Kept | Cyber
Channel
707
subscribers
Kept Cyber – это официальный канал группы по оказанию услуг в области кибербезопасности компании Kept – одной из крупнейших аудиторско-консалтинговых фирм на российском рынке.
Задать вопрос: cyber@kept.ru
MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) — база знаний об известных методах и тактиках, которые применяют злоумышленники в ходе кибератак. Она была разработана организацией «MITRE Corporation» в 2013 г. для упрощения задачи по реагированию на киберинциденты и представляет собой подробную карту действий атакующих на различных этапах кибератаки.
Матрицы ATT&CK разделены на три группы:
▫️ Enterprice — тактики и техники, используемые при атаках на организации.
▫️ Mobile — тактики и техники, связанные с переносными устройствами.
▫️ ICS — тактики и техники, используемые при атаках на промышленные системы управления.
Матрицы представляют собой таблицы, где в заголовках основные цели или этапы кибератаки, называемые тактиками, а в ячейках — конкретные методы, которые используются при достижении тактических целей, называемые техниками. Каждая тактика или техника имеет свой уникальный идентификатор, используемый для упрощения работы с матрицей.
MITRE ATT&CK используется для построения системы управления кибербезопасностью. Применение этой базы помогает обеспечить понимание угроз и методов атаки, что позволяет организациям разработать соответствующие меры защиты.
Применение MITRE ATT&CK
🔸 Анализ уязвимостей и угроз.
Используя матрицы MITRE ATT&CK, можно определить, какие техники представляют угрозу для ресурсов организации.
🔸 Обнаружение и реагирование на атаки.
С помощью матриц можно понять текущую стадию атаки и определить необходимые меры реагирования.
🔸 Расследование инцидентов.
Матрицы MITRE ATT&CK помогают выявить, где именно следует искать следы проникновения.
🔸 Анализ поведения злоумышленников.
MITRE ATT&CK позволяет отслеживать изменения в тактиках и техниках, используемых известными APT-группировками.
#ИБ
#ПолезноЗнать
Матрицы ATT&CK разделены на три группы:
Матрицы представляют собой таблицы, где в заголовках основные цели или этапы кибератаки, называемые тактиками, а в ячейках — конкретные методы, которые используются при достижении тактических целей, называемые техниками. Каждая тактика или техника имеет свой уникальный идентификатор, используемый для упрощения работы с матрицей.
MITRE ATT&CK используется для построения системы управления кибербезопасностью. Применение этой базы помогает обеспечить понимание угроз и методов атаки, что позволяет организациям разработать соответствующие меры защиты.
Применение MITRE ATT&CK
Используя матрицы MITRE ATT&CK, можно определить, какие техники представляют угрозу для ресурсов организации.
С помощью матриц можно понять текущую стадию атаки и определить необходимые меры реагирования.
Матрицы MITRE ATT&CK помогают выявить, где именно следует искать следы проникновения.
MITRE ATT&CK позволяет отслеживать изменения в тактиках и техниках, используемых известными APT-группировками.
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
Несмотря на то, что 152-ФЗ и GDPR включают в себя права и обязанности DPO, указанные документы не содержат прямых требований к кандидату на должность DPO.
Требования к DPO можно встретить в ISO / IEC 27701 (п.п. 5.5.2 и 6.3.1. 1). Согласно стандарту, DPO должен обладать соответствующей квалификаций и опытом, которые можно изложить так:
🔸 глубокие знания в области законодательства по защите персональных данных (ПДн);
🔸 практический опыт в выстраивании процессов обработки ПДн;
🔸 понимание основных принципов права.
Помимо прямого указания на необходимость квалификации DPO в ISO / IEC 27701 также изложены задачи, на основе которых можно сформировать следующие требования:
▫️ Коммуникационные навыки (6.3.1. 1)
Эффективное взаимодействие с заинтересованными сторонами — от руководства компании до сотрудников и субъектов ПДн — является ключевым аспектом работы DPO. Он должен уметь доносить юридические концепции простым и понятным языком.
▫️ Экспертиза в защите ПДн (6.3.1. 1)
DPO должен обладать пониманием технических аспектов обработки ПДн. Знания в области ИБ помогут снизить риски утечек ПДн.
▫️ Умение работать в команде (6.3.1. 1)
Навык эффективного взаимодействия с проектными командами в рамках ПДн поможет сохранять темпы движения проектов и обеспечить должный уровень защиты ПДн в конечном продукте.
▫️ Опыт взаимодействия с надзорными органами в области ПДн (6.3.1. 3)
Понимание процедур и опыт взаимодействия с надзорными органами поможет соблюдать требования законодательства и успешно проходить проверки.
▫️ Анализ рисков (6.3.1. 5)
DPO должен уметь проводить оценку рисков, связанных с обработкой ПДн. Это включает в себя идентификацию потенциальных угроз, анализ воздействия на права субъектов ПДн и разработку стратегий минимизации рисков.
▫️ Участие в профессиональных сообществах (6.3.1. 4)
Участие в профильных группах позволит DPO быть в курсе новостей в области ПДн, понимать текущие тенденции в области ПДн, а также возможность обмениваться подходами к обработке и защите ПДн.
#Privacy
Требования к DPO можно встретить в ISO / IEC 27701 (п.п. 5.5.2 и 6.3.1. 1). Согласно стандарту, DPO должен обладать соответствующей квалификаций и опытом, которые можно изложить так:
Помимо прямого указания на необходимость квалификации DPO в ISO / IEC 27701 также изложены задачи, на основе которых можно сформировать следующие требования:
Эффективное взаимодействие с заинтересованными сторонами — от руководства компании до сотрудников и субъектов ПДн — является ключевым аспектом работы DPO. Он должен уметь доносить юридические концепции простым и понятным языком.
DPO должен обладать пониманием технических аспектов обработки ПДн. Знания в области ИБ помогут снизить риски утечек ПДн.
Навык эффективного взаимодействия с проектными командами в рамках ПДн поможет сохранять темпы движения проектов и обеспечить должный уровень защиты ПДн в конечном продукте.
Понимание процедур и опыт взаимодействия с надзорными органами поможет соблюдать требования законодательства и успешно проходить проверки.
DPO должен уметь проводить оценку рисков, связанных с обработкой ПДн. Это включает в себя идентификацию потенциальных угроз, анализ воздействия на права субъектов ПДн и разработку стратегий минимизации рисков.
Участие в профильных группах позволит DPO быть в курсе новостей в области ПДн, понимать текущие тенденции в области ПДн, а также возможность обмениваться подходами к обработке и защите ПДн.
#Privacy
Please open Telegram to view this post
VIEW IN TELEGRAM
В каком документе определены требования к должностному лицу по защите персональных данных (DPO)?
Anonymous Quiz
74%
Общий регламент по защите данных (GDPR)
7%
ISO / IEC 27001
14%
ISO / IEC 27701
4%
SOC 3
CISO & DPO news #47 (24-31 октября 2024 года)
1/8 В ОС Windows обнаружена новая уязвимость «нулевого дня».
2/8 Минцифры планирует разработать единый прайс-лист для закупки ПО госсектором.
3/8 Обнаружено вредоносное ПО FakeCall, перехватывающее исходящие звонки.
4/8 Зафиксирован Android-троян, мимикрирующий под государственные сервисы.
5/8 Опубликован Перечень типовых отраслевых объектов КИИ в сфере науки.
6/8 40% компаний не блокируют учетные записи уволенных сотрудников.
7/8 Прохождение поддельной «капчи» приводит к загрузке вредоносного ПО.
8/8 Опубликовано исследование ландшафта угроз в 2023 году от BI.ZONE.
1/8 В ОС Windows обнаружена новая уязвимость «нулевого дня».
2/8 Минцифры планирует разработать единый прайс-лист для закупки ПО госсектором.
3/8 Обнаружено вредоносное ПО FakeCall, перехватывающее исходящие звонки.
4/8 Зафиксирован Android-троян, мимикрирующий под государственные сервисы.
5/8 Опубликован Перечень типовых отраслевых объектов КИИ в сфере науки.
6/8 40% компаний не блокируют учетные записи уволенных сотрудников.
7/8 Прохождение поддельной «капчи» приводит к загрузке вредоносного ПО.
8/8 Опубликовано исследование ландшафта угроз в 2023 году от BI.ZONE.
Открыт набор на новый поток курса «Персональные данные: интенсив»
Для кого?
Курс «Персональные данные: интенсив» подойдет всем, кто
работает с персональными данными (ПДн).
Из чего состоит?
▶️ Структура курса построена на основных задачах ответственного за организацию обработки ПДн.
▶️ Темы учитывают не только 152-ФЗ, но требования в области защиты ПДн (ПП РФ 1119, Приказ ФСТЭК 21 и др.). Подробная программа доступна по ссылке.
▶️ Практические задания курса, связанны с решением ежедневных прикладных задач в области ПДн.
Формат?
Очное обучение, потому что мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников. Мы подбираем кейсы из своей практики, связанные с компаниями или сферой деятельности участников, а также делимся инсайтами и своими подходами.
Когда?
19-20 декабря в новом Московском офисе Kept.
Содержание тренинга и регистрация доступны по ссылке.
Для кого?
Курс «Персональные данные: интенсив» подойдет всем, кто
работает с персональными данными (ПДн).
Из чего состоит?
Формат?
Очное обучение, потому что мы делаем акцент на живом общении и обсуждении вопросов, которые действительно волнуют наших участников. Мы подбираем кейсы из своей практики, связанные с компаниями или сферой деятельности участников, а также делимся инсайтами и своими подходами.
Когда?
19-20 декабря в новом Московском офисе Kept.
Содержание тренинга и регистрация доступны по ссылке.
Please open Telegram to view this post
VIEW IN TELEGRAM
Вопрос:
Нужно ли компании запрашивать у субъекта персональных данных согласие на их обработку, если она использует только публичную (общедоступную) информацию?
Ответ:
В таком случае компании не нужно запрашивать у субъекта персональных данных (ПДн) согласие на обработку ПДн. Это подтверждается в решении Верховного суда РФ: при обработке общедоступной информации компаниям нужно соблюдать требования 152-ФЗ. Собирать согласия на обработку ПДн необходимо только в предусмотренных законом случаях.К примеру, в случае обработки ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом, сбор согласий на обработку ПДн необязателен.
При этом, нижестоящей инстанцией было определено, что ПДн являются общедоступными при выполнении двух условий: они сообщены владельцем ПДн и доступны неопределенному кругу лиц.
Суд подчеркнул, что размещение ПДн в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку ПДн.
Например, если компания собирает информацию о пользователях с их публичных страниц в соцсетях для продвижения своих товаров и услуг, это рассматривается как обработка ПДн, требующая согласия субъекта. Также, компания должна иметь возможность доказать законность обработки ПДн несмотря на то, что субъект самостоятельно раскрыл ПДн неопределенному кругу лиц.
Подробнее о сборе ПДн из открытых источников (парсинге) мы писали ранее.
Стоит упомянуть, что согласно п. 6 ст. 7 149-ФЗ, если компания обрабатывает публичную (общедоступную) информацию, в которой содержатся ПДн, то она должна соблюдать требования 152-ФЗ. В противном случае, такая информация может быть заблокирована для использовании в компании по решению суда или Роскомнадзора.
Кроме того, если компания при обработке использует ПДн для целей, отличных от первоначальных, а также такая обработка не подпадает под иное правовое основание, согласие на обработку всё же требуется.
Также важно отметить, что согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий на обработку ПДн. Особенности обработки ПДн, разрешенных субъектом ПДн для распространения, содержатся в ст. 10.1 152-ФЗ.
#Privacy
#ОтвечаетKept
Нужно ли компании запрашивать у субъекта персональных данных согласие на их обработку, если она использует только публичную (общедоступную) информацию?
Ответ:
В таком случае компании не нужно запрашивать у субъекта персональных данных (ПДн) согласие на обработку ПДн. Это подтверждается в решении Верховного суда РФ: при обработке общедоступной информации компаниям нужно соблюдать требования 152-ФЗ. Собирать согласия на обработку ПДн необходимо только в предусмотренных законом случаях.К примеру, в случае обработки ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом, сбор согласий на обработку ПДн необязателен.
При этом, нижестоящей инстанцией было определено, что ПДн являются общедоступными при выполнении двух условий: они сообщены владельцем ПДн и доступны неопределенному кругу лиц.
Суд подчеркнул, что размещение ПДн в социальных сетях не делает их автоматически общедоступными, следовательно, требуется согласие субъекта на обработку ПДн.
Например, если компания собирает информацию о пользователях с их публичных страниц в соцсетях для продвижения своих товаров и услуг, это рассматривается как обработка ПДн, требующая согласия субъекта. Также, компания должна иметь возможность доказать законность обработки ПДн несмотря на то, что субъект самостоятельно раскрыл ПДн неопределенному кругу лиц.
Подробнее о сборе ПДн из открытых источников (парсинге) мы писали ранее.
Стоит упомянуть, что согласно п. 6 ст. 7 149-ФЗ, если компания обрабатывает публичную (общедоступную) информацию, в которой содержатся ПДн, то она должна соблюдать требования 152-ФЗ. В противном случае, такая информация может быть заблокирована для использовании в компании по решению суда или Роскомнадзора.
Кроме того, если компания при обработке использует ПДн для целей, отличных от первоначальных, а также такая обработка не подпадает под иное правовое основание, согласие на обработку всё же требуется.
Также важно отметить, что согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий на обработку ПДн. Особенности обработки ПДн, разрешенных субъектом ПДн для распространения, содержатся в ст. 10.1 152-ФЗ.
#Privacy
#ОтвечаетKept
Вступило в силу 1 октября 2024 г.:
🟣 Федеральный закон от 22.06.2024 № 158-ФЗ
▫ для кого: операторы поисковых систем
▫ что делать: организациям необходимо, в том числе:
🔸 прекращать по требованию Роскомнадзора в течении суток выдачу сведений о доменном имени, об указателях страниц сайтов в сети "Интернет", на которых неоднократно и неправомерно размещалась информация, содержащая объекты авторских и (или) смежных прав.
🔸 по требованию субъекта персональных данных обязан прекратить выдачу сведений об указателе страницы сайта в сети «Интернет», позволяющих получить доступ к информации о субъекте (право на забвение).
Опубликовано 2 октября 2024 г.:
🟣 Методические рекомендации Банка России от 30.09.2024 № 16-МР
▫ для кого: кредитные организации, НФО,субъекты национальной платежной системы, лица, оказывающие профессиональные услуги на финансовом рынке
▫ что делать: организациям необходимо, в том числе:
🔸 обеспечить взаимодействие ИС с инфраструктурой электронного правительства
🔸 применять средства криптографической защиты информации класса не ниже КС3
🔸 использовать средства защиты информации, сертифицированные ФСТЭК России
🔸 размещать объекты информационной инфраструктуры, используемые при взаимодействии с инфраструктурой электронного правительства, в выделенных сегментах вычислительных сетей
🔸 обеспечивать проверку соответствия электронных подписей документов, поступающих из инфраструктуры электронного правительства
Вступило в силу 21 октября 2024 г.:
🟣 Указ Президента РФ от 21.10.2024 № 901 о внесении изменений в положения, утвержденные Указом Президента РФ о вопросах военно-технического сотрудничества РФ с иностранными государствами
▫ для кого: организации-разработчики, производители продукции военного назначения и управляющие компании интегрированных структур, отвечающие требованиям, установленным ФЗ «О военно-техническом сотрудничестве РФ с иностранными государствами», получившие право на осуществление внешнеторговой деятельности в отношении продукции военного назначения
▫ что делать: обеспечить согласование с Министерством обороны РФ объемов распространяемой в ходе проведения показов продукции военного назначения информации и обеспечение защиты сведений, составляющих государственную тайну
#ИБ
#ДеЮре
Опубликовано 2 октября 2024 г.:
Вступило в силу 21 октября 2024 г.:
#ИБ
#ДеЮре
Please open Telegram to view this post
VIEW IN TELEGRAM
Криптоджекинг – вид киберпреступлений, когда хакер нелегально использует вычислительные мощности чужих устройств без ведома их владельцев для генерации криптовалюты. Злоумышленники могут запускать скрытые скрипты на смартфонах, компьютерах или серверах, что приводит к повышенной нагрузке на процессор и снижению производительности устройств жертвы.
Известны в том числе следующие способы заражения устройства:
▫️ Веб-криптоджекинг: пользователь посещает веб-страницу со встроенными скрытыми скриптами, которые запускают процесс майнинга, используя мощности браузера пользователя.
▫️ Вредоносные программы: на устройство пользователя загружается вредоносное ПО, которое работает в фоновом режиме и использует устройство пользователя для майнинга.
Так, в 2018 г. более чем 4 000 веб-сайтов государственных учреждений Великобритании, США и Австралии были заражены через плагин, предназначенный для автоматического звукового воспроизведения текста с экрана пользователей с ограниченными возможностями. Зараженный майнером плагин в течение нескольких часов незаметно для пользователей генерировал криптовалюту Monero на их устройствах.
Для защиты от криптоджекинга могут быть использованы следующие способы:
▫️ Использование антивирусных программ с функциями обнаружения криптоджекинга.
▫️ Установка браузерных расширений, которые блокируют скрипты для майнинга на веб-страницах.
▫️ Регулярное обновление ОС и приложений для предотвращения эксплуатации уязвимостей.
▫️ Мониторинг нагрузки процессора, оперативной памяти и температур данных компонентов (нестандартно высокая нагрузка может свидетельствовать о наличии криптоджекинга).
▫️ Сегментация корпоративной сети для локализации угрозы в случае заражения.
#ИБ
#ПолезноЗнать
Известны в том числе следующие способы заражения устройства:
Так, в 2018 г. более чем 4 000 веб-сайтов государственных учреждений Великобритании, США и Австралии были заражены через плагин, предназначенный для автоматического звукового воспроизведения текста с экрана пользователей с ограниченными возможностями. Зараженный майнером плагин в течение нескольких часов незаметно для пользователей генерировал криптовалюту Monero на их устройствах.
Для защиты от криптоджекинга могут быть использованы следующие способы:
#ИБ
#ПолезноЗнать
Please open Telegram to view this post
VIEW IN TELEGRAM
В России требования к защите персональных данных (далее – ПДн) при их передаче третьим лицам регулируется Федеральным законом № 152-ФЗ «О персональных данных» и рядом других нормативно-правовых актов. Помимо законодательно установленных требований, для минимизации рисков передачи ПДн следует применять следующие меры:
1️⃣ Предварительная проверка контрагента
Перед передачей ПДн рекомендуется запросить у потенциального контрагента информацию о реализованной у него системе обеспечения безопасности информации. Это можно сделать несколькими способами:
• получить сертификаты соответствия системы защиты требованиям международных стандартов (ISO / IEC 27001, ISO / IEC 27701);
• попросить заполнить чек-листы с описанием реализованных в компании организационных и технических мер защиты;
• получить независимое заключение об эффективности системы внутренних контролей – в виде отчетов SOC 2 или SOC 3;
• запросить результаты тестирования на проникновение;
• провести интервью со специалистами компании в области ИБ и пр.
2️⃣ Положения о защите ПДн в договоре с контрагентом
Необходимо включить в договор или соглашение с контрагентом положения, которые предусматривают меры защиты ПДн. Например, обязательства по обеспечению конфиденциальности ПДн, правила уведомления об инцидентах, требования об обеспечении правовых оснований при уничтожении или передаче ПДн по окончанию обработки. В случае поручения обработки ПДн контрагенту, необходимо учесть требования к поручению.
Также рекомендуется проводить периодический аудит контрагента на предмет соблюдения требований договора / поручения в части обработки и обеспечения безопасности ПДн.
3️⃣ Обеспечение защиты ПДн
Чтобы обеспечить защиту предаваемых ПДн, можно использовать шифрование, анонимизацию, защищенные протоколы передачи, двухстороннюю аутентификацию и др. Данные меры позволят минимизировать риски утечки ПДн при их передаче.
4️⃣ Соблюдение требований к трансграничной передаче
При передаче ПДн на территорию иностранного государства надо не забыть:
• до начала передачи ПДн направить в РКН уведомление о намерении осуществлять трансграничную передачу ПДн;
• провести оценку соблюдения иностранным лицом конфиденциальности и обеспечения безопасности ПДн;
• дождаться решения РКН (если страна не обеспечивает адекватную защиту прав субъектов ПДн);
• в случае получения запрета или ограничения на передачу, компания должна обеспечить уничтожение иностранным лицом ранее переданных им ПДн.
Соблюдение указанных мер поможет снизить риски при передаче ПДн третьим лицам.
#Privacy
Перед передачей ПДн рекомендуется запросить у потенциального контрагента информацию о реализованной у него системе обеспечения безопасности информации. Это можно сделать несколькими способами:
• получить сертификаты соответствия системы защиты требованиям международных стандартов (ISO / IEC 27001, ISO / IEC 27701);
• попросить заполнить чек-листы с описанием реализованных в компании организационных и технических мер защиты;
• получить независимое заключение об эффективности системы внутренних контролей – в виде отчетов SOC 2 или SOC 3;
• запросить результаты тестирования на проникновение;
• провести интервью со специалистами компании в области ИБ и пр.
Необходимо включить в договор или соглашение с контрагентом положения, которые предусматривают меры защиты ПДн. Например, обязательства по обеспечению конфиденциальности ПДн, правила уведомления об инцидентах, требования об обеспечении правовых оснований при уничтожении или передаче ПДн по окончанию обработки. В случае поручения обработки ПДн контрагенту, необходимо учесть требования к поручению.
Также рекомендуется проводить периодический аудит контрагента на предмет соблюдения требований договора / поручения в части обработки и обеспечения безопасности ПДн.
Чтобы обеспечить защиту предаваемых ПДн, можно использовать шифрование, анонимизацию, защищенные протоколы передачи, двухстороннюю аутентификацию и др. Данные меры позволят минимизировать риски утечки ПДн при их передаче.
При передаче ПДн на территорию иностранного государства надо не забыть:
• до начала передачи ПДн направить в РКН уведомление о намерении осуществлять трансграничную передачу ПДн;
• провести оценку соблюдения иностранным лицом конфиденциальности и обеспечения безопасности ПДн;
• дождаться решения РКН (если страна не обеспечивает адекватную защиту прав субъектов ПДн);
• в случае получения запрета или ограничения на передачу, компания должна обеспечить уничтожение иностранным лицом ранее переданных им ПДн.
Соблюдение указанных мер поможет снизить риски при передаче ПДн третьим лицам.
#Privacy
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram Center
Channel