кибератакеCisco Russia
Сети управления и промышленные системы управления контролируют самые разные системы — от производства электроэнергии и автоматизации производственных линий до кондиционирования зданий и многих других процессов. При этом для них характерен ряд уникальных особенностей, в том, что касается обеспечения информационной безопасности. Cisco понимает это и помогает защитить сети управления до, во время и после атаки — без малейшего ущерба для их надежности.
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Хостинг ИСПДн - защита персональных данных в облаке ФЗ 152Demian Ramenskiy
- Хостинг для операторов персональных данных
- Размещение ИСПДн на облачных вычислительных ресурсах
- Соответствие требованиям Федерального закона № 152-ФЗ от 27.07.2006
- Выполнение требований Постановления Правительства № 1119 от 01.11.2012
- Меры безопасности предусмотренные Приказом ФСТЭК № 21 от 18.02.2013
- Серверы на территории Российской Федерации
- Уровень надежности ЦОД - Tier 3
- Модели предоставления услуг: IaaS, PaaS, SaaS
- Сертифицированные СЗИ, СКЗИ
- Разработка Модели угроз ИСПДн
- Организационно-распорядительная документация
- Разработка проекта на систему защиты ИСПДн
- Аттестация ИСПДн
The FBI operates international offices in 78 countries through its International Operations Division to coordinate domestic and foreign investigations and support partner agencies. The document discusses the FBI's Cyber Division which works with cyber agents, cyber action teams, and private/government partners to combat cybercrime threats. Specifically in Ukraine, the FBI works with the SBU and MVD to investigate JabberZeus coders and pursue related spin-off investigations in both countries. The FBI aims to understand, resource, and prosecute cyber threats like account takeovers while informing network defenders.
Using personal devices at work has become common, with over half of end users expecting seamless corporate network access from any location or device. The belief that IT will support them if issues arise is a top reason end users take bolder risks online using company devices. Over 90% of end users feel it is important to have a similar experience on both personal and work devices. More than half also think work devices should be for both professional and personal use.
A Reality Check on the State of CybersecurityCisco Security
In 2015, companies need to challenge the perception of security versus the reality of a connected world of people, process, data and things in the Internet of Everything. Learn more at cisco.com/go/securityservices
Pervasive Security Across Your Extended NetworkCisco Security
There are many ways attackers can access your network. Keep yours safe before, during, and after an attack with best-in-class Cisco Security designed to protect your business data. Learn more at http://cs.co/9009BJ8o3
The Evolution of and Need for Secure Network AccessCisco Security
This document discusses the evolution of network access control (NAC) technology into endpoint visibility, access, and security (EVAS). It describes how EVAS provides more comprehensive visibility and dynamic control over network-connected devices compared to traditional NAC. The document also outlines how EVAS can help organizations prevent, detect, and respond to security attacks through continuous monitoring, endpoint profiling, and granular policy enforcement. Finally, it positions Cisco Systems as an early leader in the EVAS market.
Cisco ISE Reduces the Attack Surface by Controlling AccessCisco Security
Cisco ISE reduces the attack surface by controlling access and preventing unauthorized lateral movement on the network. Learn more at http://cs.co/9007BRFbW
Infographic: Security for Mobile Service ProvidersCisco Security
This infographic offers an operator's view on mobile security trends, such as the technology innovations driving business gowth and security threats. It also suggests how you can protect customers.
Organizations are moving towards more integrated network security strategies to address challenges posed by traditional approaches. Forward-thinking organizations see the need for dynamic, integrated network architectures that provide security efficacy, operational efficiency, and support business needs. Primary objectives of modern network security strategies include malware prevention and detection, support for mobile and cloud initiatives, and implementing strong security controls through an automated, integrated platform.
Андрей Логвиненко "Искусственный интеллект без финансовых санкций"Fwdays
Докладчик Андрей Логвиненко — руководитель юридического отдела SupportYourApp и Label Your Data, специалист GDPR, CCPA и имплементации ІТ стандартов PCI DSS, ISO 27001.
В программе:
актуальность информационной безопасности в разработке искусственного интеллекта (случаи нарушений и их последствия);
датасеты и их легальное использование (сбор данных и использование датасетов);
правовые нормы в разработке моделей искусственного интеллекта (законные основания использования чужой модели и Federated learning);
что необходимо учитывать при аутсорсинге искусственного интеллекта и обработки данных.
Ознакомиться с деталями митапа: https://bit.ly/305mG7e
8 и 15 августа пройдет бесплатная Data Science fwdays'20 онлайн-конференция.
Участие бесплатно, но регистрация обязательна☝️
Узнать детали и зарегистрироваться: https://bit.ly/32gM7VO
ІГОР СТАРЧЕУС «Впровадження GDPR у великій fin tech компанії» QADay 2019QADay
Kharkiv Quality Assurance Day 2019
ІГОР СТАРЧЕУС
«Впровадження GDPR у великій fin tech компанії»
Телеграм канал: wwww.t.me/goqameetup
Фейсбук сторінці: www.fb.com/goqaevent
Сайт: www.kharkiv.qaday.org/
спроси эксперта. все, что вы хотели узнать про Dlp, но не у кого было спросить Solar Security
Спикеры:
Эликс Смирнов, аналитик отдела развития Solar Dozor компании Solar Security.
Андрей Прозоров, руководитель экспертного направления компании Solar Security.
Интернет-магазин как информационная система обработки персональных данныхDemian Ramenskiy
Почему любой интернет-магазин — это информационная система обработки персональных данных (ИСПДн)?
Какие основные нормы законодательства сейчас действуют в данной сфере и напрямую затрагивают Интернет-торговлю?
Что нужно сделать владельцу интернет-магазина, чтобы спать спокойно, хотя бы в части соблюдения законодательства о персональных данных?
Какая сейчас сложилась практика по защите персональных данных на веб-сайтах и куда смотрит Роскомнадзор?
Какие существуют типовые походы к обеспечению должного уровня защищенности ИСПДн?
Как выбрать правильного провайдера для хостинга интернет-магазина?
10 ключевых вопросов защиты персональных данных: «Подводные камни» проектов п...Pointlane
Рассмотрены ключевые моменты, связанные с построением процессов обеспечения безопасности персональных данных в организации.
Сформулированы 10 наиболее актуальных задач, волнующих операторов при осуществлении обработки персональных данных и применимых к организациям практически любой отрасли.
Мы расскажем про пути их решения, основываясь на рекомендациях регуляторов и используя накопленный нашими специалистами опыт.
Затронуты «тонкие» моменты, специфичные для конкретных ситуаций, которые зачастую остаются вне внимания при реализации внутренних или внешних проектов по соответствию законодательству в области обработки персональных данных.
Значительная часть вебинара будет отведена под разбор конкретных вопросов и кейсов, которые участники смогут задать на вебинаре применительно к их ситуации.
Аудиозапись вебинара можно скачать тут: http://www.pointlane.ru/cform/?webinar=3
Mark Arena - Cyber Threat Intelligence #uisgcon9UISGCON
This document discusses cyber threat intelligence and how it can be collected and produced. It defines intelligence as taking data and using knowledge and experience to determine what is factual and probable about past and future events, and communicating this information to decision makers. It provides examples of assessing the probability of threats based on known vulnerabilities and exploits. It also outlines various data sources that can be used to collect intelligence both within an organization and on the open internet. These include network flow data, endpoint monitoring, and searching open sources. It stresses the importance of knowing the motivations and techniques of different attackers in order to effectively defend an organization.
Kimberly Zenz - Financial Options for Cyber Criminals #uisgcon9UISGCON
This document discusses various financial options available to cyber criminals for laundering money obtained through illicit means. It notes that while electronic currencies were initially popular due to perceived anonymity, law enforcement has had success tracking transactions through exchanges and cracking down on leaders like Liberty Reserve. No option is foolproof as international cooperation on anti-money laundering has strengthened. Ultimately, cyber criminals must stay under the radar and accept that risk remains higher than pursuing crimes without this financial element.
Adrian Aldea - IBM X-Force 2013 Mid-Year Trend and Risk Report #uisgcon9UISGCON
This document summarizes an IBM Security Systems mid-year 2013 trend and risk report. It discusses how the IBM X-Force monitors the threat landscape and researches new attack techniques to educate customers. It outlines key trends in the first half of 2013 including a rise in targeted attacks exploiting trust relationships, watering hole attacks compromising websites, and attacks on foreign branch sites. Mobile threats like Android malware are also growing. The report concludes with recommendations to prioritize security basics like patching and educate users.
Владимир Стыран - Пентест следующего поколения, который ваша компания не може...UISGCON
This document discusses the differences between penetration testing and vulnerability assessments, and why clients often receive poor quality tests. It notes that penetration tests are meant to be deeply interactive, focusing on achieving specific goals through exploitation, while vulnerability assessments only superficially identify issues. It also explains that clients contribute to poor tests by lacking understanding of the purpose and proper scope of each method, and not performing adequate quality control of testers. The document provides recommendations for how clients can improve tests by learning testing standards, clearly defining objectives, and incentivizing testers to achieve goals through payment structures.
Константин Корсун - Общественная организация UISG: что это и для чего?
[Short 11-30] Артем Гончар - Европейский опыт в защите персональных данных
1. Европейский опыт в защите персональных
данных
Анализируя
BRITISH STANDARD BS 10012:2009
Data protection –
Specification for a personal information management
system
Артем Гончар, Специалист с организации
информационной безопасности
Агентство Активного Аудита
UISGv7
2. Общее
Защита персональных данных при их обработке –
отдельная задача, требующая особого внимания.
В идеале мы должны создать
целую структуру для
обработки и управления
персональными данными.
Она должна соответствовать
требованиям закона и
вписываться в наш СУИБ.
14.12.2011 Артем Гончар 2
3. Ущерб
• Злоумышленники похитили компьютер с
личными данными 4,2 млн. пациентов
американских больниц
(http://www.securitylab.ru/news/410194.php)
• Взломаны крупнейшие социальные сети
Кореи: похищены личные данные 35
миллионов человек (http://www.xakep.ru/post/56352/)
• Похищены личные данные 35 миллионов
клиентов Epson
(http://www.securitylab.ru/news/406936.php)
14.12.2011 Артем Гончар 3
4. Мотивы
• информация в руках мошенника превращается
в орудие преступления
• информация в руках уволенного сотрудника –
средство мщения
• информация в руках инсайдера – товар для
продажи конкуренту…
Именно поэтому персональные
данные нуждаются в самой
серьезной защите.
14.12.2011 Артем Гончар 4
5. Немного истории
• В США до сих пор отсутствует общее (федеральное)
законодательство о персональных данных
• В 1977 г. Одним из первых в мире принимается
Федеральный закон ФРГ «О защите персональных
данных»
• 2 июля 2009 года в Британии вышла первая версия
стандарта BS10012:2009 "Защита данных –
Спецификация системы управления персональными
данными". Этот документ стал первым в мире
стандартом на систему управления персональными
данными.
14.12.2011 Артем Гончар 5
6. Принципы
Для обработки персональные данные должны
соответствовать определённым условиям*:
• Законно собранными
• Соответствуют указанным целям(то что мы
написали в заявлении на регистрацию баз
ПДн)
• Точные и актуальные
• Не хранятся дольше, чем это необходимо.
*Детальнее можно ознакомиться в BS 10012:2009 Раздел 0.2
14.12.2011 Артем Гончар 6
7. Цели организации
Цели которые ставят на западе при обработке
персональных данных:
• Удовлетворить требования закона при обработке
ПДн;
• Соответствовать целям организации;
• Соответствовать
законодательным актам;
• Соответствовать
интересам граждан и других
заинтересованных сторон
14.12.2011 Артем Гончар 7
8. Куда же без политики
Поскольку задача системы довольно объемная
необходимо написать политику обработки ПДн.
Несколько выдержек с политики*:
• Обработка персональных данных только там,
где это строго необходимые для законных
целей организации;
• Хранить все ПДн в
безопасности;
*Основные разделы можно прочесть
в стандарте BS 10012:2009 Раздел 3.4
14.12.2011 Артем Гончар 8
9. Раздаем ответственность:
Если существует система то нужны и лица
которые будут ею управлять и поддерживать.
Член правления должен быть ответственен за
обработку ПДн. Он должен следить за:
• Утверждением политики в правлении;
• Разработкой и реализацией СУПДн в
соответствии с требованиями политики;
• Управлением безопасностью и рисками в
соответствии с политикой;
• Выделяемыми ресурсами.
14.12.2011 Артем Гончар 9
10. Продолжаем
Нужен персонал который будет изо дня в день
поддерживать нашу систему. Их обязанности
включают*:
• Разрабатывать и анализировать политику;
• Обеспечивать реализацию политики;
• Проводить обучение, тренинги как того
требует политика.
*Детальнее можно ознакомиться в BS 10012:2009 Раздел 4.1.2
14.12.2011 Артем Гончар 10
11. А теперь в соответствии с политикой
Стандарт детально описывает необходимые процедуры
для внедрения и работы СУИБ*.
Например:
• Создание реестра ПДн;
• Провести оценку рисков;
• Создать процедуры извещения, сбора и обработки
ПДн;
• Процедуры хранения Пдн;
• Процедуры удаления ПДн.
*Полный перечень процедур можно прочесть в BS 10012:2009 Раздел 4
14.12.2011 Артем Гончар 11
12. Аудит
Аудит является неотъемлемой частью любой
системы безопасности. Для персональных
данных нет ничего нового. Главными целями
аудита СУПДн является:
• работает ли система в соответствии с
политикой и созданными процедурами;
• внедрена ли и поддерживается в соответствии
с технологическим требованиям.
14.12.2011 Артем Гончар 12
13. Улучшение
После каждого аудита наступает фаза
улучшения*. Мы должны позаботиться о том
чтобы разработать и внедрить процедуры
которые охватывают следующие:
• Профилактические действия
• Корректирующие действия
*Детальнее в BS 10012:2009 Раздел 6
14.12.2011 Артем Гончар 13
14. И самое сложное
Тренинги, обучение и общая осознанность при
работе с персональными данными. В
зависимости от роли которую выполняет
сотрудник, нужно создать
программу обучения и
донести суть защиты
персональных данных
конкретно для каждого
сотрудника.
14.12.2011 Артем Гончар 14