В презентации рассматриваются вопросы сертификации, лицензирования и аттестации в области защиты информации применительно к задачам защиты персональных данных.
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
В презентации рассматриваются вопросы сертификации, лицензирования и аттестации в области защиты информации применительно к задачам защиты персональных данных.
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
О сертификации ПО по требованиям безопасности информации в системе сертификации ФСТЭК России
Оглавление
1. Термины и определения 2
2. Нормативная база системы сертификации Федеральной службы по техническому и экспортному контролю России 3
3. Назначение программного обеспечения 4
3.1. Требования безопасности информации для ПО, которое является средством защиты информации 6
3.2. Требования безопасности информации для ПО со встроенными средствами (механизмами) защиты информации 6
3.3. Требования сертификации ПО по уровню контроля отсутствия недекларированных возможностей 7
4. Применение программного обеспечения в составе информационной/автоматизированной системы 7
5. Основные нормативные правовые акты, в которых указано о необходимости проведения сертификации по требованиям безопасности информации 10
Таблица 1 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну 10
Таблица 2 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатывается информация конфиденциального характера 13
Таблица 3 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатываются персональные данные 16
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
О сертификации ПО по требованиям безопасности информации в системе сертификации ФСТЭК России
Оглавление
1. Термины и определения 2
2. Нормативная база системы сертификации Федеральной службы по техническому и экспортному контролю России 3
3. Назначение программного обеспечения 4
3.1. Требования безопасности информации для ПО, которое является средством защиты информации 6
3.2. Требования безопасности информации для ПО со встроенными средствами (механизмами) защиты информации 6
3.3. Требования сертификации ПО по уровню контроля отсутствия недекларированных возможностей 7
4. Применение программного обеспечения в составе информационной/автоматизированной системы 7
5. Основные нормативные правовые акты, в которых указано о необходимости проведения сертификации по требованиям безопасности информации 10
Таблица 1 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну 10
Таблица 2 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатывается информация конфиденциального характера 13
Таблица 3 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатываются персональные данные 16
Мастер-класс в рамках конференции "Код ИБ", посвященный обзору технологий обнаружения сложно обнаруживаемых угроз. Для этого применяются индикаторы компрометации, машинное обучение, корреляция событий, визуализация и т.п.
Охват всего периода атаки: до, во время и послеCisco Russia
Современный ландшафт угроз сильно отличается от того, что мы наблюдали всего 10 лет назад. Простые атаки, причиняющие ограниченный ущерб, уступили место современной киберпреступности — изощренной, хорошо финансируемой и способной вызывать крупные сбои в работе компаний и государственных учреждений. Эти новые виды атак не только менее заметны, но и дольше задерживаются в сетях. Они также способны накапливать сетевые ресурсы для увеличения радиуса действия.
Традиционные методы защиты, которые полагаются лишь на обнаружение и блокирование атак, больше не эффективны. Пришло время для новой модели информационной безопасности, в которой учитывается весь период атаки — до, во время и после.
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
«1С-Битрикс» и сертификация ФСТЭК России1С-Битрикс
Когда делать аттестацию системы и что это такое
Что такое сертификация и для чего она нужна
Как эксплуатировать сертифицированное программное обеспечение (ПО)
Когда обязательно нужно использовать сертифицированное ПО, а когда – желательно
Сколько стоит сертифицированное ПО «1С-Битрикс» и как его купить
Основные недостатки, допускаемые заявителями при лицензировании деятельности ...journalrubezh
Основные недостатки, допускаемые заявителями при лицензировании деятельности по технической защите конфиденциальной информации (ТЗКИ) и по разработке и производству средств защиты конфиденциальной информации (СЗКИ)
презентация "затравка" для Методического сбора со штатными специалистами исполнительные органы государственной власти Томской области (ИОГВ ТО) на тему «Выполнение плана мероприятий по устранению недостатков, выявленных комиссией ФСТЭК России при проверке состояния работ по технической защите конфиденциальной информации в исполнительных органах государственной власти Томской области
Электронная аутентификация в государственных системахMikhail Vanin
Доклад с моего выступления на PKI Forum.
В докладе рассмотрены опыт США и Европы по электронной идентификации пользователей государственных систем. Оценены возможные подходы, применяемые в России.
Мое выступление на Kaspersky ICS Security Conference в сентябре 2020 года в Сочи о том, на что обращать внимание при разработке дашбордов по ИБ АСУ ТП для лиц, принимающих решения
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
Презентация на GDPR Day Online про техническую защиту персональных данных в соответствие с GDPR и ФЗ-152. Куча ссылок на стандарты и методички по защите ПДн в облаках, блокчейне, BYOD, ML, Big Data и т.п., а также чеклисты по технической защите ПДн от CNIL, ICO и др.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
Презентация о том, как можно вынести тему ИБ на руководство финансовой организации? Как говорить с ним на языке денег и какие метрики использовать, если мы не можем монетизировать тему ИБ?
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
Нормативные акты, требующие оценки соответствия средств защиты
1. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Указ Президента РФ Средства защиты Сертификация в Операторы ИС,
от 17 марта 2008 информации, включая ФСБ и (или) владельцы ИС или
года № 351 СКЗИ, при подключении подтверждение СВТ
информационных систем и соответствия в
СВТ, применяемых для ФСТЭК
хранения, обработки и
передачи информации,
содержащей сведения,
составляющей гостайну,
либо информации,
обладателями, которой
являются госорганы и
которая содержит сведения,
составляющие служебную
тайну, к Интернет
Указ Президента РФ Средства защиты Сертификация в Госорганы
от 17 марта 2008 общедоступной ФСБ и (или)
года № 351 информации, размещаемой подтверждение
в сетях международного соответствия в
обмена ФСТЭК
2. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Постановление Средства защиты Оценка Операторы
Правительства РФ информации федеральных соответствия (в том федеральных ГИС,
от 18 мая 2009 года ГИС, созданных или числе в созданных или
№ 424 используемых в установленных используемых в
соответствии с ПП-98 от случаях соответствии с ПП-98
12.02.2003 сертификация) от 12.02.2003
Приказ Минкомсвязи МСЭ, антивирусы и системы Для ИС общего Операторы
от 25 августа 2009 обнаружения другого пользования - МСЭ, федеральных ГИС,
года № 104 вредоносного ПО должны иметь созданных или
федеральных ГИС, сертификат ФСТЭК используемых в
созданных или Антивирусы и соответствии с ПП-98
используемых в системы от 12.02.2003
соответствии с ПП-98 от обнаружения
12.02.2003 другого
вредоносного ПО
должны иметь
сертификат ФСБ
3. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Совместный приказ СКЗИ, антивирусы, СОА, Сертификация в Операторы
ФСБ и ФСТЭК от 31 МСЭ федеральных ГИС, ФСБ (или ФСТЭК информационных
августа 2010 года № созданных или для систем II систем общего
416/489 используемых в класса) пользования
соответствии с ПП-953 от
24.11.2009
Приказ Федеральной Технические средства Аттестация в ФСБ ФОИВ и ОГВ
службы охраны от 7 доступа к сети Интернет или ФСТЭК субъектов РФ
августа 2009 года №
487
Постановление Средства защиты сведений, Обязательная Загранучреждения
Правительства РФ составляющих гостайну, или сертификация и РФ
от 21 апреля 2010 относимых к охраняемой в государственный
года № 266 соответствии с контроль (надзор)
законодательством РФ иной
информации ограниченного
доступа
4. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Приказ СКЗИ и СЗИ от НСД в Сертификация Операторы
Минэкономразвития рамках открытых торгов в электронных
России от 15.02.2010 электронной форме при площадок
№ 54 продаже имущества
должников в ходе процедур,
применяемых в деле о
банкротстве
Федеральный закон Средства международного Сертификация Физические и
от 4 июля 1996 года информационного обмена юридические лица,
№ 85-ФЗ обладающие
лицензией на работу
с конфиденциальной
информацией и
использующие
сертифицированные
средства
международного
информационного
обмена
5. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Федеральный закон Средства защиты Оценка Операторы
от 27 июля 2006 года информации соответствия государственных
№ 149-ФЗ государственных информационных
информационных систем систем
Постановление Средства защиты Обязательная Продавцы или
Правительство от 26 информации сертификация для исполнители
июня 1995 №608 СЗИ гостайны продукции
Постановление Игровые программы в Доказательство Производители
Правительства РФ игровых автоматах отсутствия игровых программ
от 6 октября 2006 г. недекларированных для игровых
№ 603 возможностей автоматов
Федеральный закон Средства защиты гостайны Сертификация Не определено
от 21 июля 1993 года
№ 5481-1
Федеральный закон Средства защиты Оценка Оператор ПДн
от 27 июля 2006 года персональных данных соответствия
№ 152-ФЗ
6. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Постановление Средства защиты Оценка Оператор ПДн
Правительство от 17 персональных данных соответствия
ноября 2007 №781
Постановление Средства защиты Оценка Лицензиат
Правительство от 24 информации соответствия (соискатель)
сентября 2012 №965 деятельности по
производству и
реализации
защищенной от
подделок
полиграфической
продукции
Постановление Средства защиты Оценка Лицензиат ФСБ (в
Правительство от 3 конфиденциальной соответствия в части разработки
марта 2012 №171 информации форме средств защиты
сертификации информации)
7. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Постановление Средства защиты Оценка Лицензиат ФСТЭК (в
Правительство от 3 конфиденциальной соответствия в части деятельности
февраля 2012 №79 информации форме по ТЗКИ)
сертификации
Постановление Информационные системы Оценка Органы
Правительство от 27 обеспечения и проведения соответствия исполнительной
января 2012 №36 ЕГЭ и приема граждан в власти,
образовательные осуществляющее
учреждения СПО и ВПО управление в сфере
образования
Постановление Средства защиты Оценка ФОИВ, ОИВ, органы
Правительство от 14 информации в базовых соответствия государственных
сентября 2012 №928 государственных внебюджетных
информационных ресурсах фондов
Приказ ФСТЭК от 5 Средства защиты Оценка Оператор ПДн
февраля 2010 №58 информации соответствия
8. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
РС БР ИББС-2.3- Средства защиты Оценка Оператор ПДн
2010 информации соответствия (организация
банковской системы
РФ)
СТО БР ИББС-1.0- СКЗИ Обязательная Банк
2010 сертификация или
положительное
заключение ФСБ
Информационное Средства защиты гостайны Обязательная Не установлено
сообщение ФСТЭК и информации сертификация
от 4 мая 2012 ограниченного доступа
№240/24/1701
Постановление Средства защиты ПДн и Обязательная Не установлено
Правительство от 15 государственных сертификация и
мая 2010 №330 информационных ресурсов государственный
контроль (надзор)
9. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Федеральный закон Средства ЭП и средства УЦ Подтверждение Разработчики или
от 6 апреля 2011 соответствия ФСБ потребители
№63-ФЗ
Положение Банка СКЗИ отечественного Сертификация ФСБ Оператор по
России от 9 июня производства переводу денежных
2012 №382-П средств, оператор
услуг платежной
инфраструктуры,
банковский
платежный агент
(субагент)
Приказ ФСБ от 9 СКЗИ отечественного Оценка Разработчик СКЗИ
февраля 2005 №66 производства соответствия в ФСБ
(ПКЗ-2005)
Приказ ФССП от 12 Средства защиты Оценка ФССП
мая 2012 №248 информации банка данных в соответствия
исполнительном
производстве
10. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Приказ Средства защиты Обязательная Потребители,
Гостехкомиссии от информации, сертификация поставщики или
27 октября 1995 предназначенные для производители
№199 защиты сведений, средств защиты
составляющих
государственную тайну, а
также другой информации с
ограниченным доступом,
подлежащей защите в
соответствии с
действующим
законодательством, систем
управления экологически
опасными производствами,
объектами, имеющими
важное оборонное или
экономическое значение и
влияющими на безопасность
государства
11. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Методические СКЗИ для ПДн Обязательная Разработчик СКЗИ
рекомендации ФСБ сертификация или или оператор ПДн
от 21 февраля 2008 положительное
№149/54-144 заключение ФСБ
ГОСТ Р 51583:2000 Технические, программные, Сертификация
программно-технические,
шифровальные средства
защиты информации и
средства для контроля
эффективности
автоматизированных систем
в защищенном исполнении
ГОСТ Р 51189-1998 Программные средства Сертификация Не установлено
систем вооружений
Постановление Средства защиты Оценка Операторы ПДн
Правительство от 1 персональных данных соответствия
ноября 2012 №1119
12. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Приказ ФСБ от 13 Средства защиты гостайны Обязательная Разработчик,
ноября 1999 №564 сертификация для изготовитель или
гостайны и потребитель
добровольная – для
иных средств
защиты
Приказ ФСБ от 27 Средства электронной Подтверждение Разработчики или
декабря 2011 №796 подписи соответствия ФСБ потребители
Приказ ФСБ от 27 Системное и прикладное ПО Отсутствие НДВ и Разработчики
декабря 2011 №796 средств удостоверяющего подтверждение
центра соответствия ФСБ
Приказ ФСТЭК от 30 Средства защиты Обязательная ФОИВ, ОГВ, ОГВ
августа 2002 №282 информационных систем сертификация и субъектов РФ, органы
(СТР-К) аттестация местного
объектов самоуправления
информатизации
13. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Приказ ФСТЭК от 18 Антивирусы, СКЗИ, МСЭ, Обязательная Не установлено
мая 2007 СЗИ от НСД и средства сертификация
защиты информации в
ключевых системах
информационной
инфраструктуры
Приказ ФСТЭК от 25 Средства защиты Сертификация Не установлено
декабря 2006 коммерческой тайны
Основные Автоматизированные Сертификация Не установлено
направления… АСУ системы управления КВО
ТП… Совета
Безопасности
Проект изменений в Средства защиты Оценка Заказчик или
ФЗ-149 информации в ГИС соответствия оператор ГИС
Проект «нового СТР- Средства защиты Сертификация Заказчик или
К» информации в ГИС оператор ГИС
14. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Федеральный закон Средства защиты Сертификация Бюро кредитных
от 30 декабря 2004 информации в бюро историй
№218-ФЗ кредитных историй
Федеральный закон Средства защиты ГАС Сертификация Не установлено
от 10 января 2003 «Выборы»
№20-ФЗ
Приказ Минфина от СКЗИ для выставления и Сертификация Участник
25 апреля 2011 получения счетов-фактур в электронного
№50н электронном виде документооборота
Постановление ГИС и составляющие ее Аттестация Не установлено
Правительство от 31 технические средства
июля 2007 №491 реестра государственных и
муниципальных контрактов,
в которые включаются
сведения, составляющие
гостайну
15. Кто требует оценки соответствия?
Нормативный Предмет Форма оценки Субъект оценки
акт регулирования соответствия соответствия
Указ Президента от Шифровальные средства, Сертификация Пользователи СКЗИ
3 апреля 1995 №334 включая криптографические ФАПСИ
средства обеспечения
подлинности информации
(электронная подпись), и
защищенных технических
средств хранения,
обработки и передачи
информации
СТО БР ИББС-1.0- СЗИ в составе АБС Можно применять и Банк
2010 несертифицирован-
ные
Письмо Банк России Средства защиты Можно применять и Банк
от 17 ноября 2011 персональных данных несертифицирован-
№015-16-9/4713 ные