Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.
Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.
Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.
Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Мифы обработки персональных данных и их безопасность / Станислав Ярошевский (...Ontico
За последние пару лет государство все активнее обращает внимание на вопросы безопасности персональных данных, их обработки, все больше компаний задумываются о данных вопросах.
Вопросов очень много, но все не так страшно, как кажется на первый взгляд. Мы разберемся с основой персональных данных, какие существуют классы, и какие типы данных относятся к ним. Важно понять, что действительно нужно Вам и Вашему бизнесу, а не гнаться "за всеми данными", которые можно получить от клиента.
Безопасность — второй не менее важный вопрос в персональных данных. Можно защищать по закону, можно по "IТ понятиям". Рынок средств защиты данных большой, но что выбрать? Покупаем готовое или создаем свое? Мы поговорим о том, какие плюсы и минусы у данных подходов.
Все не так страшно, как преподносят. В большинстве случаев достаточно заранее подумать о подходах, что Вам действительно нужно и как будете защищать — все это очень сильно поможет при аттестации систем. Главное — почувствовать грань между законом и бизнесом.
Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...Ontico
Тема персональных данных и правильной работы с ними вызывает много вопросов и создает большое количество мифов из-за того, что затрагивает одновременно юридические, технические аспекты, а также серьезно зависит от законодательных инициатив и позиции регуляторов.
Чтобы разобраться с мифами и вопросами по поводу персональных данных, обрабатываемых на сайте, я кратко пройдусь по тому, для чего создавался закон "О персональных данных", что и от кого требуют, и каковы его основные риски. Это даст общее понимание.
Затем будут разобраны основные мифы, касающиеся выполнения данного закона.
В завершении разложим по полочкам, что нужно делать, чтобы регуляторы (Роскомнадзор, ФСБ и ФСТЭК России) были довольны, не пришли с внеплановыми проверками, не приостановили деятельность и не наложили штрафы за неправильный сбор, хранение и иную обработку персональных данных на сайте.
По итогам этого доклада слушатели смогут:
- понимать основные риски, присущие обработке персональных данных.
- привести свой сайт и веб-системы в соответствие с требованиями законодательства малой кровью.
- познать позицию регулирующих органов, чтобы уверенно чувствовать себя в случае проверок, "писем счастья" и наездов со стороны клиентов.
презентация "затравка" для Методического сбора со штатными специалистами исполнительные органы государственной власти Томской области (ИОГВ ТО) на тему «Выполнение плана мероприятий по устранению недостатков, выявленных комиссией ФСТЭК России при проверке состояния работ по технической защите конфиденциальной информации в исполнительных органах государственной власти Томской области
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
Общие сведения о ФЗ-152 "О персональных данных", основные изменения и дополнительные сведения которые операторы ПДн обязаны были предоставить в Роскомнадзор в срок до 01.01.2013
Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Мифы, проблемы и решения вопросов работы с персональными данными на сайтах / ...Ontico
Тема персональных данных и правильной работы с ними вызывает много вопросов и создает большое количество мифов из-за того, что затрагивает одновременно юридические, технические аспекты, а также серьезно зависит от законодательных инициатив и позиции регуляторов.
Чтобы разобраться с мифами и вопросами по поводу персональных данных, обрабатываемых на сайте, я кратко пройдусь по тому, для чего создавался закон "О персональных данных", что и от кого требуют, и каковы его основные риски. Это даст общее понимание.
Затем будут разобраны основные мифы, касающиеся выполнения данного закона.
В завершении разложим по полочкам, что нужно делать, чтобы регуляторы (Роскомнадзор, ФСБ и ФСТЭК России) были довольны, не пришли с внеплановыми проверками, не приостановили деятельность и не наложили штрафы за неправильный сбор, хранение и иную обработку персональных данных на сайте.
По итогам этого доклада слушатели смогут:
- понимать основные риски, присущие обработке персональных данных.
- привести свой сайт и веб-системы в соответствие с требованиями законодательства малой кровью.
- познать позицию регулирующих органов, чтобы уверенно чувствовать себя в случае проверок, "писем счастья" и наездов со стороны клиентов.
презентация "затравка" для Методического сбора со штатными специалистами исполнительные органы государственной власти Томской области (ИОГВ ТО) на тему «Выполнение плана мероприятий по устранению недостатков, выявленных комиссией ФСТЭК России при проверке состояния работ по технической защите конфиденциальной информации в исполнительных органах государственной власти Томской области
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
Общие сведения о ФЗ-152 "О персональных данных", основные изменения и дополнительные сведения которые операторы ПДн обязаны были предоставить в Роскомнадзор в срок до 01.01.2013
Набор простых рекомендаций для рядовых пользователей Интернет о том, как защитить себя от угрозы в Интернете - от подглядывания, от подсматривания, от кражи учеток и паролей, от кражи денег, от перехвата почты, от блокирования телефона...
Презентация с конференции AntiFraud Russia 2016, в которой я рассказываю о разных угрозах для современных и будущих систем биометрической идентификации и аутентификации
Планируемые изменения законодательства по ИБ в РоссииAleksey Lukatskiy
Планируемые изменения законодательства по ИБ в России
1. Персональные данные
2. Критические информационные инфраструктуры
3. Национальная платежная система и банковская тайна
4. Операторы связи
5. Государственные и муниципальные учреждения
Russian Personal Data Legislation: Localization RequirementVladislav Arkhipov
The presentation includes some clarifications of the Federal Law No 242-FZ, dated 21 July 2014 and case studies from IP/IT practice which demonstrate experience of Dentons in resolving complex personal data and privacy issues in dynamic Russian environment. The presentation was first delivered at the Conference “Personal Data – New Realities” which was held at Hotel Four Seasons in St. Petersburg on 21 May 2015 and organized by IBM.
Михаил Яценко Закон «О персональных данных». Практика примененияНадт Ассоциация
Михаил Яценко, исполнительный директор Национальной Ассоциации Дистанционной Торговли, выступил с докладом на тему «Закон о персональных данных. Практика применения». В своем выступлении Михаил Яценко рассказал об опыте организации работы с персональными данными и типичных проблемах, возникающих при этом.
Презентация Павла Антонова с семинара, организованного компаниями Accountor и Tieto в Москве, 23 июня, на тему "НОВЫЕ ПРАВИЛА ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ В РФ"
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
Similar to Последние законодательные инициативы по информационной безопасности (20)
Мое выступление на Kaspersky ICS Security Conference в сентябре 2020 года в Сочи о том, на что обращать внимание при разработке дашбордов по ИБ АСУ ТП для лиц, принимающих решения
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
Презентация на GDPR Day Online про техническую защиту персональных данных в соответствие с GDPR и ФЗ-152. Куча ссылок на стандарты и методички по защите ПДн в облаках, блокчейне, BYOD, ML, Big Data и т.п., а также чеклисты по технической защите ПДн от CNIL, ICO и др.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
Презентация о том, как можно вынести тему ИБ на руководство финансовой организации? Как говорить с ним на языке денег и какие метрики использовать, если мы не можем монетизировать тему ИБ?
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
4. Недавние и планируемые изменения по направлению ПДн
• Приказ ФСТЭК №21 по защите ПДн и ИСПДн
• Приказ об отмене «приказа трех» по классификации ИСПДн
• Приказ и методичка РКН по обезличиванию
• Проект приказа ФСБ по использованию СКЗИ для защиты ПДн
• Законопроект Совета Федерации по внесению изменений в
ФЗ-152
• Законопроект по внесению изменений в КоАП
• Законопроекты РКН по внесению изменений в КоАП, ФЗ-152 и
ФЗ-294
• Новая версия стандарта Банка России (СТО БР ИББС)
• Работа Межведомственного экспертного совета при Минкомсвязи
по совершенствованию законодательства в области
регулирования отношений, связанных с обработкой ПДн
• Изменение списка «адекватных» стран
5. Законопроект по штрафам
• В новом законопроекте меняется текст статьи 13.11, которая
устанавливает два состава правонарушений
– Нарушение требований к письменному согласию субъекта
– Обработка ПДн без согласия или иных законных оснований
• Также вводится еще 3 новых статьи:
– 13.11.1 - незаконная обработка спецкатегорий ПДн (<=300K)
– 13.11.2 - непредоставление оператором информации и (или)
доступа к сведениям, предусмотренным законодательством о
ПДн. Данная статья наказывает в т.ч. и за отсутствие политики в
отношении обработки ПДн (<=40K)
– 13.11.3 - несоблюдение требований по обеспечению
безопасности ПДн (<=200K)
6. Законопроект РГ Совета Федерации
• Вводится понятия «обработчика»
• Защита ПДн в составе профессиональной тайны
– В соответствие с требованиями по защите тайны
• Условия обработки ПДн обработчиком
– Наличие договора = согласие
• Новые условия необеспечения конфиденциальности ПДн
• Электронная, в т.ч. дистанционная форма согласия на обработку
ПДн
• Биометрические ПДн
– Только при автоматической идентификации субъекта
• Трансграничная обработка ПДн
– Также при наличии договора
– Не распространять требование за пределами РФ
7. Законопроект РГ Совета Федерации
• Государственные и муниципальные организации заменяются на
организации, обрабатывающие ПДн в целях оказания
государственных и муниципальных услуг
• Защита ПДн
– Гармонизация формулировок
• Уведомление РКН
– Гармонизация формулировок
• Возможность самостоятельной разработки модели угроз
– До принятия соответствующих актов ФОИВами
8. Законопроект о внеплановых проверках
• Законопроект «О внесении изменения в статью 10 Федерального
закона «О защите прав юридических лиц и индивидуальных
предпринимателей при осуществлении государственного
контроля (надзора) и муниципального контроля»
• Поступление в органы государственного контроля (надзора)
обращений и заявлений граждан, в том числе индивидуальных
предпринимателей, юридических лиц, информации от органов
государственной власти, органов местного самоуправления, из
средств массовой информации о следующих фактах:
– г) нарушение прав субъектов персональных данных (в случае
обращения граждан, права которых нарушены)
9. Законопроект о новых нарушениях
• Новая статья КоАП 14.8.1 «Отказ продавца (исполнителя) в
предоставлении товара (работы, услуги) при отсутствии согласия
субъекта персональных данных на обработку персональных
данных»
– До 10 тысяч рублей
• Новый пункт в статье 19.7 «Непредставление или
несвоевременное представление в уполномоченный
государственный орган сведений (информации) о допущенном
незаконном распространении сведений о частной и личной жизни
(персональные данные) лица (неопределенного круга лиц), а
равно представление в уполномоченный государственный орган
таких сведений (информации) в неполном объеме или в
искаженном виде»
– До 50 тысяч рублей
10. Законопроект об отдельном регулировании надзора за
ПДн
• Особенности организации и проведения проверок в части,
касающейся вида, предмета, оснований проведения проверок,
сроков и периодичности их проведения, уведомлений о
проведении внеплановых выездных проверок и согласования
проведения внеплановых выездных проверок с органами
прокуратуры, могут устанавливаться другими федеральными
законами при осуществлении следующих видов государственного
контроля (надзора):
– государственный контроль (надзор) за соответствием обработки
персональных данных требованиям законодательства
Российской Федерации в области персональных данных
11. Законопроект с новыми определениями в ФЗ-152
• Согласие субъекта персональных данных – волеизъявление
субъекта персональных данных, оформленное в письменной
форме или подписанное электронной цифровой подписью, а
равно действия субъекта персональных данных, выражающие
волю и согласие на обработку его персональных данных
• Минимальный перечень персональных данных – допустимая
совокупность персональных данных, обрабатываемая
оператором в соответствии с целями деятельности
– Минимальный перечень персональных данных включает в себя:
фамилию, имя, отчество, год, месяц и дату рождения, адрес
места жительства (регистрации) или места пребывания,
реквизиты документа, удостоверяющего личность субъекта
персональных данных, идентификационный номер
налогоплательщика (ИНН), страховой номер индивидуального
лицевого счёта (СНИЛС) субъекта персональных данных
12. Законопроект с новыми определениями в ФЗ-152
• В случае отказа субъекта персональных данных в
предоставлении согласия на обработку персональных данных,
когда данное согласие не предусмотрено федеральными
законами для получения соответствующего товара (работы,
услуги), оператор не вправе отказать субъекту персональных
данных в предоставлении товара (работы, услуги), а равно не
должен препятствовать доступу субъекта персональных данных к
месту (местам) продажи товара (выполнения работы, оказания
услуги)
13. Проект приказа ФСБ – «ацкий ад»
• Настоящий документ устанавливает
состав и содержание необходимых
для выполнения установленных
Правительством Российской
Федерации требований к защите ПДн
для каждого из уровней
защищенности организационных и
технических мер по обеспечению
безопасности ПДн при их обработке в
ИСПДн
• Существенно осложняет жизнь
операторам ПДн
• Требует повсеместного
использования только
сертифицированной криптографии
14. Что еще планируется
• Письмо 42-Т Банка России по усилению контроля за
деятельностью кредитных организаций в части обработки ПДн
• Изменения в ФЗ «О лицензировании отдельных видов
деятельности» (рабочая группа экспертного совета Минкомсвязи)
– В части определения лицензий на ТЗКИ и шифрования
– Введение термина «собственные нужды»
– Замена термина «конфиденциальная информация»
• Отраслевые модели угроз ПДн
– Банка России (уже год ждет согласования с ФСБ) – для банков
– Минкомсвязи – для операторов связи
16. Недавние и планируемые изменения по направлению
критически важных объектов
• Реализация Основных направления государственной политики в
области обеспечения безопасности автоматизированных систем
управления производственными и технологическими процессами
критически важных объектов инфраструктуры Российской
Федерации
• Указ Президента №31с «О создании государственной системы
обнаружения, предупреждения и ликвидации последствий
компьютерных атак на информационные ресурсы РФ»
• Законопроект по безопасности критических информационных
инфраструктур
– Будет вноситься в ГД в апреле 2014
• Постановление Правительства №861 от 02.10.2013
• Приказ ФСТЭК по защите АСУ ТП
Данная тема будет одной из основных в 2014-м
18. Недавние и планируемые изменения по направлению ГИС
• Приказ ФСТЭК по защите информации в ГИС
• Методический документ по мерам защиты информации в
государственных информационных системах
• Порядок моделирования угроз безопасности информации в
информационных системах
• Методические документы, регламентирующие
– Порядок аттестации распределенных информационных систем
– Порядок обновления программного обеспечения в аттестованных
информационных системах
– Порядок выявления и устранения уязвимостей в
информационных системах
– Порядок реагирования на инциденты, которые могут привести к
сбоям или нарушению функционирования информационной
системы и (или) к возникновению угроз безопасности
информации
20. ФСТЭК унифицирует требования по защите информации
Особенность Приказ по
защите ПДн
Приказ по
защите ГИС/МИС
Проект приказа по
АСУ ТП
Требования по
защите
привязаны к
4 уровням
защищенности
ПДн
4 классам
защищенности
ГИС/МИС
3 классам
защищенности АСУ
ТП
Порядок в
триаде КЦД КЦД ДЦК
Возможность
гибкого выбора
защитных мер
Да Да Да
Проверка на
отсутствие
«закладок»
Требуется для
угроз 1-2 типа
(актуальность
определяется
заказчиком)
Требуется для 1-2
класса
защищенности
ГИС/МИС
Требуется только
при выборе
сертифицированных
средств защиты
21. Но разница между требования ФСТЭК все-таки есть
Особенность Приказ по защите
ПДн
Приказ по
защите ГИС/
МИС
Проект приказа по
АСУ ТП
Оценка
соответствия
В любой форме
(нечеткость
формулировки и
непонятное ПП-330)
Только
сертификация
В любой форме (в
соответствии с ФЗ-184)
Аттестация Коммерческий
оператор - на выбор
оператора
Госоператор -
аттестация
Обязательна Возможна, но не
обязательна
Контроль и
надзор
Прокуратура – все
ФСТЭК/ФСБ –
только
госоператоры (РКН не
имеет полномочий
проверять коммерческих
операторов)
ФСТЭК ФСБ и ФОИВ,
ответственный за
безопасность КИИ
(определяется в
настоящий момент)
22. ФСТЭК планирует установить новые требования к
средствам защиты
• ФСТЭК (2013-2015)
– Требования к средствам доверенной загрузки
– Требования к средствам контроля съемных носителей
– Требования к средствам контроля утечек информации (DLP)
– Требования к средствам аутентификации
– Требования к средствам разграничения доступа
– Требования к средствам контроля целостности
– Требования к средствам очистки памяти
– Требования к средствам ограничения программной среды
– Требования к средствам управления потоками информации
(МСЭ, однонаправленные МСЭ, коммутаторы…)
– Требования к средствам защиты виртуализации
– ГОСТы по защите виртуализации и облачных вычислений
24. Планы Банка России
• Развитие ИБ в финансовой отрасли Банк России видит за счет
тематик ПДн и банковской тайны, банковского CERT, ИБ
виртуализации и облаков
• ЦБ планирует расширить действие СТО на все отрасли, которые
попали под ЦБ после слияния с ФСФР
• Постепенном идет сдвиг в сторону реального управления
рисками
– Обязательные требования по ИБ могут исчезнуть (исключая
базовый минимум) и банки будут сами выбирать меры защиты
(как в 379-П и т.п.)
• Новая версия СТО 1.0 гармонизирована с 382-П, ПП-1119,
ФЗ-261 и 21-м приказом ФСТЭК
• Предположительно с 01.05.14 новые версии СТО и РС будут
введены в действие
25. Недавние и планируемые изменения по направлению
НПС
• Изменения в 382-П (3007-У)
– Новые требования по защите банкоматов/платежных
терминалов, платежных карт, Интернет и мобильного банкинга
• Отчетность по инцидентам (3024-У)
• Защита банкоматов и платежных терминалов (34-Т и др.)
• Рекомендации по повышению уровня безопасности при
предоставлении розничных платежных услуг с использованием
информационно-телекоммуникационной сети «Интернет» (146-Т)
• Требования по борьбе с вредоносным кодом (49-Т)
• Изменение ст.9 ФЗ-161
• Обязательные нормативы управления операционными рисками
• Национальная система фрод-мониторинга
• Официальный перевод и признание PCI DSS и PA DSS 2.0 и 3.0
26. Планируемые изменения по направлению банковской
тайны
• Новая редакция СТО БР ИББС 1.0 «Обеспечение
информационной безопасности организаций банковской системы
Российской Федерации. Общие положения»
• Новая редакция СТО БР ИББС 1.2 «Методика оценка
соответствия СТО БР ИББС 1.0»
• РС «Ресурсное обеспечение информационной безопасности»
• РС «Требования по к обеспечению информационной
безопасности на стадиях жизненного цикла банковских
приложений»
• РС «Менеджмент инцидентов информационной безопасности»
• РС по виртуализации
• РС по системам контроля утечек информации и мониторинга
социальных сетей
26
28. Недавние и планируемые изменения по направлению
ССОП
• Закон «О внесении изменений в отдельные законодательные акты
Российской Федерации по вопросам регулирования отношений при
использовании информационно-телекоммуникационной сети
Интернет» и ФЗ-139 «О защите детей от негативной информации»
• Постановление Правительства №611 от 15.04.2013 «Об
утверждении перечня нарушений целостности, устойчивости
функционирования и безопасности единой сети электросвязи РФ»
• Иных требований по информационной безопасности на
операторов связи пока не планируется
• Все изменения касаются контроля Интернет
– Антипиратский закон, контроль социальных сетей, Единая система
аутентификации (ЕСИА), запрет анонимайзеров, регулирование
Интернет-компаний как организаторов распространения
информации, регулирование облачных вычислений и т.п.
30. Что еще планируется?
• Законопроект о запрете использования чиновниками и
госслужащими несертифицированных мобильных устройств
– Фактически эти нормы уже установлены действующими НПА
• Законопроект о запрете размещения сайтов государственных
органов за пределами Российской Федерации
– Фактически эти нормы уже установлены действующими НПА
• Стратегия кибербезопасности РФ
– Статус подвис в воздухе
• Новая статья в КоАП за препятствование доступу к сайтам в
Интернет
– Из антитеррористического законопроекта
• Законопроект по борьбе с SMS-спамом