Журнал для руководителей компаний и специалистов ИБ Выпуск №11: ноябрь

Описание

Журнал для руководителей компаний и специалистов ИБ
Выпуск №11: ноябрь

Друзья, на связи команда АйЭсТи! Мы рады представить вам октябрьский выпуск нашего ежемесячного дайджеста для руководителей и специалистов в области информационной безопасности.

Сегодня информационный поток огромен. Мы часто зацикливаемся на одном, пропуская важные аспекты и нюансы, которые на самом деле могут оказать решающее влияние на безопасность бизнеса.

В этом выпуске:

ИБ-драма в трех актах: решили вложиться в безопасность, а получили дыру в бюджете и дополнительную головную боль
Как пройти собеседование на должность мечты и стать техническим лидом
Разбор кейса: передача ПДн сотрудников в облачную BI-систему

Читать предыдущий номер

Обложка / иллюстрация выпуска

Решили вложиться в безопасность, а получили дыру в бюджете и дополнительную головную боль

Классический сюжет в трёх актах: покупка дорогого «коробочного чуда», разочарование, поиск виноватых. А можно сменить жанр — и превратить кибербезопасность из статьи расходов в инструмент оптимизации всего бизнеса.

Представьте, вы за рулём. На дороге наледь, за бортом метель и туман. На вашу безопасность работает целая система: от базового решения вовремя «переобуться» до умения почувствовать момент, когда нужно сбросить газ и уйти от заноса.

С киберустойчивостью происходит то же самое. Это способность компании предвидеть угрозы, выдерживать атаки, быстро восстанавливаться и адаптировать процессы так, чтобы бизнес продолжал работать даже в неблагоприятных условиях.

Чтобы эту устойчивость не покупать вслепую, а собирать как понятную конструкцию, мы разработали SEER — фреймворк киберустойчивости, в котором каждый следующий уровень защиты опирается на предыдущий. Его премьера прошла на Первенстве и чемпионате России по спортивному программированию в Оренбурге.

Как выстроить свою пирамиду киберустойчивости

01 SEER Origin
Выделение рисков на бизнес-уровне

02 SEER Audit
Выявление недостатков в инфраструктуре и процессах

03 SEER RedTeam
Симуляция сценариев

04 SEER Align
Устранение возможности причинения неприемлемого ущерба в результате нарушения работы ИТ систем

05 SEER Sentinel
Мониторинг, оперативное реагирование на инциденты и регулярные тренировки команды

Так кибербезопасность перестаёт быть дорогой «страховкой на всякий случай» и превращается в инфраструктуру, которая поддерживает устойчивость бизнеса каждый день.

Как пройти собеседование на должность мечты и стать техническим лидом

— Если бы ты начинал карьеру в ИБ сейчас, что бы сделал в первую очередь?

Задали этот вопрос нашему техническому директору. И вот что он ответил:

— Освоил базу и прочитал эти две книги:

«Компьютерные сети. Принципы, технологии, протоколы: Юбилейное издание, дополненное и исправленное»

«Компьютерные сети. 6-е изд.»

А как пройти собеседование на должность мечты и стать техническим лидом — смотрите в нашем подкасте

https://vk.com/video-58486999_456239290?t=32s

Пишите промокод КАРЬЕРА и получайте скидку 20% на любой курс учебного центра АйЭсТи: istedu.getcourse.ru/vebinar

30+ ресурсов по кибербезу, которые упростят работу в 2 раза:

Открыть подборку ресурсов

Разбор кейса: передача ПДн сотрудников в облачную BI-систему

Как передавать ПДн сотрудников в BI систему законно: 2 документа и 8 важных моментов в договоре

Ситуация

Компания ведет кадровый учет и рассчитывает заработную плату во внутренней ERP-системе.
Руководство внедряет новую облачную BI-систему для управленческой аналитики и хочет строить детализированные отчеты по сотрудникам.
В процессе настройки выясняется, что в BI будут передаваться ФИО и должности, то есть персональные данные работников.
Вопрос: что нужно сделать перед передачей ПДн в облачную BI-систему?

Краткий ответ

Перед выгрузкой ФИО и должностей сотрудников в облачную BI-систему компании нужно: оформить правовое основание обработки (как правило — письменное согласие сотрудников или надлежащее обоснование по ст. 6 Закона о ПДн) и заключить с владельцем BI-сервиса договор с поручением на обработку персональных данных.

Почему меняются юридические риски

Появляется новый участник обработки — облачный провайдер BI не просто «сервис», а лицо, которое будет обрабатывать ПДн по поручению оператора.
Появляется новая цель обработки — управленческая и бизнес-аналитика, отличная от расчета зарплаты и кадрового учета.
Значит, компании нужно и законно обосновать новую обработку ПДн, и формализовать отношения с владельцем BI-сервиса.

Документ 1: основание обработки ПДн

Компания должна подтвердить законность передачи ФИО и должностей в BI-систему.

Варианты:

использовать уже имеющееся правовое основание (договор, закон, локальный акт), если цель обработки укладывается в первоначальные рамки;
либо получить отдельные письменные согласия работников на обработку ПДн в BI-системе в целях аналитики, если без согласия обойтись нельзя.

В согласии (или в уведомлении работника, если обосновываемся договором/законом) должны быть прописаны цели, перечень ПДн, предполагаемые получатели и правовое основание обработки.

Документ 2: договор с владельцем BI-системы

С провайдером BI-сервиса нужно заключить договор, где есть блок о поручении обработки персональных данных по ч. 3 ст. 6 Закона № 152-ФЗ. Такой договор фиксирует, что провайдер действует по поручению оператора, а ответственность перед субъектами ПДн за его действия несет оператор.

Раздел о ПДн можно оформить как отдельное приложение или как часть основного договора на оказание услуг.

8 ключевых пунктов в поручении оператору

1. Перечень передаваемых ПДн Четко указать, какие данные поступают в BI: ФИО, должность, подразделение, идентификаторы и т.п. 2. Перечень операций с ПДн Описать, какие действия совершает провайдер: сбор, запись, систематизация, хранение, обезличивание, формирование отчетов, удаление и т.д. 3. Цели обработки Зафиксировать, что данные обрабатываются для бизнес-аналитики, подготовки управленческой отчетности, дашбордов и иных управленческих решений. 4. Обязанность сохранять конфиденциальность Установить запрет на раскрытие ПДн третьим лицам и на использование их в личных целях исполнителя, кроме случаев, когда это прямо требуется законом или оператором. 5. Требования ч. 5 ст. 18 и ст. 18.1 Закона № 152-ФЗ Предусмотреть, что провайдер внедряет организационные и технические меры, выполняет обязанности оператора при сборе и обработке ПДн, локальные акты и процедуры по ИБ. 6. Обязанность предоставлять документы и информацию по запросу оператора Закрепить, что провайдер по требованию компании предоставляет документы и сведения, подтверждающие выполнение требований по ПДн и мерам защиты. 7. Обязанность обеспечивать безопасность ПДн Установить, что провайдер обеспечивает безопасность ПДн в соответствии со ст. 19 Закона № 152-ФЗ: уровни защищенности, применение СЗИ, режимы доступа, журналирование и т.п. 8. Требования к защите и уведомлению об инцидентах Включить требования к защите обрабатываемых ПДн, в том числе обязанность уведомлять оператора о неправомерной или случайной передаче ПДн, как это предусмотрено ч. 3.1 ст. 21 Закона № 152-ФЗ.

Назад к списку

Заказать звонок

Написать сообщение

Ближайший офис

Журнал для руководителей компаний и специалистов ИБ Выпуск №11: ноябрь

Описание