Утечка персональных данных

ПРОЦЕДУРА РЕАГИРОВАНИЯ НА НАРУШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ YOUSIZER.COM

04.01.2026

1. ОПРЕДЕЛЕНИЯ И СОКРАЩЕНИЯ

Настоящая процедура реагирования на утечку персональных данных

(«Процедура»),www.yoursizer.comДанная процедура подготовлена компанией Yoursizer.com («Компания» или «Контролер данных»), осуществляющей деятельность по адресу [адрес], в соответствии с положениями Закона № 6698 о защите персональных данных (KVKK) и соответствующими подзаконными актами. Разъяснение технических и юридических терминов, используемых в данной процедуре, имеет большое значение для обеспечения общего понимания всеми заинтересованными сторонами. Ниже ключевые термины и сокращения, используемые в рамках данной процедуры, поясняются в соответствии с положениями соответствующего законодательства, прежде всего, статьи 3 KVKK:

  • Анонимизация:Обработка персональных данных подразумевает преобразование персональных данных таким образом, чтобы их невозможно было связать с идентифицированным или идентифицируемым физическим лицом, даже в сочетании с другими данными. В конкретном случае Yoursizer.com это включает в себя необратимое разрыв связи с личностью, особенно для данных, используемых для улучшения алгоритмов и в целях проведения агрегированных исследований.
  • Биометрические данные:Согласно статье 6 Закона о защите персональных данных, к особым категориям персональных данных относятся персональные данные, позволяющие однозначно определить телосложение человека, такие как рост, длина ног, обхват талии, ширина плеч, обхват груди и бедер.Рекомендуемые размерыРечь идёт, например, о физических параметрах тела. Эти данные являются конфиденциальной информацией, которая отличает человека от других и позволяет его идентифицировать.
  • 3D-аватары:Аватар — это цифровая трехмерная модель, представляющая физические характеристики человека, созданная с помощью наших алгоритмов на основе измерений тела пользователя. Этот аватар представляет собой уникальное изображение, созданное путем обработки биометрических данных, и относится к категории конфиденциальных персональных данных.
  • Контактное лицо:Речь идёт о физическом лице, чьи персональные данные обрабатываются. В конкретном случае Yoursizer.com это включает пользователей платформы, посетителей веб-сайта и других физических лиц, которые пользуются нашими услугами.
  • Персональные данные:Персональные данные — это любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу. Как подчеркивается в решении 12-й Уголовной палаты Верховного апелляционного суда № 2020/1085 Е., 2022/5406 К., любая информация, которая идентифицирует или позволяет идентифицировать человека, отличает его от других лиц в обществе и может раскрыть его характеристики, такая как демографическая информация, судимость, место жительства, образование, профессия, банковские реквизиты, номер телефона, адрес электронной почты, группа крови, семейное положение, отпечатки пальцев, ДНК, биологические образцы, такие как волосы, слюна и ногти, сексуальная и моральная ориентация, этническое происхождение, политические, философские и религиозные взгляды, а также членство в профсоюзах, которую человек не раскрывает

неуполномоченным третьим лицам, но предоставляет ограниченному кругу лиц по запросу, считается персональными данными.

  • Нарушение защиты персональных данных (утечка данных):Обработка персональных данных подразумевает ситуации, когда персональные данные получаются, раскрываются, к ним осуществляется доступ, они изменяются, удаляются, уничтожаются или повреждаются другими лицами незаконными способами. В соответствии со статьей 12/5 Закона о защите персональных данных, контролер данных обязан уведомить о выявлении такой ситуации.
  • Доска:Речь идёт о Совете по защите персональных данных, который является органом, принимающим решения в рамках Управления по защите персональных данных (КВКК, статья 19).
  • Персональные данные особой категории:Персональные данные включают информацию, касающуюся расы, этнического происхождения, политических взглядов, философских убеждений, религии, секты или иных убеждений, внешнего вида и одежды, членства в ассоциациях, фондах или профсоюзах, состояния здоровья, сексуальной жизни, судимостей и мер безопасности, а также биометрические и генетические данные (статья 6/1 КВКК). Биометрические данные в этом контексте являются крайне конфиденциальными и рассматриваются как особые категории персональных данных.
  • Контролер данных:Речь идет о физическом или юридическом лице, определяющем цели и средства обработки персональных данных и несущем ответственность за создание и управление системой регистрации данных (статья 3/ı Гражданского процессуального кодекса). В рамках настоящей Процедуры под этим подразумевается Yoursizer.com.
  • Обработчик данных:Это относится к физическому или юридическому лицу, которое обрабатывает персональные данные от имени контролера данных на основании полномочий, предоставленных контролером данных (статья 3/ğ Гражданского кодекса Калифорнии). В эту сферу могут входить третьи стороны, такие как поставщики облачной инфраструктуры и поставщики аналитических услуг, которые использует Yoursizer.com.
  • ВИНОГРАДНАЯ ...Это аббревиатура от Data Breach Response Team (Группа реагирования на утечки данных).

2. Группа реагирования на утечки данных (VIME) и ее обязанности

В Yoursizer.com мы создали междисциплинарную группу реагирования на утечки данных (VIME), чтобы обеспечить быстрое, скоординированное и эффективное реагирование в случае утечки данных. Эта группа вмешивается с момента обнаружения утечки, управляя процессами локализации инцидента, смягчения его последствий и обеспечения полного соблюдения юридических обязательств. Состав группы и их обязанности могут быть расширены или сужены в зависимости от сложности и масштаба инцидента.

2.1. Структура и основные члены VIME:В состав VIME входят следующие основные участники, а по мере необходимости его состав расширяется за счет привлечения внешних консультантов:

  • Представитель высшего руководства (генеральный директор/технический директор):
  • Она обеспечивает общую координацию и стратегическое руководство процессом реагирования на утечки данных.
  • Они обладают высшей властью в принятии важных решений.
  • Она утверждает уведомления и публичные заявления, которые должны быть сделаны для Совета директоров.
  • Это обеспечивает быстрое выделение необходимых ресурсов (финансовых, человеческих).
  • Технический руководитель (CTO/менеджер DevOps):
  • Они отвечают за техническое обнаружение, проверку и определение масштабов нарушения.
  • Она координирует изоляцию затронутых систем, устранение уязвимостей, восстановление системы и проведение расследований в области цифровой криминалистики.
  • Она занимается подготовкой анализа логов и технических отчетов.
  • Она сотрудничает с экспертами по кибербезопасности и другими техническими группами.
  • Юрист / Специалист по соблюдению требований GDPR:
  • Она контролирует соответствие процесса реагирования на утечки данных Закону о защите персональных данных (KVKK) и соответствующему

законодательству.

  • Он регулирует правовое содержание и сроки уведомлений, направляемых Совету директоров и соответствующим лицам.
  • Она оценивает потенциальные юридические риски и предоставляет

необходимые юридические консультации.

  • Оно координирует свои действия с иностранными юридическими

консультантами.

  • Менеджер по маркетингу/коммуникациям:
  • Оно сотрудничает с юридическим отделом в подготовке информационных текстов для соответствующих лиц.
  • Она обеспечивает связь с общественностью и средствами массовой информации в случае необходимости.
  • Она разрабатывает стратегии для защиты репутации бренда и общественного мнения.

2.2. Список контактных лиц для реагирования на инциденты и схема оповещения о чрезвычайных ситуациях:Идентификационные данные и контактная информация членов VIME и внешних консультантов (фирма по кибербезопасности, внешний юридический консультант, специалисты по связям с общественностью/коммуникациям) хранятся в документах с ограниченным доступом «Список контактов для реагирования на инциденты» и «Схема экстренных вызовов» внутри компании для предотвращения несанкционированного доступа. Доступ к этим спискам, как правило, ограничен высшим руководством, сотрудником по вопросам GDPR/соответствия требованиям и техническим руководителем/специалистом по DevOps. Списки периодически (не реже, чем раз в 6 месяцев) проверяются на актуальность и немедленно обновляются в случае изменений. Эти механизмы направлены на минимизацию времени реагирования за счет обеспечения быстрой и бесперебойной связи в случае утечки данных. 2.3. Координация с внешними консультантами:В зависимости от характера и масштаба инцидента, VIME может координировать свои действия с внешними экспертами по кибербезопасности, фирмами, занимающимися цифровой криминалистикой, внешними юридическими консультантами и агентствами по связям с общественностью/коммуникациям. Эти внешние заинтересованные стороны оказывают VIME поддержку в своих областях знаний, способствуя профессиональному и всестороннему выполнению процесса реагирования на утечку данных. Обязательства по обеспечению безопасности данных, конфиденциальности и уведомлению об утечке данных четко прописаны во всех договорах с внешними поставщиками услуг. В соответствии со статьей 12/2 Закона о защите персональных данных (KVKK), контролер данных несет солидарную ответственность с другим физическим или юридическим лицом за принятие необходимых мер при обработке персональных данных от его имени.

3. ПРОЦЕСС ВЫЯВЛЕНИЯ НАРУШЕНИЙ ДАННЫХ И ПЕРВОНАЧАЛЬНОЙ ОЦЕНКИ

Эффективное управление утечками данных в первую очередь зависит от быстрого и точного обнаружения утечки, за которым следует первоначальная оценка и незамедлительные ответные действия. В Yoursizer.com мы управляем этими процессами, используя следующие шаги:

3.1. Сообщение о предполагаемом нарушении и открытие записи об инциденте:Подозрения в утечке данных могут возникать из различных источников:

  • Аномалии в системном журнале:Аномальный доступ, несанкционированная передача данных или поведение системы, обнаруженные системами управления информацией и событиями безопасности (SIEM).
  • Жалобы пользователей:Подозрительная активность в учетных записях соответствующих лиц, заявления о разглашении персональных данных или признаки кражи личных данных.
  • Уведомления от третьих лиц:Сообщения о нарушениях безопасности, поступающие от исследователей в области безопасности, деловых партнеров или других организаций. ● Внутренние аудиты:В ходе периодических проверок безопасности или сканирования уязвимостей выявляются критические уязвимости. В случае подозрения на нарушение безопасности соответствующие сотрудники немедленно уведомляют VIME, и открывается запись об инциденте через «Систему управления инцидентами». Эта запись должна включать время начала инцидента, способ его обнаружения, лицо, сообщившее о нем, и первоначальные наблюдения.

3.2. Первичная техническая проверка и стратегии изоляции:После открытия отчета об инциденте главный технический директор (CTO/DevOps-директор) и соответствующая техническая группа предпринимают следующие шаги для быстрой проверки предполагаемого нарушения:

  • Проверка:Для определения реальности и характера нарушения изучаются журналы событий, системные метрики, оповещения о безопасности и состояние затронутых систем. Оцениваются такие сценарии, как несанкционированный доступ, утечка данных, потеря устройств и неправомерное использование данных.
  • Изоляционные и чрезвычайные меры:Для предотвращения распространения прорыва и минимизации потенциального вреда применяются стратегии экстренной изоляции. Эти стратегии могут включать в себя:
  • Прерывание доступа:Учетные записи или ключи, к которым был получен несанкционированный доступ, будут немедленно аннулированы.
  • Сегментация системы:Затронутые системы изолируются от других

критически важных систем или от общей сети посредством сегментации сети (изоляция VPC).

  • Приостановка/ограничение предоставления услуг:Временно

приостанавливать или ограничивать доступ к сервису, вызвавшему нарушение. ● Смена паролей:Все системные пароли и ключи API, которые могли пострадать в результате утечки данных, будут заменены.

  • Правила брандмауэра:Блокировка трафика с подозрительных IP-адресов с помощью правил брандмауэра.
  • Цель: Остановить распространение:Основная цель этих первоначальных мер реагирования — ограничить масштабы утечки данных, предотвратить дальнейшую потерю данных или несанкционированный доступ, а также защитить целостность системы. В решении 11-й Гражданской палаты Верховного суда США (№ 2024/229 E., 2024/5935 K.) также говорится, что неспособность банков внедрить адекватные меры безопасности в свою интернет-инфраструктуру представляет собой халатность. Это ясно демонстрирует техническую ответственность оператора данных за

предотвращение и прекращение распространения утечек.

3.3. Определение масштаба воздействия:Одновременно с мерами по изоляции предпринимаются усилия для быстрого определения категорий данных, затронутых утечкой, предполагаемого числа пострадавших, затронутых систем и временных рамок утечки. Эта информация имеет решающее значение для последующего анализа рисков и процессов оповещения.

4. Классификация нарушений и анализ рисков

После обнаружения утечки данных и проведения первоначальных мер по её локализации проводится всесторонний анализ рисков для определения серьёзности инцидента и его потенциального воздействия на пострадавших лиц. Этот анализ служит основой для определения стратегии реагирования, обязательств по уведомлению и необходимых мер. Yoursizer.com классифицирует потенциальные утечки данных в рамках следующей матрицы рисков:

4.1. Матрица классификации рисков:

Уровень рискаОпределения и критерииПримеры сценариевНеобходимость срочного вмешательства
Низкий рискОграниченный масштаб, низкая степень конфиденциальности данных (например, анонимизированные данные об использовании), быстро локализованный инцидент, низкий риск причинения ощутимого вреда соответствующим лицам.Кратковременный и ограниченный несанкционированный доступ к анонимизированным аналитическим данным; случайное разглашение и быстрое извлечение замаскированных данных в тестовой среде.Немедленное уведомление может не потребоваться; приоритет отдается внутренней отчетности и корректирующим действиям.
Средний рискБолее широкое воздействие на пользователей или на персональные данные (не содержащие прямой идентификации), такие как данные о безопасности транзакций/использовании. Потенциальный, но низкий или умеренный риск причинения вреда субъектам данных.Несанкционированный доступ к ограниченному числу IP-адресов пользователей и информации об их браузерах может быть осуществлен; их адреса электронной почты могут быть добавлены в списки рассылки спама.Может потребоваться уведомление Совета директоров; будет проведена оценка рисков для индивидуального уведомления соответствующих лиц.
Высокий рискУтечка биометрических данных (измерения тела, 3D-аватары) или информации, позволяющей идентифицировать личность/контактных данных (имя, фамилия, электронная почта, номер национального удостоверения личности), представляет собой высокий риск масштабных последствий, кражи личных данных, мошенничества, дискриминации или нанесения ущерба репутации.Несанкционированный доступ к параметрам тела пользователей или их 3D-аватарам; раскрытие имен, фамилий и адресов электронной почты многочисленных пользователей; и (ограниченная) утечка платежной информации.Незамедлительн ое уведомление Совета директоров и соответствующих сторон является обязательным. Действия должны быть предприняты как можно скорее, в течение 72 часов.

4.2. Критерии анализа рисков:При классификации нарушений тщательно оцениваются следующие критерии:

  • Затронутая категория данных:Уровень конфиденциальности данных.

Особенно.биометрические данные (измерения тела, 3D-аватар)Согласно статье 6 КВКК (Закона о защите персональных данных), это особые категории персональных данных, и их нарушение напрямую классифицируется как «высокий риск». Это связано с тем, что, как указано в прецедентах Верховного суда, эти данные представляют собой конфиденциальную информацию, которая идентифицирует или позволяет

идентифицировать человека, отличает его от других лиц в обществе и может раскрыть его характеристики. Финансовые данные (платежная информация),

идентификационные и контактные данные также несут в себе потенциал высокого риска.

  • Количество пострадавших:Уровень риска возрастает по мере увеличения числа лиц, пострадавших от утечки данных.
  • Характер и масштаб нарушения:Какие действия повлияли на данные, такие как несанкционированный доступ, копирование, изменение, удаление или уничтожение? Как долго длилась утечка данных и какую географическую область она охватила?
  • Возможные последствия нарушения:Вовлеченные лица могут понести ощутимый и серьезный ущерб, такой как кража личных данных, мошенничество, дискриминация, ущерб репутации и финансовые потери.
  • Уровень защиты данных:Независимо от того, были ли скомпрометированные данные зашифрованы, замаскированы или анонимизированы. Такие защитные меры могут снизить уровень риска.
  • Возможности контролера данных по управлению:Насколько быстро удалось взять ситуацию под контроль и насколько эффективны были меры, принятые для предотвращения ее повторения.

Компания VIME оперативно проводит анализ рисков, что позволяет разработать соответствующий план реагирования и стратегию оповещения в зависимости от серьезности инцидента.

5. Оперативные меры и совершенствование системы

Для минимизации последствий утечки данных и восстановления безопасности системы техническая команда VIME оперативно и скоординированно проводит оперативные мероприятия по реагированию и устранению последствий. Эти процессы включают в себя этапы от локализации утечки до внедрения постоянных решений.

5.1. Устранение уязвимости и восстановление безопасности системы:

  • Анализ первопричин (RCA):Для определения первопричины нарушения (например, уязвимость программного обеспечения, неправильная конфигурация,

несанкционированный доступ, человеческая ошибка) проводится детальный анализ первопричин. Этот анализ имеет решающее значение для предотвращения подобных нарушений в будущем. В решении 8-й уголовной палаты Верховного суда № 2019/7710 E., 2019/13426 K. также подверглась критике следственные органы за неспособность собрать достаточные доказательства и установить причину инцидента; это подтверждает ответственность оператора данных за выявление и устранение первопричины нарушения.

  • Установка исправлений для уязвимостей:Выявленная уязвимость (например, программная ошибка, недостаток безопасности) немедленно устраняется. Это достигается путем применения исправлений безопасности, внесения изменений в код или обновления системных конфигураций.
  • Смена пароля/ключа:Все пароли пользователей, системные пароли, ключи API и ключи шифрования, которые могли пострадать в результате утечки данных, будут немедленно заменены. Пользователям будет предложено сменить свои пароли.
  • Ужесточение контроля доступа:Проводится пересмотр политик управления доступом на основе ролей (RBAC), пересматриваются полномочия, и для критически важных учетных данных вводится обязательное использование многофакторной аутентификации (MFA). Согласно статье 12 Закона Турции о защите персональных данных (KVKK), контролер данных обязан принимать все необходимые технические и административные меры для обеспечения надлежащего уровня безопасности и предотвращения несанкционированного доступа к персональным данным. Судебная практика также указывает на то, что отсутствие таких мер может привести к административным штрафам.
  • Улучшения системы:Обновлены правила брандмауэра (WAF), усилены политики сегментации сети, а системы мониторинга и оповещения стали более совершенными.

5.2. Восстановление из резервных копий и перезапуск службы:

  • Проверка целостности данных:Проверяется целостность и точность затронутых данных. В случае обнаружения потери или повреждения данных разрабатывается план восстановления на основе надежных и чистых резервных копий.
  • Восстановить:Пострадавшие системы или базы данных восстанавливаются с использованием самых актуальных и надежных резервных копий. Стратегии резервного копирования разработаны для обеспечения быстрого и надежного восстановления в случае утечки данных (см. Политику хранения и уничтожения).
  • Поэтапный запуск сервиса:После безопасного восстановления систем и устранения всех уязвимостей сервис будет постепенно перезапущен под пристальным наблюдением. Первоначальные меры могут включать ограничение доступа или отключение определенных функций.

5.3. Временные цели:В процессах оперативного реагирования решающее значение имеет соблюдение сроков. Yoursizer.com устанавливает следующие временные рамки:

  • Первоначальные меры изоляции и экстренные меры:После обнаружения предполагаемого нарушенияв течение первых часовРабота завершена. Цель — немедленно остановить распространение нарушения.
  • Оценка масштаба/рисков и первоначальный отчет:Первоначальная оценка масштабов утечки данных, затронутых категорий данных и количества вовлеченных лиц.в течение первых 24-48 часовЭто уточнено. Это служит основой для определения обязанностей по уведомлению.
  • Установка исправлений уязвимостей и восстановление системы:В зависимости от серьезности инцидента, уязвимость может быть устранена, и системы могут быть безопасно восстановлены.в течение нескольких днейПланируется завершить строительство.
  • Постоянные корректирующие и профилактические меры:После завершения анализа первопричин будут внедрены постоянные технические и административные улучшения для предотвращения подобных нарушений в будущем.в течение нескольких недель после завершения инцидентаПроект спланирован и реализован.

Эти шаги направлены на минимизацию операционных последствий утечки данных, а также на максимально быстрое восстановление безопасности системы и целостности данных.

6. ОБЯЗАННОСТИ И ПРОЦЕДУРА УВЕДОМЛЕНИЯ

В случае утечки персональных данных обязанность контролера данных уведомить Управление по защите персональных данных (Совет) и субъектов данных четко регламентирована в статье 12, пункте 5 Закона о защите персональных данных (KVKK). Процедуры и принципы таких уведомлений подробно изложены в Решении Совета № 2019/10 «Об уведомлении об утечке данных». Yoursizer.com следует указанным ниже процедурам для полного и своевременного выполнения этих обязательств:

6.1. Уведомление Совета:

  • Период уведомления:Если обрабатываемые персональные данные получены другими лицами незаконным путем, контролер данных обязан сообщить об этом.как можно скорееи, если применимо, с даты, когда стало известно о нарушении.В течение 72 часовСовет уведомляется (статья 12/5 КВКК). Этот срок начинает исчисляться с

момента окончательного установления факта нарушения или возникновения подозрения в нарушении при наличии веских доказательств. В случае задержки уважительные причины этой задержки подробно фиксируются и указываются в уведомлении.

  • Содержание объявления:Уведомление Совета директоров должно быть направлено путем заполнения «Формы уведомления о нарушении защиты данных»,

опубликованной Советом директоров. Эта форма должна содержать следующую минимальную информацию:

  • Дата и время нарушения.
  • Характер нарушения (например, несанкционированный доступ, утечка данных, потеря данных).
  • Затронутые категории данных (например, идентификационные, контактные, биометрические, финансовые).
  • Примерное число пострадавших.
  • Потенциальные последствия утечки данных (например, риск кражи личных данных).
  • Меры, принятые или планируемые к принятию оператором данных.
  • Советы, которым могут воспользоваться заинтересованные лица для защиты себя.
  • Контактные каналы, которыми могут воспользоваться заинтересованные стороны.
  • Формат уведомления:Уведомление Совета директоров должно быть направлено через онлайн-портал или другие электронные каналы связи, указанные Советом директоров.

6.2. Уведомление субъекта данных:

  • Обязательство по уведомлению:Уведомление соответствующих сторон, последствия нарушения для соответствующих сторон.высокий рискВ таких случаях это делается незамедлительно (статья 12/5 КВКК). Ситуации, такие как разглашение

биометрических данных (измерения тела, 3D-аватары), кража личных данных или мошенничество, считаются «высокорисковыми».

  • Содержание объявления:Уведомление соответствующим лицам составляется на более простом и понятном языке, чем уведомление Совету директоров. Оно должно включать как минимум следующую информацию:
  • Краткое описание и характер нарушения.
  • Какие персональные данные были затронуты?
  • Потенциальные последствия нарушения для них самих.
  • Меры, принятые оператором данных.
  • Меры, которые они могут предпринять для защиты своих персональных данных (например, смена паролей, проверка активности учетной записи).
  • Приложения и каналы связи (электронная почта, линия поддержки).
  • Формат уведомления:Уведомление соответствующих лиц осуществляется через надлежащие каналы связи, такие как электронная почта, SMS, объявления в приложении или персональные уведомления через платформу. В соответствии со статьей 10/1-d Закона о защите персональных данных (KVKK), которая обязывает информировать соответствующих лиц об их правах, данное уведомление также затрагивает эти права.
  • Уведомление в случае международного перевода:В случаях нарушений, возникающих при передаче персональных данных за границу, контролер данных выполняет свои обязательства по уведомлению Совета и соответствующих лиц в рамках обязанностей по обеспечению безопасности передачи данных в соответствии со статьей 9 КВКК (Закона о защите персональных данных). Обработчик данных, которому передаются данные, также обязан уведомить контролера данных о нарушении. В соответствии со статьей 12/2 КВКК контролер данных несет солидарную ответственность с обработчиком данных.

6.3. Постепенное распространение уведомлений:В некоторых случаях установить все детали нарушения в течение 72 часов может быть невозможно. В таких случаях Контролер данных должен уведомить Совет директоров частичным уведомлением, основанным на полученной информации, и как можно скорее предоставить дополнительную информацию в виде дополнительных уведомлений. Такой подход соответствует ожиданиям Совета директоров в отношении прозрачности и оперативного уведомления.

7. Мониторинг профилактических технических и административных мер.

Эффективность процедуры реагирования на утечку данных обеспечивается не только реактивными мерами, предпринимаемыми в момент утечки, но и постоянным пересмотром и обновлением превентивных мер по предотвращению утечек. В соответствии со статьей 12 Закона Турции о защите персональных данных (KVKK), Yoursizer.com внедряет следующие механизмы аудита для выполнения своих обязательств по обеспечению безопасности данных и минимизации потенциальных утечек:

7.1. Обзор технических мер:Меры технической безопасности регулярно проверяются и обновляются с учетом технологических разработок и динамичного характера киберугроз. В этом контексте:

  • Многофакторная аутентификация (МФА):Эффективность и масштабы использования многофакторной аутентификации при доступе к критически важным системам и конфиденциальным данным составляют, по меньшей мере, ...Каждые 6 месяцевПроведена проверка. Требование многофакторной аутентификации распространяется на новые системы и группы пользователей.
  • Управление доступом на основе ролей (RBAC):Матрицы авторизации доступа и политики RBAC гарантируют, что сотрудникам не менее [число] лет после смены работы или обновления системы.Каждые 6 месяцевПроводится проверка. Постоянно контролируется соблюдение принципа «минимальных привилегий».
  • Методы шифрования:Периодически проверяется актуальность и надежность алгоритмов шифрования, используемых при передаче данных (TLS) и шифровании в состоянии покоя. Также контролируется управление и ротация ключей шифрования.
  • Сетевая безопасность (брандмауэр/WAF, сегментация):Правила межсетевого экрана, политики сегментации сети и системы обнаружения/предотвращения вторжений (IDS/IPS) регулярно тестируются и оптимизируются. Вносятся обновления для противодействия новым угрозам.
  • Управление уязвимостями и установка исправлений:Регулярно проводится сканирование систем на наличие уязвимостей в программном и аппаратном обеспечении, выявленные уязвимости определяются в приоритетном порядке, а процессы установки исправлений и обновлений внедряются оперативно.
  • Надежное резервное копирование и уничтожение данных:Стратегии резервного копирования, безопасность резервного копирования, шифрование и периоды ротации (72-дневная ротация) должны составлять не менее...Каждые 6 месяцевДанные проверяются. Проводится аудит процессов безопасного удаления просроченных резервных копий.

7.2. Обзор административных мер:Административные меры регулярно пересматриваются с целью минимизации рисков, которые могут возникнуть из-за человеческого фактора:

  • Обучение и повышение осведомленности персонала:Эффективность и частота обучения всех сотрудников по вопросам защиты персональных данных,

информационной безопасности и процедурам реагирования на утечки данных должны составлять не менееКаждые 6 месяцевИх оценивают. Для вновь принятых на работу сотрудников проводится обязательное вводное обучение.

  • Соглашения о конфиденциальности и матрица авторизации:Точность и актуальность соглашений о конфиденциальности, подписанных с сотрудниками и деловыми партнерами, а также применимость матрицы авторизации периодически проверяются.
  • Аудит поставщиков/субподрядчиков:Политика и практика обеспечения безопасности данных сторонних поставщиков услуг, обрабатывающих персональные данные, должны соответствовать как минимум их договорным обязательствам.раз в годЭтот процесс контролируется. В случаях передачи данных за границу проверяется эффективность гарантий, предусмотренных статьей 9 КВКК (стандартные договорные положения, обязательства).
  • Внутренние правила и процедуры:Все внутренние политики и процедуры, такие как уведомления о конфиденциальности, заявления о явном согласии, политика использования файлов cookie, политика хранения и уничтожения, обновляются как минимум в соответствии с изменениями в законодательстве и решениями Совета директоров.Каждые 6 месяцевОн проверен и обновлен.

7.3. Аудиторские обязательства и отчетность:В соответствии со статьей 12/3 Закона о защите персональных данных (KVKK), контролер данных обязан проводить или поручать проведение необходимых проверок в рамках своей организации для обеспечения соблюдения положений настоящего Закона. В этом контексте результаты аудиторских проверок, проводимых VIME и сотрудником KVKK по вопросам соблюдения законодательства, регулярно представляются высшему руководству. Эти отчеты содержат информацию о выявленных недостатках, принятых корректирующих мерах и планах по улучшению. Этот непрерывный цикл аудита и совершенствования укрепляет приверженность Yoursizer.com обеспечению безопасности персональных данных и соблюдению законодательства.

8. ДОКУМЕНТАЦИЯ И ВЕДЕНИЕ ЗАПИСЕЙ

Подробная и полная документация является одним из важнейших элементов обеспечения прозрачности, подотчетности и совершенствования процесса реагирования на утечки данных в будущем. Yoursizer.com тщательно документирует каждый этап процесса реагирования на утечку, выполняя свои юридические обязательства и сохраняя извлеченные уроки в корпоративной памяти. 8.1. Документирование процесса нарушения:С момента обнаружения утечки данных все принятые решения, предпринятые действия и выпущенные уведомления VIME регистрируются в хронологическом порядке и подробно. Эти записи должны включать следующую информацию:

  • Номер и дата записи об инциденте:Уникальный идентификатор утечки и дата ее первой регистрации.
  • Метод обнаружения:Как и кем было обнаружено нарушение (например, аномалия в журнале событий, жалоба пользователя, сообщение от третьей стороны). ● Результаты первоначальной проверки и подтверждения:Реальность, характер и первоначальные выводы о нарушении безопасности.
  • Меры изоляции и реагирования на чрезвычайную ситуацию:Были предприняты все технические и административные меры для предотвращения распространения утечки данных (например, запрет доступа, смена паролей, сегментация системы).
  • Затронутые категории данных и предполагаемое количество людей:Типы персональных данных, затронутых утечкой (личностные, контактные, биометрические, финансовые и т. д.), и приблизительное количество пострадавших лиц.
  • Результаты анализа рисков:Оценка потенциального риска нарушения для соответствующих лиц (низкий, средний, высокий).
  • Отчет по анализу первопричин (RCA):Основные причины утечки данных, выявленные уязвимости и способы их устранения.
  • Принятые корректирующие и профилактические меры:Постоянное совершенствование системы и изменение процессов для предотвращения повторения нарушения.
  • Уведомления отправлены соответствующим лицам:Дата уведомления, его содержание, используемые каналы связи и количество затронутых лиц.
  • Уведомления, представленные Совету директоров:Дата уведомления, его содержание, используемая форма и любые сопроводительные документы. ● Протокол заседания и решения VIME:Даты, участники и решения, принятые на всех встречах, проведенных компанией VIME в ходе процесса расследования утечки данных. ● Документы, содержащие переписку с внешними заинтересованными сторонами:Вся переписка и протоколы встреч с компаниями, занимающимися кибербезопасностью, юридическими консультантами или PR-агентствами.

8.2. Ведение учета и «Журнал нарушений»:В соответствии с Законом о защите персональных данных (KVKK) и соответствующим законодательством все процессы, связанные с удалением, уничтожением или анонимизацией персональных данных, регистрируются, и эти записи хранятся в течение как минимум определенного периода, за исключением других юридических обязательств.в течение трех летЭтот принцип также применим к записям о нарушениях безопасности данных. Все эти документы хранятся в централизованной и защищенной цифровой среде (зашифрованной и с ограниченным доступом) под названием «Файл записей о нарушениях безопасности». Этот файл является основным справочным источником, который может быть представлен в случае возможной проверки со стороны совета директоров или в ходе судебного разбирательства. Важность защиты целостности и достоверности цифровых доказательств также была подчеркнута в решении 3-й Уголовной палаты Кассационного суда № 2021/4383 Е., 2023/2717 К. Таким образом, целостность и неизменность всех документов в файле записей о нарушениях безопасности технически гарантированы. 8.3. Оценка ситуации после инцидента и постоянное совершенствование:Каждый инцидент утечки данных — это возможность для нашей компании извлечь уроки. После завершения процесса анализа утечки VIME готовит подробный «Отчет об оценке инцидента». Этот отчет включает в себя извлеченные уроки, области для улучшения существующих процедур и рекомендации по снижению будущих рисков. Эти отчеты способствуют постоянному укреплению системы защиты данных Yoursizer.com, предоставляя информацию для механизма пересмотра и обновления превентивных технических и административных мер (см. Раздел 7).

Yoursizer.com