Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
Реализация требований по защите информации в соответствии с положением Банка ...DialogueScience
В соответствии с положениями Федерального закона «О национальной платежной системе» участники платежных систем обязаны обеспечить защиту информации в соответствии с законодательством Российской Федерации, в том числе при осуществлении денежных переводов, а также провести оценку соответствия. В рамках презентации будут рассмотрены основные изменения, внесенные в требования по защите информации, предъявляемые Банком России к участникам платежных систем, и вступившие в силу с января 2014 года, а также возможные варианты их выполнения.
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Обзор тенденций ИБ-регулирования для телекома, прочитанный на конференции РБК. ФЗ-187 о безопасности критических информационных инфраструктур, закон о персданных, SIM-карты, обновление 1-го приказа Минкомсвязи
Реализация требований по защите информации в соответствии с положением Банка ...DialogueScience
В соответствии с положениями Федерального закона «О национальной платежной системе» участники платежных систем обязаны обеспечить защиту информации в соответствии с законодательством Российской Федерации, в том числе при осуществлении денежных переводов, а также провести оценку соответствия. В рамках презентации будут рассмотрены основные изменения, внесенные в требования по защите информации, предъявляемые Банком России к участникам платежных систем, и вступившие в силу с января 2014 года, а также возможные варианты их выполнения.
Аттестация объектов информатизации по требованиям безопасности информациSoftline
Аттестация объектов информатизации по требованиям безопасности информации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» – подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации.
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
Комплексные проекты в области защиты персональных данных. Аудит, консалтинг, внедрение сертифицированных средств защиты, разработка документации и подготовка к проверкам регуляторов.
Risks of non-compliance with regulatory requirementsВячеслав Аксёнов
Презентация моего выступления «Риск несоответствия действующему законодательству РБ в области защиты информации - или что будет если завтра к вам придёт проверка регулятора?» на семинаре «Управление рисками информационной безопасности в IT-компаниях».
Комплексные проекты в области защиты персональных данных. Аудит, консалтинг, внедрение сертифицированных средств защиты, разработка документации и подготовка к проверкам регуляторов.
Планируемые изменения законодательства по ИБ в РоссииAleksey Lukatskiy
Планируемые изменения законодательства по ИБ в России
1. Персональные данные
2. Критические информационные инфраструктуры
3. Национальная платежная система и банковская тайна
4. Операторы связи
5. Государственные и муниципальные учреждения
VII Уральский форум
Информационная безопасность банков
День Практической Безопасности
Лукацкий Алексей Викторович, бизнес-консультант по безопасности Cisco Systems
Источник: http://ural.ib-bank.ru/materials_2015
Что нам ждать от законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
Презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго и т.п.
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Правовые и технические аспекты защиты персональных данных в электронной комме...Demian Ramenskiy
Доклад: Правовые и технические аспекты защиты персональных данных в электронной коммерции
Форум: Экосистема электронной коммерции
(30 марта 2017, Москва, Шератон Палас)
Мое выступление на Kaspersky ICS Security Conference в сентябре 2020 года в Сочи о том, на что обращать внимание при разработке дашбордов по ИБ АСУ ТП для лиц, принимающих решения
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
Презентация на GDPR Day Online про техническую защиту персональных данных в соответствие с GDPR и ФЗ-152. Куча ссылок на стандарты и методички по защите ПДн в облаках, блокчейне, BYOD, ML, Big Data и т.п., а также чеклисты по технической защите ПДн от CNIL, ICO и др.
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
Презентация о том, как можно вынести тему ИБ на руководство финансовой организации? Как говорить с ним на языке денег и какие метрики использовать, если мы не можем монетизировать тему ИБ?
Краткое, но при этом талантливое :-) изложение ключевых идей, мыслей, новостей и фактов с Уральского форума по информационной безопасности финансовых организаций (2020).
2. Почему Cisco говорит о законодательстве?
ТК22 ТК122 ТК362 РГ ЦБ
«Безопасность
ИТ» (ISO SC27 в
России)
«Защита
информации в
кредитных
учреждениях»
«Защита
информации»
при ФСТЭК
Разработка рекомендаций по ПДн,
СТО БР ИББС v4 и 382-П/2831-У
ФСБ МКС ФСТЭК РАЭК РКН
Экспертиза
документов
Предложения
Экспертиза и
разработка
документов
Экспертиза и
разработка
документов
Консультативный
совет
3. Поиграем в загадки?
• у нас регуляторов по
информационной
безопасности?
• у нас появляется
нормативных актов по
информационной
безопасности в месяц?
• у нас планируется
выпустить нормативных
актов в ближайшие 1-2
года?
4. Регуляторов в области ИБ у нас 16+
• ФСБ, ФСТЭК, СВР,
МинОбороны, ФСО
• Минкомсвязь, Роскомнадзор
• МВД, Банк России
• Совет Безопасности
• PCI Council
• Минэнерго, Минэкономразвития
• Администрация Президента
• Ростехрегулирование
• Минтруд, Рособразование
• Каждый ФОИВ мнит себя
регулятором по ИБ…
6. Вы защищаете открытые данные?
Информация
Документированная
Общедоступная
(открытая)
Ограниченного доступа
Недокументированная
• В последнее время нормативные акты регуляторов стали все
больше уделять внимания не только конфиденциальности, но и
целостности и доступности данных
– И не всегда эти данные ограниченного доступа
7. Один пример : как защитить Web-сайт госоргана с
открытыми, конфиденциальными и общедоступными
данными?
Приказ
Минкомсвязи от
27.06.2013 №149
Приказ
Минкомсвязи от
25.08.2009 №104
Приказ ФСТЭК от
11.02.2013 №17
Приказ ФСБ/ФСТЭК
от 31.08.2010
№416/489
Указ Президента от
17.03.2008 №351
Приказ МЭР от
16.11.2009 №470
Приказ ФСО от
07.08.2009 №487
СТР-К???
8. А что с данными ограниченного доступа?
• 65 видов тайн в
российском
законодательстве
• Персональные
данные
• Коммерческая тайна
• Банковская тайна
• Тайна переписки
• Инсайдерская
информация
• Служебная тайна
• Тайна кредитной
истории
• …
9. Обязанность защиты
• Обладатель информации обязан принимать меры по защите
информации
– Ст.6 ФЗ-149
• Обладатель информации, оператор информационной системы в
случаях, установленных законодательством Российской
Федерации, обязаны обеспечить…
– Ст.16 ФЗ-149
Требования по защите
устанавливает
Обладатель
Законодательство РФ
• Какие
требования?
• Что
планируется?
10. Какие требования по защите установлены
законодательством РФ?
Требованияпозащите Персональных данных
Государственных и
муниципальных
информационных систем
При осуществлении
денежных переводов
Банковской тайны
Систем связи общего
пользования
Критических
информационных
инфраструктур (КСИИ)
Требования носят рекомендательный
характер
Планов по активному развитию пока
нет
Требований пока нет (исключая КСИИ)
11. Планируемые изменения по направлению ПДн
• Приказ РКН по обезличиванию
• Приказ ФСБ по использованию СКЗИ для защиты ПДн
• Законопроект «О внесении изменений в
статью 857 части второй ГК РФ, статью 26 ФЗ «О банках и
банковской деятельности» и ФЗ «О персональных данных»
• Большая порция изменений в ФЗ-152
• Законопроект по внесению изменений в КоАП (в части
увеличения штрафов по ст.13.11)
• Проект Постановления Правительства по надзору в сфере ПДн
• Указание Банка России с отраслевой моделью угроз ПДн
• СТО БР ИББС и новая версия «письма шести» (?)
• Реформа Евроконвенции
12. Планируемые изменения по направлению ГИС
• Меры защиты информации в государственных информационных
системах
• Порядок моделирования угроз безопасности информации в
информационных системах
• Методические документы, регламентирующие
– Порядок аттестации распределенных информационных систем
– Порядок обновления программного обеспечения в аттестованных
информационных системах
– Порядок выявления и устранения уязвимостей в
информационных системах
– Порядок реагирования на инциденты, которые могут привести к
сбоям или нарушению функционирования информационной
системы и (или) к возникновению угроз безопасности
информации
13. Планируемые изменения по направлению банковской
тайны
• Новая редакция СТО БР ИББС 1.0 «Обеспечение
информационной безопасности организаций банковской системы
Российской Федерации. Общие положения»
• Новая редакция СТО БР ИББС 1.2 «Методика оценка
соответствия СТО БР ИББС 1.0»
• РС «Ресурсное обеспечение информационной безопасности»
• РС «Требования по к обеспечению информационной
безопасности на стадиях жизненного цикла банковских
приложений»
• РС «Менеджмент инцидентов информационной безопасности»
• Единое пространство доверия с операторами связи
13
14. Планируемые изменения по направлению НПС
• Изменения в 382-П (3007-У)
• Отчетность по инцидентам (3024-У)
• Защита банкоматов и платежных терминалов (34-Т и др.)
• Защита электронных средств платежа
• Защита дистанционного банковского обслуживания
• Защита мобильного банкинга
• Рекомендации по повышению уровня безопасности при
предоставлении розничных платежных услуг с использованием
информационно-телекоммуникационной сети «Интернет» (146-Т)
• Изменение ст.9 ФЗ-161
• Обязательные нормативы управления операционными рисками
• Национальная система фрод-мониторинга
• Официальный перевод и признание PCI DSS и PA DSS 2.0 и 3.0
15. Как защищать данные?
• ФСТЭК (2013-2015)
– Требования к средствам доверенной загрузки
– Требования к средствам контроля съемных носителей
– Требования к средствам контроля утечек информации (DLP)
– Требования к средствам аутентификации
– Требования к средствам разграничения доступа
– Требования к средствам контроля целостности
– Требования к средствам очистки памяти
– Требования к средствам ограничения программной среды
– Требования к средствам управления потоками информации
(МСЭ, однонаправленные МСЭ, коммутаторы…)
– ГОСТы по защите виртуализации и облачных вычислений
• ФСБ
– Виртуализация, снижение числа классов СКЗИ
16. Что делать при таком обилии новых и планируемых НПА?
• У вас всегда есть выход J