Новые правила по утечкам в России начнут действовать 1 сентября

Новые правила по утечкам в России начнут действовать 1 сентября

Новые правила по утечкам в России начнут действовать 1 сентября

У компании будет 24 часа, чтобы уведомить РКН об утечке и трое суток на внутреннюю проверку. На сайте Госдумы вышло обобщение по законам, которые касаются персональных данных. Закон начнет действовать 1 сентября.

Федеральный закон № 152-ФЗ — основной документ о персональных данных в России. Он формулирует обработку, хранение и доступ к информации.

В марте в силу вступили поправки, запрещающие операторам размещать и распространять ПДн без согласия пользователя.

“Владелец сам решает, какие данные могут использоваться публично, а что остается приватным при заполнении отдельного согласия на обработку персональных данных”, — уточняет новостной портал Госдумы.

Можно указать срок действия такого согласия. Пользователь в любой момент может потребовать от оператора убрать свои персданные или обратиться за этим в суд.

Граждане и раньше могли требовать блокировки или удаления своих данных у оператора, но для этого нужно было доказать, что ПДн неполные, устаревшие, недостоверные, незаконно собранные или их собрали без необходимости.

По новому закону вывести свои персданные из оборота можно просто потому, что это — персональные данные.

Один из ключевых моментов нового закона — обязанность операторов сообщать в Роскомнадзор о кибератаках и утечках.

Информирование будет проходить в два этапа:

  • в течение суток — описание скомпрометированных данных;
  • в течение трех суток — результаты внутренней проверки.

В первой редакции на всё хотели дать только 24 часа.

Еще один пункт — операторы должны информировать власти о намерении передавать персональные данные за рубеж. Прописаны случаи, когда такая передача запрещена.

Первого сентября в силу вступают и поправки в закон “О защите прав потребителей”.

Документ запрещает сбор личных данных — номеров телефона, электронной почты и других — у потребителей без явной необходимости при покупке товаров и услуг.

А поправки в кодекс административных правонарушений предусматривают штраф за отказ продавца заключать и исполнять договор, если потребитель не согласен представить свои персданные. Сотрудникам грозить штраф от 5 тыс. до 10 тыс. рублей, самой компании придется заплатить в бюджет от 30 тыс. до 50 тыс. рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В WinRAR закрыли уязвимость, позволяющую обойти MotW с помощью симлинка

Опубликованы детали уязвимости в WinRAR, которую разработчик архиватора устранил в конце прошлого месяца. Проблема позволяет обойти защиту Mark-of-the-Web (MotW) и скрытно выполнить вредоносный код в Windows.

Согласно записи на специализированном сайте японской CERT, причиной появления уязвимости CVE-2025-31334 является некорректная обработка символических ссылок (симлинков). При дефолтных настройках Windows создавать их могут только админы.

Подготовив архив с симлинком, указывающим на исполняемый файл, злоумышленник мог разослать его по почте или раздавать с сайта, придумав приманку. В Windows такие загрузки обычно вызывают срабатывание MotW, и юзеру выводится предупреждение о потенциально опасном контенте.

Наличие уязвимости в WinRAR позволяло обойти эту меру защиты: симлинк можно было извлечь, открыть и не увидеть при этом привычного алерта. В итоге автор атаки мог протащить в систему любого зловреда, украсть конфиденциальные данные, обеспечить себе удаленный доступ, изменять и удалять критически важные файлы.

Патч для CVE-2025-31334 включен в состав сборки 7.11, пользователям WinRAR рекомендуется обновить продукт.

Похожую уязвимость в конце прошлого года устранили в 7-Zip.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru