Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
презентация "затравка" для Методического сбора со штатными специалистами исполнительные органы государственной власти Томской области (ИОГВ ТО) на тему «Выполнение плана мероприятий по устранению недостатков, выявленных комиссией ФСТЭК России при проверке состояния работ по технической защите конфиденциальной информации в исполнительных органах государственной власти Томской области
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Обзор и комментарии.
Романов Илья, CISA, CISM
Заместитель руководителя отдела консалтинга
ЗАО "ДиалогНаука"
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
презентация "затравка" для Методического сбора со штатными специалистами исполнительные органы государственной власти Томской области (ИОГВ ТО) на тему «Выполнение плана мероприятий по устранению недостатков, выявленных комиссией ФСТЭК России при проверке состояния работ по технической защите конфиденциальной информации в исполнительных органах государственной власти Томской области
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях"
Обзор и комментарии.
Романов Илья, CISA, CISM
Заместитель руководителя отдела консалтинга
ЗАО "ДиалогНаука"
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
Общие сведения о ФЗ-152 "О персональных данных", основные изменения и дополнительные сведения которые операторы ПДн обязаны были предоставить в Роскомнадзор в срок до 01.01.2013
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Практический опыт мониторинга и анализа компьютерных атакAdvanced monitoring
На семинаре «Российские компании на страже информации» в Уфе 1 марта 2016 года Роман Кобцев рассказал, как работает наш Центр мониторинга и с какими угрозами он помогает бороться.
Какие дополнительные сведения операторы ПДн обязаны были предоставить в Роско...Константин Бажин
Общие сведения о ФЗ-152 "О персональных данных", основные изменения и дополнительные сведения которые операторы ПДн обязаны были предоставить в Роскомнадзор в срок до 01.01.2013
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Positive Hack Days. Токаренко. Compliance риски в информационной безопасностиPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Практический опыт мониторинга и анализа компьютерных атакAdvanced monitoring
На семинаре «Российские компании на страже информации» в Уфе 1 марта 2016 года Роман Кобцев рассказал, как работает наш Центр мониторинга и с какими угрозами он помогает бороться.
Снижение рисков и затрат на внедрение защиты информационной системы персональных данных (ИСПДн) путем выноса серверного сегмента в специализированное облако Softline.
Планируемые изменения законодательства по ИБ в РоссииAleksey Lukatskiy
Планируемые изменения законодательства по ИБ в России
1. Персональные данные
2. Критические информационные инфраструктуры
3. Национальная платежная система и банковская тайна
4. Операторы связи
5. Государственные и муниципальные учреждения
О сертификации ПО по требованиям безопасности информации в системе сертификац...Олег Габов
О сертификации ПО по требованиям безопасности информации в системе сертификации ФСТЭК России
Оглавление
1. Термины и определения 2
2. Нормативная база системы сертификации Федеральной службы по техническому и экспортному контролю России 3
3. Назначение программного обеспечения 4
3.1. Требования безопасности информации для ПО, которое является средством защиты информации 6
3.2. Требования безопасности информации для ПО со встроенными средствами (механизмами) защиты информации 6
3.3. Требования сертификации ПО по уровню контроля отсутствия недекларированных возможностей 7
4. Применение программного обеспечения в составе информационной/автоматизированной системы 7
5. Основные нормативные правовые акты, в которых указано о необходимости проведения сертификации по требованиям безопасности информации 10
Таблица 1 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну 10
Таблица 2 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатывается информация конфиденциального характера 13
Таблица 3 – Перечень основных нормативных правовых актов с указанием о необходимости проведения сертификации СрЗИ для Систем, в которых обрабатываются персональные данные 16
Positive Hack Days. Царев. Сложности выполнения российских требований по ЗПДPositive Hack Days
Регулирование информационной безопасности в России давно превысило все мыслимые и немыслимые пределы и сделало эту тему для многих компаний притчей во языцех. ФЗ-152, закон о госуслугах, закон о национальной платежной системе, PCI DSS, новые приказы ФСБ, ФСО и Минкомсвязи… все это сваливается на головы ничего не подозревающих потребителей как снежный ком.
Requirements of the legislation of the Republic of Belarus in the field of information protection. My presentation from the online seminar "Compliance with the requirements of the legislation of the Republic of Belarus in the field of information security" (short version)
2. Регуляторы
Федеральная служба по
Федеральная служба по
надзору в сфере связи,
техническому и
информационных технологий и
экспортному контролю Федеральная служба безопасности
массовых коммуникаций
(ФСТЭК) (ФСБ)
(Роскомнадзор)
Техническая часть 2 Правовые основания
3. Объекты и порядок проверки
одна неделя
Проверка всех
отделов в
Информационное
соответствии со Акт проверки
письмо
структурой
оператора
3
4. Правовая основа
• Федеральный закон «О персональных данных» № 152-
ФЗ от 8.07.2006.
• Положение об обеспечении безопасности персональных
данных при их обработке в информационных системах
персональных данных, утверждено Постановлением
правительства от 17.11.2007 № 781.
• Положение о методах и способах защиты информации в
информационных системах персональных данных,
утверждено приказом ФСТЭК России от 5.02.2010 № 58.
4
5. Правовая основа
П О С Т А Н О В Л Е Н И Е от 1 ноября 2012 г.
№1119 Об утверждении требований к защите
персональных данных при их обработке в
информационных системах персональных данных
5
6. Также последние документы от ФСТЭК:
ФСТЭК России активно проводит разработку и внедрение новых нормативных
документов по защите информации, например:
- введены в действие нормативный документ «Требования к системам обнаружения
вторжений» и 12 методических документов, содержащих профили защиты для СОВ
- подготовлены нормативный документ «Требований к средствам антивирусной
защиты» и 24 методических документов, содержащих ПЗ для САВЗ
- готовятся документы по средствам доверенной загрузки, средствам двухфакторной
аутентификации, средствам контроля съемных носителей информации, средствам
предотвращения утечек информации (DLP-системы)
- по мере внедрения новых нормативных и методических документов, сертификация на
ТУ и РД Гостехкомиссии России (по МЭ и СВТ) исчезнет как класс.
Последние документы от ФСБ касаются персональных данных, и определения угроз, но
еще не утверждены.
Таким образом, про облачные технологии, как было молчание так и осталось.
Информации нет ни среди новостей, ни в блогах экспертов.
6
7. Для обработки персональных данных в публичном "облаке"
требуется получение специального согласия субъекта
персональных данных. Из ст. 9 ФЗ-152 вытекает, что при
получении согласия от субъектов персональных данных
операторы обязаны указывать, в том числе, названия своих
облачных поставщиков и перечислять те действия с
персональными данными, которые будут осуществляться на
облачной площадке.
7
8. 1. Оператор СПДн предлагает субъекту персональных
данных работать в своем облаке
2. Оператор СПДн передает данные субъекта в облако
третьему лицу (например оператору связи)
8
9. Правда состоит в том, что текущая нормативная база просто не
предусматривает адекватных организационно-технических
требований по защите информации в облачных инфраструктурах, да
еще с трансграничной передачей данных.
9
10. В презентации использованы материалы с сайтов:
http://www.facebook.com/groups/Cloud.Forum.Rus/permalink/195161430617539/
http://www.osp.ru/cw/2012/15/13016121/
http://www.pcweek.ru/security/article/detail.php?ID=139185
http://daily.sec.ru/publication.cfm?pid=35102&rid=32&pm=8&py=2012&ppos=8
http://www.avanpost.ru/press-center/press/press-about-us_61.html
http://www.wht.by/review/484-qoblakaq-qspotknulisq-o-zakon-o-personalnykh-dannykh
10