Рубрика: Новости

Сегодня на площадке Национального центра защиты персональных данных собрались эксперты в сфере защиты персональных данных из Республики Беларуси и Российской Федерации,  лица, ответственные за осуществление внутреннего контроля  за обработкой персональных данных в банках и НКФО, ритейле, у операторов электросвязи, в ИТ-компаниях, туристических, логистических организациях. Онлайн к мероприятию присоединились около ста участников.

Открывая мероприятие, Андрей Гаев, директор Национального центра защиты персональных данных, подчеркнул, что подобные встречи способствуют обмену знаниями и укреплению сотрудничества между белорусскими и российскими специалистами в области защиты персональных данных, позволяют в формате диалога и дискуссии обсудить стратегии и предложить подходы к реализации требований в области защиты данных.

Виталий Диско, заместитель начальника управления контроля и аудита Центра и Кирилл Лаптев, партнер юридической фирмы Anischenko Laptev, выступили с докладом об итогах участия белорусских экспертов в Евразийском конгрессе по защите данных.

Алексей Мунтян, соучредитель общественного учреждения ”Сообщество профессионалов в области приватности“ и CEO в Privacy Advocates, вместе с Кириллом Зюбановым, руководителем команды DPO Wildberries, поделились опытом работы сообщества Regional Privacy Professionals Association.

Владислав Елтовский, советник ”BIRCH LEGAL“ и эксперт в сфере интеллектуальной собственности, информационных технологий и защиты персональных данных, рассказал о российских законодательных особенностях в сфере защиты персональных данных, которые важно учитывать белорусскому бизнесу для обеспечения соответствия требованиям российского регулятора.

Завершилась встреча ответами на практические вопросы и нетворкингом.

По просьбам участников мероприятия размещаем презентации спикеров:
Презентация RPPA

Презентация BIRCH_LEGAL

29 октября в Гродно состоялся  бизнес-интенсив с предпринимателями региона.

На мероприятии обсудили защиту персональных данных в организациях, разобрали типичные ошибки, практические кейсы, узнали, где необходимо обучать сотрудников вопросам защиты данных и информационной безопасности.

Эксперты разобрали тему кибербезопасности, классификации информационных систем и техзащиты информации, а специалисты Гродненского мясокомбината поделились своим практическим опытом реализации мер защиты персональных данных в организации.

Главный вывод, сделанный участниками мероприятия, — защита персональных данных и информационная безопасность являются не только юридической необходимостью, но и стратегическим активом для бизнеса, который способствует устойчивому росту и развитию.

28 октября на базе юридического факультета Гродненского государственного университета имени Янки Купалы состоялась встреча сотрудников Центра со студентами и преподавателями, где обсудили ключевые аспекты реализации законодательства о персональных данных.

О том, какие условия в Беларуси созданы для обеспечения всесторонней защиты персональных данных граждан, рассказал заместитель начальника управления контроля и аудита Центра Виталий Диско.

О базовых правилах информационной безопасности, цифровой грамотности и оборота личных сведений в сети Интернет участникам мероприятия рассказала Ольга Шибко, заместитель начальника управления образовательных услуг и связей с общественностью Центра.

Для студентов был проведен  квиз ”Данные персональные, мы уникальные!“, где участники отвечали на вопросы и учились бережно относиться к своим персональным данным и уважительно – к чужой личной информации.
Центром уделяется пристальное внимание работе с молодежью, созданию адаптированного, доступного для понимания ею материала о персональных данных и их защите.

В преддверии Дня юриста, 28-29 ноября 2024 года, в столице состоится Форум Союза юристов ”Право в современном мире“.

Форум Союза юристов – крупнейшая площадка для диалога между представителями юридического, предпринимательского, политического и правоохранительного сообществ по вопросам права в интересах граждан, бизнеса, совершенствования правоприменительной практики, продвижения законодательных инициатив в целях развития правовой культуры и регулирования социально-экономической сферы в современных условиях.

Организаторами Форума выступает Белорусский республиканский союз юристов, в числе соорганизаторов – Национальный центр защиты персональных данных,  Министерство юстиции, Национальный центр законодательства и правовой информации, ООО «Юрспектр».

Ключевая цель мероприятия – создание платформы для обсуждения актуальных вопросов, связанных с юридической практикой.

Работа форума запланирована в формате шести панелей:

• Право и общественное развитие
• Современные вызовы доктрине и практике нормотворчества   
• Синергия права и технологий   
• Правовая среда бизнеса
• Современное правосудие: доступность и эффективность
• Юридическая наука и образование

В рамках секции ”Персональные данные – сфера особого внимания“  эксперты обсудят актуальные вопросы защиты персональных, в том числе совершенствования законодательства в этой сфере,  локализации данных и снижение рисков возможных инцидентов, связанных с утечками и распространением данных, а практикующие юристы представят на форуме реальные кейсы по защите персональных данных в организациях, а также «Гайд прайвасиста» с инструкцией о том, как не допустить ошибок в интерпретации Закона о защите персональных данных.

С целью обмена опытом и лучшими практиками, налаживания деловых контактов  на площадке Национального центра защиты персональных данных 30 октября соберутся эксперты в сфере защиты персональных данных из Республики Беларусь и Российской Федерации, специалисты, ответственные за осуществление внутреннего контроля  за обработкой персональных данных в банках и НКФО, ритейле, у операторов электросвязи, в ИТ-компаниях, туристических, логистических организациях.

Это событие станет площадкой для обсуждения актуальных вопросов, связанных с безопасностью и правами граждан в цифровом мире.

В рамках встречи участники поделятся успешными проектами и новыми инициативами в области защиты персональных данных, обсудят современные вызовы и угрозы, с которыми сталкиваются организации в сфере информационной безопасности, подведут итоги участия белорусских экспертов в Евразийском конгрессе по защите данных.

Владислав Елтовский, советник ”BIRCH LEGAL“, эксперт в сфере интеллектуальной собственности, информационных технологий и защиты персональных данных расскажет об особенностях российского законодательства в сфере защиты персональных данных и о том, что нужно знать белорусскому бизнесу для соответствия требованиям регулятора.

Опытом активного взаимодействия профессионалов в области приватности в Российской Федерации поделятся эксперты Алексей Мунтян, соучредитель общественного учреждения ”Сообщество профессионалов в области приватности“, и Кирилл Зюбанов, руководитель команды DPO крупного маркетплейса.

Подобные мероприятия помогают специалистам в сфере защиты персональных данных обогатить свои знания, расширить сеть профессиональных контактов и внести свой вклад в развитие безопасного и этичного подхода к обработке персональных данных.

Следите за нашими новостями, к мероприятию можно будет присоединиться онлайн!

24 октября на площадке городской детской инфекционной клинической больницы состоялся семинар, в котором приняли участие более двухсот  руководителей и специалистов учреждений здравоохранения г. Минска.

Мероприятие организовано ООО ”Юрспектр“ во взаимодействии с Национальным центром защиты персональных данных и комитетом по здравоохранению Мингорисполкома.

Поликлиники, больницы являются операторами персональных данных своих пациентов и своих работников. Они принимают непосредственное участие в сборе, систематизации, накоплении данных и иных действий с такой информацией. Особенностью учреждений здравоохранения является и то, что они собирают и хранят данные, крайне чувствительные для любого человека, в том числе специальные персональные данные, – результаты лабораторных исследований, диагнозы, истории болезней. Ввиду этого законодательство предъявляет серьезные требования для принятия надлежащих мер по защите персональных данных граждан, обратившихся за медицинской помощью.

В рамках семинара эксперты Национального центра защиты персональных данных на основании анализа поступающих обращений разобрали проблемные вопросы защиты персональных данных в сфере здравоохранения:

• получение согласий субъекта персональных данных на обработку персональных данных в информационных ресурсах (системах);
• предоставление персональных данных третьим лицам;
• распространение информации о пациентах, работниках и иных лицах на сайте, в социальных сетях, мессенджерах;
• осуществление видеонаблюдения в организациях здравоохранения;
• осуществление трансграничной передачи персональных данных.

Отдельно обсуждены меры по обеспечению защиты персональных данных, в том числе организации обучения сотрудников.

По многочисленным просьбам участников семинара делимся презентациями спикеров Центра:

Проблемные вопросы защиты персональных данных в сфере здравоохранения.

Обучение в сфере защиты персональных данных и информационной безопасности.

24-25 октября 2024 пройдет Евразийский конгресс по защите данных.  Это мероприятие организовано сообществами и ассоциациями по безопасности личных данных. Конгресс предлагает площадку для профессиональных знакомств, обмена опытом и знаниями на международном уровне.

В нем примут участие  эксперты, компании, государственные и общественные организации, занимающиеся вопросами защиты персональных данных и информационной безопасности.

В рамках секции ”Из Беларуси с любовью: какие уроки может извлечь DPO (и не только) из работы в Республике Беларусь?“ выступят:

• Виталий Диско, заместитель начальника управления контроля и аудита Национального центра защиты персональных данных;
• Михаил Ратушный, руководитель практики защиты персональных данных Ozon (DPO), приглашенный преподаватель НИУ ВШЭ, CIPP/E;
• Кирилл Зюбанов, руководитель команды DPO Wildberries, преподаватель на курсе RPPA DPO;
• Антон Тростянко, директор по безопастности крупнейшего хостинг-провайдера РБ и одного из лидеров услуг по кибербезопасности hoster.by;
• Сергей Пашковский, CISO ООО «Позитив Вью» Соавтор Концепции информационной безопасности Республики Беларусь;
• Владислав Жавнерчик, DPO в hoster.by;
• Кирилл Лаптев, партнер юридической фирмы Anischenko Laptev (Беларусь), член консультативного совета при Национальном центре защиты персональных данных Республики Беларусь.

Присоединиться к мероприятию можно онлайн.

29 октября на базе Гродненского научно-технологического  парка (г. Гродно, ул. Гаспадарчая, 23/4, конференц-зал, пом.101) состоится региональный бизнес-интенсив ”Защита персональных данных и информационная безопасность: реальные кейсы, эффективные стратегии“.

Организаторы мероприятия: Национальный центр защиты персональных данных, ООО ”Надежные программы“ (hoster.by),  Гродненская областная ассоциация предпринимательства, РУП ”УНПЦ ”Технолаб“.

Основная цель проекта – практическая помощь представителям бизнеса в вопросах обеспечения надежной защиты персональных данных и информационной безопасности.

Эксперты расскажут об обязательных мерах по защите персональных данных работников и клиентов, которые должны быть реализованы в каждой организации в рамках законодательства, о наиболее распространённых нарушениях, рисках и уязвимостях при обработке персональных данных, с которыми чаще всего сталкиваются компании в своей деятельности, а также о доступных решениях обеспечения информационной безопасности.

Региональный опыт в формате практического кейса по защите данных представят специалисты  ОАО ”Гродненский мясокомбинат“.

Приглашаем к участию представителей бизнеса, специалистов по информационным технологиям, информационной безопасности, защите персональных данных.

Участие в мероприятии – бесплатное, регистрация по ссылке https://hoster.by/clients/actions/biznes-intensiv-v-grodno/.

Центр кибербезопасности hoster.by обнаружил цепочку взломов сайтов, преимущественно интернет-магазинов. Проблема может коснуться всех, кто использует продукты «Аспро» для своих веб-ресурсов на основе системы 1С-Битрикс. Через уязвимость скриптов на серверы клиентов устанавливался вредоносный софт для скрытого майнинга.

«Своим клиентам мы помогли решить проблему, их ресурсы не пострадали из-за атаки. Но мы выяснили, что уязвимость позволяет не только устанавливать вредоносное ПО, но и получить доступ к данным — вплоть до логина и пароля к панели управления сайтом», — комментирует руководитель центра кибербезопасности hoster.by Антон Тростянко. 

Поскольку разработчик проблемного ПО не реагирует на обращения, специалисты по кибербезопасности hoster.by разработали инструкцию для владельцев сайтов на CMS 1С-Битрикс. С ее помощью вы или ваш IT-специалист можете проверить свой сайт и закрыть уязвимость самостоятельно. Более подробный технический материал с описанием проблемы можно найти на сайте hoster.by.

Как обнаружить уязвимость

Проблема касается исключительно пользователей продуктов «Аспро», а не всех сайтов на 1С-Битрикс. Атаки происходят через уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. Обнаружить их можно в директории пользователя bitrix ~/ajax/).  Они плохо проверяют пользовательский ввод и имеют ряд других слабых мест. Из-за этого становится возможным удаленное выполнение команд на вашем ресурсе. 

Как решить проблему

Если вы обнаружили проблемные скрипты на своем ресурсе, необходимо:

1. Остановить все вредоносные процессы. 
2. Сменить пароли всех используемых учетных записей 1C-Битрикс.
3. Обновить CMS и все ее модули до последних версий.
4. Внести дополнения в скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. А именно — заменить $arParams = unserialize(urldecode($_REQUEST[«PARAMS»])); на $arParams = json_decode($_REQUEST[«PARAMS»]).

«Мы не нашли следов каких-либо деструктивных действий по отношению к чувствительной информации клиентов. Поэтому полагаем, что в инцидентах целью злоумышленников был заработок через майнинг криптовалюты, — прокомментировал руководитель центра кибербезопасности hoster.by Антон Тростянко. — Но не исключено, что это было только началом, и отсутствие быстрой реакции со стороны центра кибербезопасности могло бы привести к утечкам конфиденциальной информации или персональных данных». 

Если у вас не получается самостоятельно решить проблему, пожалуйста, обращайтесь в техническую поддержку hoster.by.

Сегодня в столице на площадке ”CYBER SECURITY FORUM“ состоялся круглый стол по проблематике кадрового голода в сфере информационной безопасности, формированию профессиональных компетенций и команды.

Ирина Близнюк, начальник управления образовательных услуг и связей с общественностью Центра рассказала участникам мероприятия о ключевых факторах  назначения лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в организации.

– Важно учитывать квалификацию и опыт таких специалистов. Это лицо должно обладать достаточными знаниями в области защиты персональных данных, а также опытом работы с нормативными правовыми актами, регулирующими эту сферу. Специалист должен иметь возможность взаимодействовать с различными структурными подразделениями организации и давать обязательные к исполнению указания. Это требует определенного уровня административных полномочий и поддержки со стороны руководства, – подчеркнула Ирина Близнюк.

Она отметила, что должностные обязанности специалиста по внутреннему контролю за обработкой персональных данных определены в Едином квалификационном справочнике должностей служащих (ЕКСД) ”Должности служащих для всех видов деятельности“.

Обсуждали в рамках круглого стола вопросы обучения и сертификации ответственных за информационную безопасность, защиту персональных данных. Своим опытом в этом вопросе делились руководители структурных подразделений по защите информации разных компаний.

Национальный центр защиты персональных данных неоднократно обозначал, что институт ответственного за осуществление внутреннего контроля за обработкой персональных данных является одним из основных инструментов обеспечения надлежащего соблюдения обязанностей, возложенных на организации Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“.

Варианты организации внутреннего контроля за обработкой персональных данных:

• создание отдельного структурного подразделения;
• назначение освобожденного работника (специалиста по внутреннему контролю за обработкой персональных данных);
• возложение дополнительных функций на одного из работников;
• возложение дополнительных функций на нескольких работников или на отдельное структурное подразделение.

Нецелесообразно возложение функций исключительно на специалиста по информационной безопасности. Почему важно не совмещать эту роль с ответственностью за информационную безопасность?

Во-первых, присутствует конфликт интересов. Ответственное лицо за обработку персональных данных должно сосредоточиться на защите прав субъектов данных и соблюдении нормативных, организационных  и технических требований, что в большей степени характерно для работы специалиста с юридическим образованием. В свою очередь специалист по информационной безопасности занимается защитой информационных систем от внешних и внутренних угроз.

Во-вторых, совмещение этих ролей может привести к перегрузке одного сотрудника и снижению эффективности выполнения обязанностей. Назначение отдельного лица, ответственного за внутренний контроль за обработкой персональных данных, позволяет обеспечить более эффективное соблюдение требований законодательства и защиту прав субъектов данных.

Назначение отдельного лица (структурного подразделения), ответственного за внутренний контроль за обработкой персональных данных, позволяет обеспечить более эффективное соблюдение требований законодательства и защиту прав субъектов персональных данных.