Автор: Ольга Шибко

В преддверии Дня юриста, 28-29 ноября 2024 года, в столице состоится Форум Союза юристов ”Право в современном мире“.

Форум Союза юристов – крупнейшая площадка для диалога между представителями юридического, предпринимательского, политического и правоохранительного сообществ по вопросам права в интересах граждан, бизнеса, совершенствования правоприменительной практики, продвижения законодательных инициатив в целях развития правовой культуры и регулирования социально-экономической сферы в современных условиях.

Организаторами Форума выступает Белорусский республиканский союз юристов, в числе соорганизаторов – Национальный центр защиты персональных данных,  Министерство юстиции, Национальный центр законодательства и правовой информации, ООО «Юрспектр».

Ключевая цель мероприятия – создание платформы для обсуждения актуальных вопросов, связанных с юридической практикой.

Работа форума запланирована в формате шести панелей:

• Право и общественное развитие
• Современные вызовы доктрине и практике нормотворчества   
• Синергия права и технологий   
• Правовая среда бизнеса
• Современное правосудие: доступность и эффективность
• Юридическая наука и образование

В рамках секции ”Персональные данные – сфера особого внимания“  эксперты обсудят актуальные вопросы защиты персональных, в том числе совершенствования законодательства в этой сфере,  локализации данных и снижение рисков возможных инцидентов, связанных с утечками и распространением данных, а практикующие юристы представят на форуме реальные кейсы по защите персональных данных в организациях, а также «Гайд прайвасиста» с инструкцией о том, как не допустить ошибок в интерпретации Закона о защите персональных данных.

С целью обмена опытом и лучшими практиками, налаживания деловых контактов  на площадке Национального центра защиты персональных данных 30 октября соберутся эксперты в сфере защиты персональных данных из Республики Беларусь и Российской Федерации, специалисты, ответственные за осуществление внутреннего контроля  за обработкой персональных данных в банках и НКФО, ритейле, у операторов электросвязи, в ИТ-компаниях, туристических, логистических организациях.

Это событие станет площадкой для обсуждения актуальных вопросов, связанных с безопасностью и правами граждан в цифровом мире.

В рамках встречи участники поделятся успешными проектами и новыми инициативами в области защиты персональных данных, обсудят современные вызовы и угрозы, с которыми сталкиваются организации в сфере информационной безопасности, подведут итоги участия белорусских экспертов в Евразийском конгрессе по защите данных.

Владислав Елтовский, советник ”BIRCH LEGAL“, эксперт в сфере интеллектуальной собственности, информационных технологий и защиты персональных данных расскажет об особенностях российского законодательства в сфере защиты персональных данных и о том, что нужно знать белорусскому бизнесу для соответствия требованиям регулятора.

Опытом активного взаимодействия профессионалов в области приватности в Российской Федерации поделятся эксперты Алексей Мунтян, соучредитель общественного учреждения ”Сообщество профессионалов в области приватности“, и Кирилл Зюбанов, руководитель команды DPO крупного маркетплейса.

Подобные мероприятия помогают специалистам в сфере защиты персональных данных обогатить свои знания, расширить сеть профессиональных контактов и внести свой вклад в развитие безопасного и этичного подхода к обработке персональных данных.

Следите за нашими новостями, к мероприятию можно будет присоединиться онлайн!

24 октября на площадке городской детской инфекционной клинической больницы состоялся семинар, в котором приняли участие более двухсот  руководителей и специалистов учреждений здравоохранения г. Минска.

Мероприятие организовано ООО ”Юрспектр“ во взаимодействии с Национальным центром защиты персональных данных и комитетом по здравоохранению Мингорисполкома.

Поликлиники, больницы являются операторами персональных данных своих пациентов и своих работников. Они принимают непосредственное участие в сборе, систематизации, накоплении данных и иных действий с такой информацией. Особенностью учреждений здравоохранения является и то, что они собирают и хранят данные, крайне чувствительные для любого человека, в том числе специальные персональные данные, – результаты лабораторных исследований, диагнозы, истории болезней. Ввиду этого законодательство предъявляет серьезные требования для принятия надлежащих мер по защите персональных данных граждан, обратившихся за медицинской помощью.

В рамках семинара эксперты Национального центра защиты персональных данных на основании анализа поступающих обращений разобрали проблемные вопросы защиты персональных данных в сфере здравоохранения:

• получение согласий субъекта персональных данных на обработку персональных данных в информационных ресурсах (системах);
• предоставление персональных данных третьим лицам;
• распространение информации о пациентах, работниках и иных лицах на сайте, в социальных сетях, мессенджерах;
• осуществление видеонаблюдения в организациях здравоохранения;
• осуществление трансграничной передачи персональных данных.

Отдельно обсуждены меры по обеспечению защиты персональных данных, в том числе организации обучения сотрудников.

По многочисленным просьбам участников семинара делимся презентациями спикеров Центра:

Проблемные вопросы защиты персональных данных в сфере здравоохранения.

Обучение в сфере защиты персональных данных и информационной безопасности.

24-25 октября 2024 пройдет Евразийский конгресс по защите данных.  Это мероприятие организовано сообществами и ассоциациями по безопасности личных данных. Конгресс предлагает площадку для профессиональных знакомств, обмена опытом и знаниями на международном уровне.

В нем примут участие  эксперты, компании, государственные и общественные организации, занимающиеся вопросами защиты персональных данных и информационной безопасности.

В рамках секции ”Из Беларуси с любовью: какие уроки может извлечь DPO (и не только) из работы в Республике Беларусь?“ выступят:

• Виталий Диско, заместитель начальника управления контроля и аудита Национального центра защиты персональных данных;
• Михаил Ратушный, руководитель практики защиты персональных данных Ozon (DPO), приглашенный преподаватель НИУ ВШЭ, CIPP/E;
• Кирилл Зюбанов, руководитель команды DPO Wildberries, преподаватель на курсе RPPA DPO;
• Антон Тростянко, директор по безопастности крупнейшего хостинг-провайдера РБ и одного из лидеров услуг по кибербезопасности hoster.by;
• Сергей Пашковский, CISO ООО «Позитив Вью» Соавтор Концепции информационной безопасности Республики Беларусь;
• Владислав Жавнерчик, DPO в hoster.by;
• Кирилл Лаптев, партнер юридической фирмы Anischenko Laptev (Беларусь), член консультативного совета при Национальном центре защиты персональных данных Республики Беларусь.

Присоединиться к мероприятию можно онлайн.

29 октября на базе Гродненского научно-технологического  парка (г. Гродно, ул. Гаспадарчая, 23/4, конференц-зал, пом.101) состоится региональный бизнес-интенсив ”Защита персональных данных и информационная безопасность: реальные кейсы, эффективные стратегии“.

Организаторы мероприятия: Национальный центр защиты персональных данных, ООО ”Надежные программы“ (hoster.by),  Гродненская областная ассоциация предпринимательства, РУП ”УНПЦ ”Технолаб“.

Основная цель проекта – практическая помощь представителям бизнеса в вопросах обеспечения надежной защиты персональных данных и информационной безопасности.

Эксперты расскажут об обязательных мерах по защите персональных данных работников и клиентов, которые должны быть реализованы в каждой организации в рамках законодательства, о наиболее распространённых нарушениях, рисках и уязвимостях при обработке персональных данных, с которыми чаще всего сталкиваются компании в своей деятельности, а также о доступных решениях обеспечения информационной безопасности.

Региональный опыт в формате практического кейса по защите данных представят специалисты  ОАО ”Гродненский мясокомбинат“.

Приглашаем к участию представителей бизнеса, специалистов по информационным технологиям, информационной безопасности, защите персональных данных.

Участие в мероприятии – бесплатное, регистрация по ссылке https://hoster.by/clients/actions/biznes-intensiv-v-grodno/.

Центр кибербезопасности hoster.by обнаружил цепочку взломов сайтов, преимущественно интернет-магазинов. Проблема может коснуться всех, кто использует продукты «Аспро» для своих веб-ресурсов на основе системы 1С-Битрикс. Через уязвимость скриптов на серверы клиентов устанавливался вредоносный софт для скрытого майнинга.

«Своим клиентам мы помогли решить проблему, их ресурсы не пострадали из-за атаки. Но мы выяснили, что уязвимость позволяет не только устанавливать вредоносное ПО, но и получить доступ к данным — вплоть до логина и пароля к панели управления сайтом», — комментирует руководитель центра кибербезопасности hoster.by Антон Тростянко. 

Поскольку разработчик проблемного ПО не реагирует на обращения, специалисты по кибербезопасности hoster.by разработали инструкцию для владельцев сайтов на CMS 1С-Битрикс. С ее помощью вы или ваш IT-специалист можете проверить свой сайт и закрыть уязвимость самостоятельно. Более подробный технический материал с описанием проблемы можно найти на сайте hoster.by.

Как обнаружить уязвимость

Проблема касается исключительно пользователей продуктов «Аспро», а не всех сайтов на 1С-Битрикс. Атаки происходят через уязвимые скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. Обнаружить их можно в директории пользователя bitrix ~/ajax/).  Они плохо проверяют пользовательский ввод и имеют ряд других слабых мест. Из-за этого становится возможным удаленное выполнение команд на вашем ресурсе. 

Как решить проблему

Если вы обнаружили проблемные скрипты на своем ресурсе, необходимо:

1. Остановить все вредоносные процессы. 
2. Сменить пароли всех используемых учетных записей 1C-Битрикс.
3. Обновить CMS и все ее модули до последних версий.
4. Внести дополнения в скрипты reload_basket_fly.php, show_basket_fly.php, show_basket_popup.php. А именно — заменить $arParams = unserialize(urldecode($_REQUEST[«PARAMS»])); на $arParams = json_decode($_REQUEST[«PARAMS»]).

«Мы не нашли следов каких-либо деструктивных действий по отношению к чувствительной информации клиентов. Поэтому полагаем, что в инцидентах целью злоумышленников был заработок через майнинг криптовалюты, — прокомментировал руководитель центра кибербезопасности hoster.by Антон Тростянко. — Но не исключено, что это было только началом, и отсутствие быстрой реакции со стороны центра кибербезопасности могло бы привести к утечкам конфиденциальной информации или персональных данных». 

Если у вас не получается самостоятельно решить проблему, пожалуйста, обращайтесь в техническую поддержку hoster.by.

Сегодня в столице на площадке ”CYBER SECURITY FORUM“ состоялся круглый стол по проблематике кадрового голода в сфере информационной безопасности, формированию профессиональных компетенций и команды.

Ирина Близнюк, начальник управления образовательных услуг и связей с общественностью Центра рассказала участникам мероприятия о ключевых факторах  назначения лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в организации.

– Важно учитывать квалификацию и опыт таких специалистов. Это лицо должно обладать достаточными знаниями в области защиты персональных данных, а также опытом работы с нормативными правовыми актами, регулирующими эту сферу. Специалист должен иметь возможность взаимодействовать с различными структурными подразделениями организации и давать обязательные к исполнению указания. Это требует определенного уровня административных полномочий и поддержки со стороны руководства, – подчеркнула Ирина Близнюк.

Она отметила, что должностные обязанности специалиста по внутреннему контролю за обработкой персональных данных определены в Едином квалификационном справочнике должностей служащих (ЕКСД) ”Должности служащих для всех видов деятельности“.

Обсуждали в рамках круглого стола вопросы обучения и сертификации ответственных за информационную безопасность, защиту персональных данных. Своим опытом в этом вопросе делились руководители структурных подразделений по защите информации разных компаний.

Национальный центр защиты персональных данных неоднократно обозначал, что институт ответственного за осуществление внутреннего контроля за обработкой персональных данных является одним из основных инструментов обеспечения надлежащего соблюдения обязанностей, возложенных на организации Законом Республики Беларусь от 7 мая 2021 г. № 99-З ”О защите персональных данных“.

Варианты организации внутреннего контроля за обработкой персональных данных:

• создание отдельного структурного подразделения;
• назначение освобожденного работника (специалиста по внутреннему контролю за обработкой персональных данных);
• возложение дополнительных функций на одного из работников;
• возложение дополнительных функций на нескольких работников или на отдельное структурное подразделение.

Нецелесообразно возложение функций исключительно на специалиста по информационной безопасности. Почему важно не совмещать эту роль с ответственностью за информационную безопасность?

Во-первых, присутствует конфликт интересов. Ответственное лицо за обработку персональных данных должно сосредоточиться на защите прав субъектов данных и соблюдении нормативных, организационных  и технических требований, что в большей степени характерно для работы специалиста с юридическим образованием. В свою очередь специалист по информационной безопасности занимается защитой информационных систем от внешних и внутренних угроз.

Во-вторых, совмещение этих ролей может привести к перегрузке одного сотрудника и снижению эффективности выполнения обязанностей. Назначение отдельного лица, ответственного за внутренний контроль за обработкой персональных данных, позволяет обеспечить более эффективное соблюдение требований законодательства и защиту прав субъектов данных.

Назначение отдельного лица (структурного подразделения), ответственного за внутренний контроль за обработкой персональных данных, позволяет обеспечить более эффективное соблюдение требований законодательства и защиту прав субъектов персональных данных.

Сегодня в Минске проходит форум по кибербезопасности, где особое внимание уделено вопросам защиты персональных данных и регуляторике информационной безопасности в Беларуси.

Эксперты Оперативно-аналитического центра при Президенте Республики Беларусь, Национального центра защиты персональных данных, Комитета по цифровой безопасности Научно-технологической ассоциации ”Инфопарк“, Белорусского межбанковского расчетного центра и Центра кибербезопасности ООО ”Надежные программы“ обсудили текущие вызовы и перспективы в сфере информационной безопасности, а также рассмотрели инициативы, направленные на усиление защиты данных.

Ключевыми темами для обсуждения стали функционирование национальной системы обеспечения кибербезопасности, повышение безопасности и надежности информационных систем, реализация норм законодательства о персональных данных в различных сферах.

Участники пленарного заседания  ”Регуляторика в информационной безопасности и как она влияет на бизнес“ отметили важность дальнейшего совершенствования нормативной базы и внедрения передовых технологий для обеспечения безопасности информации, а также обсудили возможное увеличение санкций за несоблюдение мер по обеспечению защиты персональных данных.

Виталий Диско, заместитель начальника управления контроля и аудита Национального центра защиты персональных данных подчеркнул, что на сегодняшний день в Беларуси обеспечено стабильное правовое регулирование, тем не менее, учитывая практику применения законодательства о персональных данных, прорабатывается вопрос о плановой корректировке нормативных правовых актов.

Также на форуме обсуждаются меры по предотвращению кибератак и защите критической информационной инфраструктуры.

С начала 2024 года на базе Института информационных технологий учреждения образования ”Белорусский государственный университет информатики и радиоэлектроники“ стартовало обучение по специальности переподготовки 9-09-0611-05 ”Защита персональных данных“ с последующим присвоением квалификации – ”специалист по безопасности данных“.

Сегодня это востребованный способ подготовки квалифицированных специалистов в сфере защиты данных для различных организаций.

В рамках заочной и вечерней форм получения образования по указанному направлению уже обучаются две группы слушателей, каждый второй из них имеет юридическое образование.

Прием документов на предстоящий учебный год осуществляется до 7 октября 2024 года.

Целью переподготовки является обеспечение операторов персональных данных специалистами, владеющими современными компетенциями, необходимыми для обработки персональных данных, их защиты, в том числе способными на высоком профессиональном уровне осуществлять внутренний контроль за обработкой персональных данных у оператора (уполномоченного лица).

Реализация указанной образовательной программы осуществляется в заочной (24 месяца) и вечерней (16 месяцев) формах получения образования при непосредственном взаимодействии с Национальным центром защиты персональных данных.

Дополнительную информацию можно получить у методиста Босько Ольги Владимировны по телефонам: +375(17) 366-63-85, +375(29) 390-88-95, bosko@bsuir.by.

Сайт: iit.bsuir.by. Адрес: г. Минск, ул. Козлова, д. 28.

XII Белорусско-российский молодежный форум прошел в столице 25-26 сентября.

Участники мероприятия – представители всех регионов Беларуси и шести регионов России. Насыщенная программа форума включала в себя рассмотрение актуальной повестки государственной молодежной политики и международного сотрудничества для ее реализации.

Кроме того, на базе на базе Республиканского молодежного центра состоялась секция ”Развитие медийно-информационной грамотности: новые технологии и вызовы“, где представители молодежи обсудили вопросы защиты персональных данных и цифровой безопасности. Для участников форума представители Национального центра защиты персональных данных организовали квиз по защите личной информации и вручили памятные сувениры.

Центром уделяется пристальное внимание работе с молодежью, созданию адаптированного, доступного для понимания ею материала о персональных данных и их защите.

С одной стороны, это непосредственно способствует недопущению нарушения прав и законных интересов. С другой стороны, это инвестиция в будущее, поскольку полученные сейчас знания будут успешно применяться во взрослой жизни, на рабочих местах.