Пока нет отзывов. Будьте первым, кто поделится своим опытом!
Последние посты
ИБ в Узбекистане (ITTS)
15 мая 2026 г., 00:50
С обработкой биометрических данных в Узбекистане завинчиваются гайки.
1️⃣ Базы, содержащие биометрические данные, https://lex.uz/docs/4396428#8109579 и их обработка должна быть https://lex.uz/docs/4396428#8109608.
2️⃣ Обработка биометрических данных без согласия субъекта может быть только в ограниченном числе случаев. Например, при пересечении госграницы обработка биометрических данных https://lex.uz/ru/docs/6605259#6608075.
3️⃣ В остальных случаях закон прямо требует: https://lex.uz/docs/4396428#4398732
❓Дают ли такое согласие посетители многих фитнес и бизнес-центров, где установлены биометрические системы контроля и управления доступом? Вряд ли. Если так, то это https://www.lex.uz/ru/docs/97661#4411592.
🤔 А что если на предприятии установлена биометрическая пропускная система, а работник отказывается давать согласие? Или сначала дал его, а потом отозвал?
Тогда для него нужно будет придумать альтернативный режим пропуска на территорию. Например, выдать бесконтактную карту или вообще бумажный пропуск. Но без согласия субъекта обрабатывать его биометрические данные в этом случае нельзя.
1,130
9
0
ИБ в Узбекистане (ITTS)
15 мая 2026 г., 00:50
📎 File
✅🇺🇿Мы подготовили обновлённую версию чек-листа по выполнению базовых требований законодательства Республики Узбекистан о персональных данных.
Теперь в нём 4️⃣9️⃣ вопросов. Часть вопросов уточнена, изменения и новинки выделены синим цветом.
Вы сможете заполнить его сами и посмотреть, насколько ваше предприятие соответствует Закону.
Учтены новые требования по локализации обработки ПДн, введённые поправками к закону РУз "О персональных данных" в марте 2026 года.
🔗По каждому требованию дана ссылка-обоснование. Это не замена полноценному аудиту, а отправная точка для работы.
☎️Оценив ситуацию, вы можете https://www.itts.uz/contacts за проведением , консалтингом, https://www.itts.uz/activities/privacy.
1,250
15
ИБ в Узбекистане (ITTS)
15 мая 2026 г., 00:50
📷 Photo
Что случится, если бизнес не учитывает требования законодательства о персональных данных?
В выходные наш работник встретил такой баннер с рекламой языкового учебного центра в районе базарчика “Авиасозлар” в Ташкенте. Для подтверждения качества обучения приводятся сертификаты IELTS. В них указываются ФИО, дата рождения, серия и номер паспорта, фотография.
Подлинность указанных паспортных данных не вызывает сомнений, такой человек действительно существует.
🤔Как думаете, было ли получено согласие от всех, чьи сертификаты вывесили?
Есть ли тут нарушение? Единственный способ сделать такую рекламу законно - https://lex.uz/docs/4396428#4398232.
Если это не было сделано, то это https://www.lex.uz/ru/docs/97661#4411592 для оператора.
891
ИБ в Узбекистане (ITTS)
15 мая 2026 г., 00:50
[poll]
994
4
0
ИБ в Узбекистане (ITTS)
15 мая 2026 г., 00:50
Предприятие решило заняться защитой персональных данных. Кому доверить миссию?
Среди тех, на кого можно "повесить" тему защиты персональных данных, фигурируют:
🔹Юристы. За этот вариант чаще .
🔹Отдел ИБ. Мы "топим" за этот вариант, особенно применительно к Узбекистану, . С этого проще начать. А уже дальше сделать DPO полностью самостоятельным.
🔹ИТ/Compliance.
Какие наши доказательства?
1. Защита персональных данных укладывается в само понятие "информационная безопасность". ().
2. Для аудита ПДн и реинжиниринга бизнес-процессов в части обработки ПДн нужен административный вес. У ИБ он обычно выше. Напомним, что .
3. Главный стандарт ИБ - 27001:2022. . Даже в нём прямо упоминаются персональные данные. Его расширением в части ПДн является https://www.iso.org/standard/27701, по нему местных сертификаций пока нет.
Всё, конечно, значительно сложнее, потому что строго говоря Security ≠ Privacy.
904
4
ИБ в Узбекистане (ITTS)
15 мая 2026 г., 00:50
[poll]
945
3
0
ИБ в Узбекистане (ITTS)
15 мая 2026 г., 00:50
[poll]
1,010
6
0
ИБ в Узбекистане (ITTS)
15 мая 2026 г., 00:50
🚕Утечка персональных данных из сервиса такси опаснее, чем из банка?
Когда говорят об утечке персональных данных и катастрофических последствиях, то обычно представляют банки или какие-то государственные сервисы.
Но в некоторых случаях утечка может быть значительно болезненнее:
🔸Такси - номер телефона и история поездок, когда и куда ездит человек.
🔸Маркетплейс - номер телефона, история заказов, в т.ч. товары “для взрослых”.
🔸Клиника или лаборатория анализов - номер телефона, ФИО, результаты анализов, включая кожно-венерологические диагнозы, ВПЧ, ЦМВ. https://www.facebook.com/groups/Potrebitel.Uz/posts/6522358024458150/.
🤔Но, к банкам предъявляются строгие требования, их постоянно проверяет ЦБ и другие регуляторы. А как обеспечивается информационная безопасность в такси или лаборатории? Есть ли там вообще отдел ИБ? Сколько лет хранится история поездок/анализов в базе сервиса?
Отказаться от удобных привычных сервисов невозможно. Но доверять свои персональные данные лучше тем из них, кто как-то подтверждает, что занимается их защитой.
Теперь подобная осмотрительность это тоже элемент .
960
ИБ в Узбекистане (ITTS)
15 мая 2026 г., 00:50
Запрос скана паспорта директора вне закона?
🛂Некоторые заказчики в Узбекистане применяют опасную, а часто незаконную практику - запрашивают скан-копию паспорта директора компании-поставщика. Чаще этим грешат крупные заказчики.
В чем здесь может быть нарушение?
1. Директор компании-поставщика - в первую очередь гражданин, а значит имеет https://lex.uz/docs/4396428 и https://lex.uz/ru/docs/6445147#6446624.
2. Запрос подобных данных должен иметь чёткую, конкретную и законную цель. Её почти никогда не артикулируют, в лучшем случае ссылаются на некую "проверку". В каком НПА, зарегистрированном МинЮстом РУз, прописана возможность запроса именно копии паспорта директора компании-поставщика?
3. Если цель запроса - проверка благонадёжности или правомочности конкретного физ.лица выступать в роли директора, то для этого есть множество официальных и менее инвазивных средств:
https://registr.stat.uz/main.php
https://my3.soliq.uz/remotes-services/electronic-documents/contragent/main
https://registr.stat.uz/main.php https://new.birdarcha.uz/check-register
Неужели этих данных недостаточно и нужен именно паспорт? Заказчик пользуется тем, что поставщик заинтересован в заключении договора и ему просто "выкручивают руки".
4. Если жизненно необходимо получить именно паспортные данные директора, нужно заручиться законными основаниями на обработку и указать, что именно нужно - ФИО, ПИНФЛ, номер и серия документа, но не просто скан-копия. Директор (субъект ПДн) должен понимать, кому и для чего он предоставляет такой большой объем своих данных.
5. Скан-копия паспорта содержит биометрическую фотографию. в закон "О персональных данных".
Если вы запрашиваете у своих контрагентов персональные данные (сканы паспортов), будьте готовы предоставить аналогичные сканы своего директора. Если вам это кажется странным - значит так же это выглядит и в обратную сторону.
ИБ в Узбекистане (ITTS)
15 мая 2026 г., 00:50
Штраф или потеря репутации? И то, и другое.
не пугают крупный бизнес. Их общее количество сейчас . Некоторые руководители считают, что, во-первых, можно очень долго находиться “ниже радаров” регулятора. А во-вторых, в самом крайнем случае - заплатить мизерный штраф.
При этом забывают, что у некоторых видов бизнеса значительную роль играет репутация. Для банков и страховых компаний вопросы ИБ и защиты персональных данных критически важны. Если хорошо подкованный потребитель зафиксирует нарушение своих прав как субъекта ПДн, а потом ёмко опишет всё это в группе "Потребитель.уз", то эффект от такого действия запросто перекроет любую рекламную кампанию. Только, конечно, в отрицательную сторону. Наверняка на это отреагирует регулятор, уязвлённый потребитель не забудет подключить и его. Получится и штраф, и волна негатива в соцсетях.
Некоторые банки демонстрируют практически нулевое внимание к теме защиты персональных данных - они не исправляют ошибки даже после того, как на них указали. Пример , , .
🔍 Мы проверили: все указанные оферты и договоры на месте в неизменном виде.
1,000
6
ИБ в Узбекистане (ITTS)
4 апр. 2026 г., 21:42
🇺🇿В Узбекистане приняты сразу несколько документов, ограничивающих использование искусственного интеллекта, в том числе при обработке персональных данных.
1️⃣В начале 2026 года принята поправка в закон РУз “Об информатизации”:
https://lex.uz/docs/82956#8017195
2️⃣⚡️Накануне были приняты " https://lex.uz/ru/docs/-8083233 Они по сути требуют того же - не полагаться исключительно на ИИ при принятии юридически значимых решений и в медицине.
📆Дата вступления в силу этих правил 17.06.2026
3️⃣В начале 2026 года в Кодекс об административной ответственности добавлен штраф за незаконную обработку ПДн с использованием ИИ: " https://www.lex.uz/ru/docs/97661#8015934."
ℹ️Да и в законе “О персональных данных” есть похожее требование:
https://lex.uz/docs/4396428#4398652
Чем это опасно? В скоринге часто используются сложные технологии, которые полностью автоматически принимают решение - одобрить кредит или отказать. Если должным образом не оформить согласие на исключительно автоматизированную обработку, не разъяснить субъекту особенности такой обработки - это будет нарушение.
Вывод. Исключительно автоматизированная обработка ПДн и ИИ - ещё одна головная боль для DPO.
944
6
ИБ в Узбекистане (ITTS)
4 апр. 2026 г., 21:42
🇺🇿📊Некоторые новые статистические данные в сфере ИБ в Узбекистане https://president.uz/ru/lists/view/9009:
🔹Число пользователей интернета в Узбекистане превысило 31 млн. ( https://daryo.uz/ru/2026/01/28/postoyannoe-naselenie-uzbekistana-prevysilo-382-mln-chelovek/)
🔹За последние шесть лет количество обращений по фактам киберпреступлений в стране выросло в 48 раз. Причиненный физическим и юридическим лицам материальный ущерб превысил 2 триллиона сумов — около 165 млн долларов (вероятно, речь о периоде в 6 лет, )
🔹В предыдущие годы из-за уязвимостей в системах трех банков 3025 клиентам был причинен материальный ущерб на сумму 17 миллиардов сумов (сами банки не называются, период не уточняется).
🔹Предложено установить административную ответственность для юридических лиц за несоблюдение требований в сфере информационной и кибербезопасности независимо от того, наступили ли последствия.
979
8
ИБ в Узбекистане (ITTS)
4 апр. 2026 г., 21:42
Можно ли ограничить право гражданина отзывать согласие на обработку его персональных данных?
😱При анализе реальных договоров банковских услуг и оферт в Узбекистане встречаются вопиющие случаи. Вот как, например, этот фрагмент универсального договора:
- настоящее письменное согласие на сбор и обработку персональных данных не подлежит отзыву в случаях, если это не противоречит законам Республики Узбекистан, либо при наличии неисполненного обязательства перед Банком;
Но ведь сам этот пункт и противоречит законодательству РУз. https://lex.uz/docs/4396428#4398775. Банк не может ограничить субъекта в этом его праве или ставить условия его реализации, даже если пропишет такой ничтожный текст в свой универсальный договор.
Подкованный субъект запросто может интерпретировать такие действия банка ещё и как посягательство на его конституционное право. Ведь ст.31 Конституции РУз гласит: https://lex.uz/ru/docs/6445147#6446624
🤔Наше предположение о том, как такой странный текст попал в оферту.
Специалисты по защите персональных данных в банке забыли, что условием обработки персональных данных является не только согласие субъекта. Вот и попытались поразить субъекта в правах. На самом деле, если субъект отзывает согласие, то https://lex.uz/docs/4396428#4398431.
🔍Всегда изучайте то, что вы подписываете или акцептуете.
👍 Выглядит логично, банк нарушает
👎 Банк правильно трактует норму
😁 Знаю этот банк
969
ИБ в Узбекистане (ITTS)
4 апр. 2026 г., 21:42
[poll]
782
3
0
ИБ в Узбекистане (ITTS)
4 апр. 2026 г., 21:42
🇺🇿Краткий обзор документа https://lex.uz/ru/docs/8079279
Приводим ключевые, на наш взгляд, моменты из него:
🔹Создаётся Национальный координационный совет по обеспечению кибербезопасности и борьбе с киберпреступностью. (п.6)
🔹Госорганам, не имеющим штатного подразделения по обеспечению кибербезопасности, разрешается пользоваться аутсорсинговыми услугами по обеспечению кибербезопасности. Такие услуги смогут оказывать юридические лица. До 1 августа 2026 года СГБ поручено внести проект постановления о регистрации организаций, оказывающих аутсорсинговые услуги по обеспечению кибербезопасности. Вести этот реестр будет Служба государственной безопасности РУз. (пп.11-12)
🔹Будут проводиться конкурсы по выявлению уязвимостей в национальных системах с целью повышения их устойчивости к кибератакам. (п.13) Термин “” не используется, но описанию это именно он. СГБ определит специальную платформу, конкурс охватит госорганы и субъектов критической информационной инфраструктуры. (п.14) Порядок проведения таких конкурсов должен быть определён СГБ до 1 августа 2026 года, а до 1 октября 2026 года должна быть создана специальная платформа для их проведения. (п.15)
Основные моменты из документа “Стратегия кибербезопасности Республики Узбекистан на 2026-2030 годы”
🔸Требования для операторов связи по ограничению рекламных и спам-вызовов. (п.8)
🔸Привлечение частного сектора в сферу кибербезопасности, управление инцидентами, оценку киберзащищённости, повышение квалификации специалистов. (п.9)
🔸Внедрение системы аттестации специалистов по кибербезопасности, допущенных к работе в госорганах и субъектах КИИ.
🔸Организация занятий по кибергигиене (п.11) Используется именно .
Отдельным приложением принята дорожная карта по реализации этой стратегии.
▫️Она включает наименования конкретных документов, которые должны быть разработаны, и срок реализации. (п.1)
▫️Совершенствование Единого оператора, для подключения к нему всех госорганов и объектов КИИ. (п.4)
▫️Создание национальной системы реагирования на инциденты кибербезопасности (SOC). (п.11)
ИБ в Узбекистане (ITTS)
4 апр. 2026 г., 21:42
Об ограничении доступа к приложениям и сервисам из-за пределов Узбекистана
На фоне новостей о том, что часть банков стала ограничивать доступ для работы своих мобильных приложений из-за рубежа, напоминаем, что это неоднозначная практика. Она может сильно повлиять на UX (т.н. пользовательский опыт), а злоумышленники рано или поздно научатся использовать разрешенные диапазоны адресов, через местные прокси/ботнеты. Основная проблема в том, что в интернете нет границ и крайне сложно (если вообще возможно) определить “прописку” ip-адреса.
📍Как определить, где физически находится IP-адрес?
Самый рациональный вариант:
1. https://apps.db.ripe.net/db-web-ui/query. Именно RIPE NCC координирует более 75 стран нашего региона, включая Узбекистан.
2. В поиск вбить интересующий нас IP-адрес. Например, сайту http://gov.uz/ соответствует адрес https://apps.db.ripe.net/db-web-ui/query?bflag=false&dflag=false&rflag=true&searchtext=93.188.84.190&source=RIPE. Локальной интернет-регистратурой (LIR) для этого адреса указан UZTELECOM. Третья строка “country”, кажется, то что нужно, и там написано UZ 🇺🇿
3.⚠️ Но это поле буквально не означает ничего конкретного. Прямо в справочнике RIPE указано:
https://docs.db.ripe.net/RPSL-Object-Types/Descriptions-of-Primary-Objects/#description-of-the-inetnum-object
Вывод. Однозначно определить "прописку" IP-адреса - невозможно. Это всегда будет некоторая условность. Локальная интернет-регистратура может проставить любую страну, это не будет нарушением правил. Но если банк опирается на это поле при фильтрации, то клиенты с этого адреса доступ не получат. Можно, конечно, на уровне банка вести вручную свои базы IP-адресов. Но это, во-первых - очень сложная задача. Во-вторых нужно не забыть и про протокол IPv6.
ИБ в Узбекистане (ITTS)
4 апр. 2026 г., 21:42
⚡️🇺🇿 https://t.me/huquqiyaxborot об утверждении документа "Стратегия кибербезопасности Республики Узбекистан на 2026–2030 годы". Это определено указом Президента № УП-38 от 10.03.2026.
852
5
0
ИБ в Узбекистане (ITTS)
4 апр. 2026 г., 21:42
📷 Photo
Негласное наведение справок - вне закона?
У опытного кадровика - толстая телефонная книжка. Если приходит устраиваться человек, который раньше работал в крупной компании, да ещё и на руководящей должности, HR может “по своим каналам” поинтересоваться у коллеги, мол: “А почему вы расстались? Что её/его не устроило у вас?” и потом сравнить ответы, полученные от коллеги, с ответами соискателя.
Это и раньше-то было на грани, а теперь - прямое нарушение трудового кодекса, потому что “ https://lex.uz/ru/docs/6257291#6262109”. Если на том конце разговор запишут - это будет задокументированное нарушение закона.
Защите персональных данных работника посвящен https://lex.uz/ru/docs/6257291#6262031. Кстати, HR-специалисты вообще практически всю жизнь работают напрямую с персональными данными. Значит на них распространяется всё регулирование - от профильного закона до требований ТК.
876
ИБ в Узбекистане (ITTS)
4 апр. 2026 г., 21:42
📷 Photo
📃Перед вами фрагмент из действующей оферты одного из банков Узбекистана. Да, это одно единое предложение из 334 слов.😱
📝Попробуйте его прочитать. Если заметите нарушения - загибайте пальцы.
746
9
ИБ в Узбекистане (ITTS)
4 апр. 2026 г., 21:42
🔍Ниже - разбор
ℹ️ В целом сам этот текст - нарушение https://lex.uz/docs/3804290#3804929, который гласит: “Текст договоров должен быть представлен в ясной и простой форме, чтобы потребители могли его понять”.
А в той форме, которую предлагает банк, даже опытному юристу он будет понятен далеко не сразу.
0️⃣ Согласие, данное подобным образом, является ничтожным, потому что https://lex.uz/ru/docs/7901166#7902531, что согласие должно быть “конкретным”. Однако эта “простыня” — буквально антитеза конкретности.
1️⃣ Согласие на обработку персональных данных нельзя давать за других лиц. Согласие может давать только сам субъект напрямую. https://lex.uz/ru/docs/7901166#7902530. А https://lex.uz/docs/111181#159215 прямо устанавливает, что “личные неимущественные права не отчуждаемы и не передаваемы”. Поэтому согласие на обработку “данных контактных лиц” юридически ничтожно.
2️⃣ "Психологические, культурные или социальные признаки, информация о членах семьи, родственниках или других лицах, проживающих с Клиентом" могут относиться к специальным персональным данным. https://lex.uz/docs/4396428#4398698. Согласие на такую обработку должно быть https://lex.uz/docs/4396428#4398703.
3️⃣ Фраза "а также любые другие персональные данные необходимые для использования услуг/продуктов" - это прямое нарушение https://lex.uz/docs/6663967#6664344. Перечень обрабатываемых ПДн должен быть чётким и конкретным, использование фраз "любые ПДн” недопустимо.
4️⃣ “распространение, размещение на общедоступных ресурсах сети Интернет” - фактически означает, что персональные данные могут быть сделаны общедоступными, но это возможно только на основании отдельного https://lex.uz/docs/4396428#4398758.
🏁 Ну и на "закуску" клиент соглашается с тем, что банк может обрабатывать "любые данные, хранящиеся на мобильном устройстве".
🧐На что рассчитывали юристы банка, выкатывая такого кадавра? Наверное, что ни один нормальный человек не сможет разобраться в этом нагромождении.
ИБ в Узбекистане (ITTS)
1 апр. 2026 г., 02:45
[poll]
969
6
0
ИБ в Узбекистане (ITTS)
1 апр. 2026 г., 02:45
При чтении часто сталкиваемся с уверенностью, что закон "О персональных данных" касается только больших организаций с огромными объемами данных - банков, операторов связи.
На самом деле он распространяется практически на все предприятия, а иногда и на физических лиц - курьеров, самозанятых и т.д. https://lex.uz/docs/4396428#4398015:
Действие настоящего Закона распространяется на отношения, возникающие при обработке и защите персональных данных, независимо от применяемых средств обработки, включая информационные технологии.
А вот https://lex.uz/docs/4396428#4398019, на которые закон не распространяется:
на обработку персональных данных физическим лицом в личных, бытовых целях и не связанной с его профессиональной или коммерческой деятельностью
⚖️Умение определять случаи на которые закон распространяется, а на которые нет - важный навык любого современного специалиста, работающего с данными - от секретаря до администратора базы данных. Тем более - для DPO.
889
3
ИБ в Узбекистане (ITTS)
30 мар. 2026 г., 09:06
📷 Photo
Снова к вопросу о BugBounty в Узбекистане
В эти дни в Ташкенте проходит первый в Центральной Азии https://www.first.org/events/symposium/central-asia2026/program. Это одна из старейших организаций, объединяющих сотни центров реагирования на инциденты кибербезопасности (CERT).
🇰🇿🇺🇿В кулуарах удалось пообщаться с основателем https://cybersec.kz/ и организатором конференции KazHackStan Олжасом Сатиевым.
Он поделился, что и в Казахстане внедрение на высоком уровне заняло около трёх лет, было непростым.
К сожалению, в Узбекистане находится в зачаточном состоянии, в том числе из-за особенностей регулирования сферы кибербезопасности.
🏁Но, ничто не мешает начать внедрять программы поощрения за обнаруженные уязвимости хотя бы среди своих работников, внутри предприятия.
🖼На фото: Олжас Сатиев (CEO TSARKA) и Антон Ракитский (CISO ITTS)
1,070
ИБ в Узбекистане (ITTS)
30 мар. 2026 г., 09:06
⏰Мы ждем подписания Президентом поправок к закону “О персональных данных” со дня на день. https://senat.uz/ru/plenary-sessions/post-4639
и Сенате можно понять, что, несмотря на возможные послабления в обработке ПДн за рубежом, требования к защите биометрических и генетических данных наоборот будут усилены.
❓Что происходит с обработкой биометрических данных в Узбекистане сейчас?
Если вы работаете в крупном бизнес-центре или крупном предприятии, вы наверняка используете биометрическую систему контроля и учёта доступа для прохода на рабочее место.
▫️Знаете ли вы, кто именно обрабатывает ваши биометрические данные?
▫️Если ваши биометрические данные "всплывут" в другом месте, кто будет нести ответственность?
▫️Вы вообще давали согласие на обработку своих биометрических данных? Когда и кому?
🙅🏻♂️Скорее всего вы ответите "нет" на все вопросы. А это прямое нарушение закона.
На биометрические данные в полной мере распространяется профильный закон. Более того - они защищаются ещё строже, чем любые другие персональные данные. Есть ведь . Но о его существовании, скорее всего, не знают большинство владельцев биометрических СКУДов.
🌩Почему мы считаем, что над ними сгущаются тучи?
1. Резонансные https://www.gazeta.uz/ru/2026/02/12/data-leak/. Утечки биометрических данных при существующем уровне их защиты в СКУДах - вопрос времени.
2. Сфера защиты персональных данных передаётся от МинЮста к МВД. Можно ожидать, что контроль сферы ПДн со стороны силового ведомства будет более строгим.
✏️Владельцам биометрических СКУДов сейчас нужно как минимум:
1. https://lex.uz/docs/4396428#4399259 СКУДа http://pd.gov.uz/.
2. Получить у всех пользователей биометрического СКУДа https://lex.uz/docs/4396428#4398732.
3. Выполнить остальные требования https://lex.uz/docs/4396428 (назначить DPO и т.д.).
ИБ в Узбекистане (ITTS)
27 мар. 2026 г., 03:52
[poll]
918
4
0
ИБ в Узбекистане (ITTS)
27 мар. 2026 г., 03:52
🤔Если готовых специалистов по защите персональных данных нет, то кто может этим заняться? Кого назначить на должность DPO?
👨⚖️Некоторые считают, что проще разобраться в хитросплетениях НПА юристам. Но ведь все данные сейчас хранятся и обрабатываются внутри сложных систем, в базах данных, подгружаются и передаются по API. Сможет ли юрист по схеме SQL-базы данных разобраться, что в ней обрабатывается?
👨💻С другой стороны, ИБ - они прекрасно понимают всю техническую сторону вопроса. Но у них может не хватить терпения разбираться с текстами оферт и согласий.
💻С третьей стороны, ИТ - они понимают и цели бизнеса, и знают все потоки данных, но в первую очередь заинтересованы в результативности, а не создании самим себе преград и препятствий из-за необходимости подбирать правовые основания обработки персональных данных. Что дал бизнес - с тем и работают.
Есть ещё те, кто должны поддерживать соответствие стандартам - менеджеры систем управления качеством, ОТК, нормоконтроль. Можно попробовать “повесить” это на них.
Почему мы за вариант с ИБ:
▫️Представьте, что юрист задаёт вопрос администратору БД: “Мы обрабатываем национальность наших клиентов?”. Сможет ли юрист проверить ответ администратора БД?
▫️Резервное копирование, обезличивание и уничтожение - важная часть работы с персональными данными. Часто эти процессы осуществляет ИТ, но нужен их объективный контроль. Этим может заниматься ИБ в рамках внутренних аудитов.
▫️Требование по защите персональных данных есть отдельной строкой в стандарте системы менеджмента ИБ ISO/IEC 27001:2022 A.5.34
🏆В идеале в отделе по защите ПДн должны быть и профессиональный юрист, и эксперт ИБ, и ИТ-специалист, и "системщик". Только тогда будет синерги́я.
🎤А что думаете вы? Примите участие в опросе ⬇️
