ФЗ "О персональных данных" подвергся изменениям

В конце прошлой рабочей недели Государственная Дума РФ приняла законопроект, который вносит ряд поправок в Федеральный закон №152. Основная цель вносимых корректировок - уточнение и дополнение некоторых положений, вызывавших нарекания как у операторов персональных данных, так и у чиновников профильных государственных ведомств.


Судьба этого ФЗ сложна: хотя он был принят еще в 2006 году, вступление его в силу несколько раз переносилось на более поздние сроки - в связи с тем, что операторы не успевали подготовить свои информационные системы к его требованиям, а законодательная власть не спешила дополнять нормативно-правовую базу необходимыми подзаконными актами. В итоге закон обрел полную силу лишь 1 июля сего года; тогда же российский парламент рассмотрел и вышеупомянутые поправки.

Законопроект № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" был принят во втором чтении. Согласно заявлению руководителя думского комитета по конституционному законодательству и госстроительству Владимира Плигина, это - "компромиссный, выверенный вариант"; он учитывает ряд замечаний, которые ранее высказывались относительно неоднозначных положений ФЗ №152.

В новой редакции закона конкретизированы определения базовых понятий ("персональные данные", "оператор" и др.), а также дополнен перечень случаев, когда допускается обработка персональных данных. В частности, в упомянутый перечень входят теперь такие условия, как достижение целей, предусмотренных международным договором РФ или законом, выполнение оператором возложенных на него обязательств и полномочий (опять-таки в рамках законодательства РФ), осуществление правосудия или исполнение судебного акта, а также совершение профессиональной деятельности (журналистской, научной, литературной и т.п. - при условии, что права и законные интересы субъекта не нарушаются).

Появились у операторов и новые обязанности. Так, в случае соответствующего запроса со стороны субъекта оператор должен в течение 30 дней предоставить ему информацию о том, какие относящиеся к нему персональные данные имеются в его распоряжении, а также обеспечить субъекту возможность с ними ознакомиться. Если же запрос не может быть выполнен, то в тот же срок субъекту должен быть дан мотивированный отказ в письменной форме.

Если же субъект предоставляет оператору сведения о том, что персональные данные, им обрабатываемые, являются неполными, то надлежащие изменения и дополнения необходимо будет внести в срок, не превышающий семи рабочих дней. В тот же срок оператор обязан и уничтожить персональные данные, если субъект или его представитель подтвердят, что данные были получены незаконно либо не являются необходимыми для заявленных целей обработки.

Pravo.Ru

Письмо автору

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Троян SapphireStealer прятался в клоне листовки ЦИК о выборах президента

Команда киберразведки из компании F.A.C.C.T. обнаружила модифицированную версию вредоносной программы SapphireStealer в PDF-файле якобы от Центральной избирательной комиссии (ЦИК) с информацией о прошедших выборах Президента России.

Программа SapphireStealer является классическим трояном, способным перехватывать и отправлять операторам данные жертв. В новой кампании вредонос крал учётные данные из браузеров и Telegram.

Для распространения SapphireStealer киберпреступники использовали фейковый веб-ресурс, замаскированный под сайт правительства России. В F.A.C.C.T. считают, что такой же трюк злоумышленники могут использовать в Единый день голосования, который пройдёт 8 сентября 2024 года.

В сущности, SapphireStealer стал первым инфостилером, которого авторы выдали за официальные документы ЦИК. Об этой вредоносной программе мы писали в сентябре 2023 года, тогда в Сети нашлись модифицированные образцы SapphireStealer, использовавшие для отправки данных API Discord и Telegram.

В более свежих атаках операторы задействовали для распространения домен, выдающий себя за государственный ресурс. Как выяснила F.A.C.C.T., исходный код трояна два года назад выложили в одном из телеграм-каналов и на форуме zelenka.guru.

 

Вредоносный домен govermentu[.]ru злоумышленники зарегистрировали 29 января 2024 года. На нём располагался исполняемый файл «О предоставлении информации о предстоящих выборах.exe», засветившийся на VirusTotal 15 марта.

В качестве отвлекающего фактора при выполнении экзешника тот демонстрировал жертве документ-приманку «О предоставлении информации о предстоящих выборах.pdf».

 

В системе зловред прописывается в автозагрузку через планировщик задач Windows и время от времени обращается в командному серверу. Каждый пользователь получается свой идентификатор на основе processorID (процессор) и SerialNumber (системная плата).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru