Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
Презентация "Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно" задает несколько вопросов относительно проектов приказов ФСБ по ГосСОПКЕ
Что нам ждать от законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
Презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго и т.п.
Читал двухдневный курс по законодательству в области ИБ. Вот решил выложить то, что получилось. Буду еще доделывать - не все понравилось, да и времени оказалось мало под эту тему. Но может кому будет полезно!
Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременноAleksey Lukatskiy
Презентация "Антисуслик Шредингера: документы ФСБ, которые есть и которых нет одновременно" задает несколько вопросов относительно проектов приказов ФСБ по ГосСОПКЕ
Что нам ждать от законодательства по безопасности критической инфраструктурыAleksey Lukatskiy
Презентация с BIS Summit SPb 2017 с обзором положений законопроекта по безопасности критической инфраструктуры и сопутствующих документов ФСТЭК, ФСБ, Минкомсвязи, Минэнерго и т.п.
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1
Новая триада законодательства по финансовой безопасностиAleksey Lukatskiy
Презентация рассказывает о трех ключевых направлениях регулирования ИБ в финансовых организациях в 2018+ годах (исключая удаленную идентификацию) - 187-ФЗ по критической информационной инфраструктуре, 382-П по защите информации при осуществлении денежных переводов и новый ГОСТ 57580.1
Презентация с вебинара "Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого было спросить"
Ссылка на страницу вебинара (и запись) - http://solarsecurity.ru/analytics/webinars/665/
Моя презентация, которую читал на VIII Международной научно-практической конференции студентов, аспирантов и молодых ученых "Информационные технологии в науке"
Babok v2.0 перевод на русский язык свод знаний по бизнес анализуIvan Shamaev
BABOK версия 2.0 - свод знаний по бизнес-анализу. Перевод на русский язык стандарта BABOK для бизнес-аналитиков, глава введения. Понятия бизнес-анализа, задачи, базовые компетенции.
Это последняя лекция в серии для очень начинающих аналитиков. Она о высоком: о творчестве, о познании, о сложных задачах, которые тоже являются частью работы аналитика. Об этой стороне редко говорят, считая ее трудно формализуемой, необязательной или считают, что это "не для всех". Но останавливаясь только на обязательных, формальных и рутинных частях работы аналитика, мы сами убиваем любовь к собственной профессии, превращая ее в колесо для белки. Так вот: учитесь видеть в своей профессии творчество!
Управление требованиями. Сбор требований. Характеристики хороших требований. Анализ требований. Управление изменениями требованиями. Курс для бизнес-аналитиков. Основы бизнес-анализа для начинающих
Техносфера Mail.ru Group, МГУ им. М.В. Ломоносова.
Курс "Методы распределенной обработки больших объемов данных в Hadoop"
Видео лекции курса https://www.youtube.com/playlist?list=PLrCZzMib1e9rPxMIgPri9YnOpvyDAL9HD
Развитие безопасных технологий в России в условиях курса на импортозамещениеЭЛВИС-ПЛЮС
Сергей Викторович Вихорев и Роман Кобцев рассуждают о проблемах импортозамещения в сфере обеспечения безопасности информации и информационных технологий в целом. Насколько росийские ИТ зависимы от импорта? Какие риски стоят за этим? Каковы прогнозы и перспективы импортозамещения в текущей ситуации?
Развитие безопасных технологий в России. Существуют ли возможности импортозам...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
Пленарное заседание. Часть II
Информационная безопасность в банковском секторе.
Вихорев Сергей Викторович, заместитель генерального директора компании «ЭЛВИС-ПЛЮС»
Источник: http://ural.ib-bank.ru/materials_2015
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...IBS
Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS.
Подробности: http://www.ibs.ru
NIST has updated the Cybersecurity Framework to version 2.0 (CSF 2.0). Key changes include a new "Govern" function, updated categories and subcategories, and expanded guidance on using profiles and implementation examples. CSF 2.0 also emphasizes supply chain risk management and alignment with other frameworks. The update aims to reflect the evolving cybersecurity landscape and help organizations better manage cybersecurity risks.
Every CISO should know how to create and implement information security policies. The best approach is defined in the ISO 27001 standard and presented in the attached presentation, "ISMS Documented Information"
The document summarizes the results of the 2022 ISO Survey, which estimates the number of valid ISO management system certificates as of December 31, 2022. It finds that ISO 27001 certificates increased by 22% in 2022 to a total of 71,549 certificates covering 120,128 sites. The top countries for ISO 27001 certificates are China, Japan, the United Kingdom, India, and Italy. The largest sectors covered are information technology, transport/storage/communication, and other services.
The document provides an overview of 12 privacy frameworks that can be used to develop comprehensive privacy programs. It describes each framework, including its organization, cost, and key benefits. The top frameworks are ISO 29100, ISO 27701, the ICO Accountability Framework, and the TrustArc-Nymity Framework. They provide standards, guidelines and best practices for building privacy into products and governance. The document aims to help privacy professionals select the most appropriate framework for their needs without needing to reinvent existing approaches.
This document discusses cybersecurity frameworks and provides an overview of the most popular frameworks. It begins by defining frameworks, regulations, standards and guidelines. Some of the main benefits of frameworks mentioned are providing a comprehensive security baseline, enabling measurement and benchmarking, and demonstrating maturity. Twelve of the most popular frameworks are then listed and described briefly. The document outlines different types of frameworks and provides tips for choosing an appropriate framework based on mandatory requirements, country practices, industry usage, certification needs, organization size and maturity. It also discusses mappings between frameworks and attributes of information security controls.
The document summarizes the journey of the NIST Cybersecurity Framework from version 1.1 to the upcoming version 2.0. It provides an overview of the key components of version 1.1 and the motivation for an update. Version 2.0 includes significant updates like a new "Govern" function, changes to categories and subcategories, more implementation guidance, and an emphasis on supply chain risk management. The draft of version 2.0 is available for public comment through November 2023, with the final version planned for early 2024.
This document provides an agenda and overview for implementing an Information Security Management System (ISMS) using an ISMS Implementation Toolkit. It discusses what an ISMS toolkit is and important considerations when using one. It then lists the top 5 ISMS toolkits and provides details on the author's own toolkit. Finally, it outlines a 20+1 step process for implementing an ISMS using the toolkit, with each step briefly described.
1. The document discusses how ChatGPT can be used to assist with implementing an Information Security Management System (ISMS) according to ISO 27001. It provides 8 ways ChatGPT may help including clarifying concepts, providing implementation guidance, assisting with policy development, and troubleshooting issues.
2. The document explains that while ChatGPT can offer assistance, it should not replace professional advice. Effective prompts are important to receive relevant responses, and all information from ChatGPT needs to be critically evaluated.
3. The document acknowledges some limitations of ChatGPT, like providing outdated references to the previous ISO 27001 version and failing to generate some example templates completely. Overall, ChatGPT is framed as
This document discusses key privacy principles for protecting personally identifiable information. It outlines seven main privacy principles from standards like the GDPR and ISO: 1) Lawfulness, fairness and transparency, 2) Purpose limitation, 3) Data minimization, 4) Accuracy, 5) Storage limitation, 6) Integrity and confidentiality (security), and 7) Accountability. It explains each principle in 1-2 sentences and provides examples of how organizations can implement the principles in their privacy practices and policies.
This document provides an overview and agenda for a presentation on ISO 27001 and information security management systems (ISMS). It introduces key terms like information security, the CIA triad of confidentiality, integrity and availability. It describes the components of an ISMS like policy, procedures, risk assessment and controls. It explains that ISO 27001 specifies requirements for establishing, implementing and maintaining an ISMS. The standard is popular because it can be used by all organizations to improve security, comply with regulations and build trust. Implementing an ISMS also increases awareness, reduces risks and justifies security spending.
This document provides an overview of changes between the 2018 and 2022 versions of ISO 27005, which provides guidance on managing information security risks. Some key changes include aligning terminology with ISO 31000:2018, adjusting the structure to match ISO 27001:2022, introducing risk scenario concepts, revising and restructuring annexes, and providing additional examples and models. The 2022 version contains 62 pages compared to 56 pages previously and has undergone terminology, process, and content updates to align with updated ISO standards and better support organizations in performing information security risk management.
The document summarizes the key changes between ISO 27001:2022 and the previous 2013 version. Some of the main changes include:
1. A new name that includes cybersecurity and privacy protection.
2. Shorter at 19 pages compared to 23.
3. New terminology and structure for some clauses around objectives, communication, monitoring and management review.
4. A new annex with 93 controls categorized by type and security properties, compared to the previous 114 controls.
5. Organizations will need to evaluate their existing ISMS and make updates to address the new requirements and structure of ISO 27001:2022.
The document summarizes the results of the 2021 ISO survey, reporting that as of December 31, 2021 there were 58,687 valid ISO 27001 information security certificates covering 99,755 sites globally. It provides breakdowns of the number of certificates and sites by country and sector. The countries with the most ISO 27001 certificates are China, Japan, the United Kingdom, India, and Italy. The sector with the most certificates is information technology.
This document provides information about Data Protection Impact Assessments (DPIAs). It begins with an introduction and agenda. It then covers the definition of a DPIA, why they are needed, when they are mandatory under GDPR, and what they should include. It discusses templates, methodologies, and examples of high risk factors that require a DPIA. It also provides the presenter's templates for a DPIA, including a lighter version, and discusses ways to improve the templates by making them more specific and complicated. The document is an overview of DPIAs aimed at helping organizations understand and comply with requirements.
The document discusses standards and frameworks for managing information security risks in supplier relationships. It defines key terms related to acquirers, suppliers, and supply chains. It outlines controls from ISO 27001, NIST CSF, and NIST SP 800-53 related to supply chain risk management. These controls address supplier agreements, monitoring performance, and risk treatment. The document also discusses ISO 27036 which provides guidance for securing information in supplier relationships, and NIST SP 800-161 which provides practices for managing cybersecurity supply chain risks.
The document discusses employee monitoring and privacy. It covers surveillance methods used by organizations to monitor employees, including email, internet, software, video, and location monitoring. Specific considerations for remote work are outlined. Legal requirements for employee monitoring from the GDPR, local data protection and labor laws are examined. The document also discusses balancing security and privacy as seen from the perspectives of a CISO and DPO. Risks of inadequate monitoring and examples of GDPR fines for violations are provided. Principles for lawful employee monitoring and recommendations for internal policies are presented.
The document discusses using a RACI (Responsible, Accountable, Consulted, Informed) chart to assign roles and responsibilities for GDPR implementation. It provides an introduction to RACI charts, an example from the speaker's company that outlines its data protection framework, governance model and 21 GDPR activities, and the speaker's resulting RACI chart. The speaker advocates for RACI charts to provide a clear overview of participation in tasks and recommends periodic reviews to keep the chart updated.
More from Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001 (20)
1. РОССИЙСКАЯ АКАДЕМИЯ НАРОДНОГО
ХОЗЯЙСТВА И ГОСУДАРСТВЕННОЙ
СЛУЖБЫ
Экономический факультет
ШКОЛА IT-МЕНЕДЖМЕНТА
Курс: «Законодательство в ИБ»
Импортозамещение
Прозоров Андрей, CISM
• Мой блог: 80na20.blogspot.com
• Мой твиттер: twitter.com/3dwave
2016-05
2. Импортозамещение — замещение импорта
товарами, произведёнными внутри страны.
Для замещения импорта национальными
товарами могут быть использованы
протекционистские методы регулирования:
тарифные, нетарифные.
МВА Информационная безопасность (CSO) 2
4. Противники Защитники
• «Запрет ограничит конкуренцию и, в
перспективе, произойдет снижение качества
ПО»
• «Кто хочет, тот и так все покупает»
• «Наши ничего делать не умеют»
• «Какое импортозамещение ПО без
импортозамещения аппаратной части?»
• «Даже ракеты не летают, такую страну
развалили, и с импортозамещением не
пройдет»
• «Развалили науку, сейчас уже не сделаем»
• «Надо было раньше начинать, сейчас уже
проиграли Западу»
• «А вы на какой машине ездите: отечественной
или импортной?»
• «Импортозамещение не настоящее, просто
перешивают шильдики на западных продуктах»
• «Это очередной распил и откат»
• «Какое импортозамещение? Даже свой
автопром поднять не можем»
• «Это поднимет экономику»
• «Уже есть успешные примеры, посмотрите на
ЛК, 1С»
• «А вот в производстве оружия, атомной
промышленности и авастроении ведь можем! И
с импортозамещение ПО справимся»
• «В России много хороших компаний и умных
специалистов. Сможем импортозаместить все»
• «Нельзя тратить бюджетные деньги на
иностранное ПО»
• «Дайте денег, мы все сделаем»
• «С западным ПО есть проблемы из-за санкций
(например, в Крыму)»
• «Нужна технологическая независимость»
• «Нужно повышать обороноспособность»
• «В иностранном ПО много закладок и
уязвимостей»
• «Если не пытаться что-то исправить, то так и
будем «сидеть на игле» иностранных
производителей»
• «В Китае смогли, и мы сможем»
МВА Информационная безопасность (CSO) 4
Не будем говорить лозунгов…
8. МВА Информационная безопасность (CSO) 8
Из Доктрины ИБ 2000
"Третья составляющая национальных интересов Российской
Федерации в информационной сфере включает в себя развитие
современных информационных технологий, отечественной
индустрии информации, в том числе индустрии средств
информатизации, телекоммуникации и связи, обеспечение
потребностей внутреннего рынка ее продукцией и выход этой
продукции на мировой рынок, а также обеспечение накопления,
сохранности и эффективного использования отечественных
информационных ресурсов. В современных условиях только на
этой основе можно решать проблемы создания наукоемких
технологий, технологического перевооружения
промышленности, приумножения достижений отечественной
науки и техники. Россия должна занять достойное место
среди мировых лидеров микроэлектронной и компьютерной
промышленности. …"
9. «Для достижения этого требуется:
• развивать и совершенствовать инфраструктуру единого
информационного пространства Российской Федерации;
• развивать отечественную индустрию информационных
услуг и повышать эффективность использования
государственных информационных ресурсов;
• развивать производство в Российской Федерации
конкурентоспособных средств и систем информатизации,
телекоммуникации и связи, расширять участие России в
международной кооперации производителей этих средств и
систем;
• обеспечить государственную поддержку отечественных
фундаментальных и прикладных исследований, разработок
в сферах информатизации, телекоммуникации и связи."
МВА Информационная безопасность (CSO) 9
Из Доктрины ИБ 2000
10. "Угрозами развитию отечественной индустрии информации, включая
индустрию средств информатизации, телекоммуникации и связи,
обеспечению потребностей внутреннего рынка в ее продукции и выходу этой
продукции на мировой рынок, а также обеспечению накопления, сохранности и
эффективного использования отечественных информационных ресурсов
могут являться:
• противодействие доступу Российской Федерации к новейшим
информационным технологиям, взаимовыгодному и равноправному
участию российских производителей в мировом разделении труда в
индустрии информационных услуг, средств информатизации,
телекоммуникации и связи, информационных продуктов, а также создание
условий для усиления технологической зависимости России в области
современных информационных технологий;
• закупка органами государственной власти импортных средств
информатизации, телекоммуникации и связи при наличии
отечественных аналогов, не уступающих по своим характеристикам
зарубежным образцам;
• вытеснение с отечественного рынка российских производителей средств
информатизации, телекоммуникации и связи;
• увеличение оттока за рубеж специалистов и правообладателей
интеллектуальной собственности."
МВА Информационная безопасность (CSO) 10
Из Доктрины ИБ 2000
11. Доктрина утверждает перечень задач, требующих безотлагательного
решения:
• обеспечение технологической независимости Российской
Федерации в важнейших областях информатизации,
телекоммуникации и связи, определяющих ее безопасность, и в
первую очередь в области создания специализированной
вычислительной техники для образцов вооружения и военной
техники;
• разработка современных методов и средств защиты
информации, обеспечения безопасности информационных
технологий, и прежде всего используемых в системах управления
войсками и оружием, экологически опасными и экономически
важными производствами;
Доктрина определяет одним из принципов государственной политики --
"приоритетное развитие отечественных современных
информационных и телекоммуникационных технологий,
производство технических и программных средств, способных
обеспечить совершенствование национальных
телекоммуникационных сетей, их подключение к глобальным
информационным сетям в целях соблюдения жизненно важных
интересов Российской Федерации."
МВА Информационная безопасность (CSO) 11
Из Доктрины ИБ 2000
12. МВА Информационная безопасность (CSO) 12
Стратегия развития отрасли ИТ в РФ
на 2014 - 2020 годы и на перспективу до 2025 года
"Учитывая масштабы проникновения информационных технологий в повседневную
жизнь граждан, организаций и органов власти всех уровней, а также высокий уровень
зависимости создаваемых в стране информационных систем от импортной
продукции, особенно актуальным становится вопрос обеспечения должного уровня
информационной безопасности страны в современном глобальном информационном
мире.
В этих условиях необходимо предпринять меры, направленные на обеспечение
информационной безопасности не только государственных органов власти, но и
других организаций и граждан, проживающих на территории России.
Мерами долгосрочного характера являются:
• ускоренное развитие производства отечественной продукции гражданского
назначения в целях формирования задела по самым перспективным направлениям
развития отрасли информационных технологий;
• разработка и запуск специальной программы импортозамещения продукции
сферы информационных технологий для решения задач отдельных
государственных структур и организаций (в том числе оборонно-
промышленного комплекса), включающей запуск разработки широкой
номенклатуры продукции, обладающей высоким уровнем информационной
безопасности;
13. • 740 млрд. рублей объем рынка ИТ
• 420 тыс. работников отрасли
• 5 788 ИТ-компаний, аккредитованных в Минкомсвязи
России для применения преференций по
страховым взносам и иных
• выручка от реализации
российского ПО
и баз данных
(по данным Росстата,
млрд. рублей):
• более 1 300 ИТ-компаний получили финансовую
поддержку в объеме свыше 9 млрд. рублей за 2013-2015
годы
МВА Информационная безопасность (CSO) 13
ИТ в РФ (рынок)
14. По данным Минэкономразвития, в
2015 году госсектор закупил ПО на
93,9 млрд рублей, госкомпании – на
118,4 млрд .
На импортное ПО в госсекторе
пришлось 77% закупок (в денежном
выражении) – 72 млрд рублей, на
отечественное ПО – 21,9 млрд.
МВА Информационная безопасность (CSO) 14
Количество контрактов на покупку российского софта выросло в 2015 году более
чем вдвое.
21. МВА Информационная безопасность (CSO) 21
Никифоров Н.А.:
"За бюджетные деньги не
должно покупаться
зарубежное программное
обеспечение"
22. МВА Информационная безопасность (CSO) 22
Про закупки для гос.нужд
• Федеральный закон от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере
закупок товаров, работ, услуг для обеспечения государственных и
муниципальных нужд"
• Федеральный закон от 18.07.2011 N 223-ФЗ "О закупках товаров, работ, услуг
отдельными видами юридических лиц» (по этому ФЗ преференций
отечественному ПО нет)
• Постановление Правительства РФ от 28.11.2013 N 1085 "Об утверждении Правил оценки
заявок, окончательных предложений участников закупки товаров, работ, услуг для
обеспечения государственных и муниципальных нужд"
• Гражданский Кодекс РФ § 4. Поставка товаров для государственных или муниципальных
нужд (ст.525-534)
• Бюджетный Кодекс РФ Статья 72. Осуществление закупок товаров, работ, услуг для
обеспечения государственных (муниципальных) нужд
• КоАП Статья 7.29. «Несоблюдение требований законодательства Российской Федерации
о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения
государственных и муниципальных нужд при принятии решения о способе и об условиях
определения поставщика (подрядчика, исполнителя)» и Статья 7.30. «Нарушение порядка
осуществления закупок товаров, работ, услуг для обеспечения государственных и
муниципальных нужд»
23. МВА Информационная безопасность (CSO) 23
Законы про импортозамещение
Федеральный закон от 29.06.2015 N 188-ФЗ "О внесении изменений в
Федеральный закон "Об информации, информационных технологиях и о защите
информации" и статью 14 Федерального закона "О контрактной системе в сфере
закупок товаров, работ, услуг для обеспечения государственных и
муниципальных нужд" (Начало действия документа - 01.01.2016):
• Про реестр российского ПО и критерии
• Про правки в 44-ФЗ: «устанавливаются запрет на допуск товаров,
происходящих из иностранных государств, работ, услуг, соответственно
выполняемых, оказываемых иностранными лицами, и ограничения допуска
указанных товаров, работ, услуг для целей осуществления закупок»
Федеральный закон от 13 июля 2015 года N 227-ФЗ "О внесении изменений в
Федеральный закон "О контрактной системе в сфере закупок товаров, работ,
услуг для обеспечения государственных и муниципальных нужд"" (Начало
действия документа - 15.08.2016)
• Про правки в 44-ФЗ: Требование к участникам закупки: участник закупки не
является офшорной компанией
24. МВА Информационная безопасность (CSO) 24
Ключевые регуляторы
Министерство экономического развития
Российской Федерации: регулирование
контрактной системы в сфере закупок товаров,
работ, услуг для обеспечения государственных и
муниципальных нужд.
Министерство связи и массовых коммуникаций
Российской Федерации: проведение экспертной
оценки документов и материалов, используемых
для формирования и ведения Единого реестра
российских программ для электронных
вычислительных машин и баз данных.
25. В целях расширения использования российских
программ для электронных вычислительных
машин и баз данных, подтверждения их
происхождения из Российской Федерации, а
также в целях оказания правообладателям
программ для электронных вычислительных
машин или баз данных мер государственной
поддержки создается единый реестр российских
программ для электронных вычислительных
машин и баз данных (далее - реестр российского
программного обеспечения).
МВА Информационная безопасность (CSO) 25
Цель реестра ПО по 188-ФЗ
26. 3. В целях защиты основ конституционного строя, обеспечения
обороны страны и безопасности государства, защиты
внутреннего рынка РФ, развития национальной экономики,
поддержки российских товаропроизводителей нормативными
правовыми актами Правительства Российской Федерации
устанавливаются запрет на допуск товаров, происходящих из
иностранных государств, работ, услуг, соответственно
выполняемых, оказываемых иностранными лицами, и
ограничения допуска указанных товаров, работ, услуг для целей
осуществления закупок.
В случае, если указанными нормативными правовыми актами
Правительства Российской Федерации предусмотрены
обстоятельства, допускающие исключения из установленных в
соответствии с настоящей частью запрета или ограничений,
заказчики при наличии указанных обстоятельств обязаны
разместить в единой информационной системе обоснование
невозможности соблюдения указанных запрета или
ограничений.
МВА Информационная безопасность (CSO) 26
Правки в 44-ФЗ по 188-ФЗ + цели
27. МВА Информационная безопасность (CSO) 27
Критерии отечественного ПО (1)
В реестр российского программного обеспечения включаются сведения о программах для
электронных вычислительных машин и базах данных, которые соответствуют следующим
требованиям:
1) исключительное право на программу для электронных вычислительных машин или базу
данных на территории всего мира и на весь срок действия исключительного права
принадлежит одному либо нескольким из следующих лиц (правообладателей):
а) Российской Федерации, субъекту Российской Федерации, муниципальному образованию;
б) российской некоммерческой организации, высший орган управления которой
формируется прямо и (или) косвенно Российской Федерацией, субъектами Российской
Федерации, муниципальными образованиями и (или) гражданами Российской Федерации
и решения которой иностранное лицо не имеет возможности определять в силу
особенностей отношений между таким иностранным лицом и российской некоммерческой
организацией;
в) российской коммерческой организации, в которой суммарная доля прямого и (или)
косвенного участия Российской Федерации, субъектов Российской Федерации,
муниципальных образований, российских некоммерческих организаций, указанных в
подпункте "б" настоящего пункта, граждан Российской Федерации составляет более
пятидесяти процентов;
г) гражданину Российской Федерации;
28. 2) программа для электронных вычислительных машин или база данных правомерно
введена в гражданский оборот на территории Российской Федерации, экземпляры
программы для электронных вычислительных машин или базы данных либо права
использования программы для электронных вычислительных машин или базы данных
свободно реализуются на всей территории Российской Федерации;
3) общая сумма выплат по лицензионным и иным договорам, предусматривающим
предоставление прав на результаты интеллектуальной деятельности и средства
индивидуализации, выполнение работ, оказание услуг в связи с разработкой, адаптацией и
модификацией программы для электронных вычислительных машин или базы данных и
для разработки, адаптации и модификации программы для электронных вычислительных
машин или базы данных, в пользу иностранных юридических лиц и (или) физических лиц,
контролируемых ими российских коммерческих организаций и (или) российских
некоммерческих организаций, агентов, представителей иностранных лиц и
контролируемых ими российских коммерческих организаций и (или) российских
некоммерческих организаций составляет менее тридцати процентов от выручки
правообладателя (правообладателей) программы для электронных вычислительных машин
или базы данных от реализации программы для электронных вычислительных машин или
базы данных, включая предоставление прав использования, независимо от вида договора
за календарный год;
4) сведения о программе для электронных вычислительных машин или базе данных не
составляют государственную тайну, и программа для электронных вычислительных машин
или база данных не содержит сведений, составляющих государственную тайну.МВА Информационная безопасность (CSO) 28
Критерии отечественного ПО (2)
29. 2. Правила формирования и ведения реестра
российского программного обеспечения, состав
сведений, включаемых в реестр российского
программного обеспечения, в том числе об
основаниях возникновения исключительного права у
правообладателя (правообладателей), условия
включения таких сведений в реестр российского
программного обеспечения и исключения их из
реестра российского программного обеспечения,
порядок предоставления сведений, включаемых в
реестр российского программного обеспечения,
порядок принятия решения о включении таких
сведений в реестр российского программного
обеспечения устанавливаются Правительством РФ.
МВА Информационная безопасность (CSO) 29
Из 188-ФЗ
30. МВА Информационная безопасность (CSO) 30
1. Утвердить прилагаемые:
• Правила формирования и ведения
единого реестра российских
программ для электронных
вычислительных машин и баз данных
(далее - реестр);
• Порядок подготовки обоснования
невозможности соблюдения запрета
на допуск программного
обеспечения, происходящего из
иностранных государств, для целей
осуществления закупок для
обеспечения государственных и
муниципальных нужд.
2. Установить запрет …
ПП №1236 от 16 ноября 2015
С 01.01.2016
31. 2. Установить запрет на допуск программ для электронных
вычислительных машин и баз данных, реализуемых независимо от вида
договора на материальном носителе и (или) в электронном виде по
каналам связи, происходящих из иностранных государств, а также
исключительных прав на такое программное обеспечение и прав
использования такого программного обеспечения (далее - программное
обеспечение и (или) права на него), для целей осуществления закупок
для обеспечения государственных и муниципальных нужд, за
исключением следующих случаев:
а) в реестре отсутствуют сведения о программном обеспечении,
соответствующем тому же классу программного обеспечения, что и
программное обеспечение, планируемое к закупке;
б) программное обеспечение, сведения о котором включены в реестр и
которое соответствует тому же классу программного обеспечения, что и
программное обеспечение, планируемое к закупке, по своим
функциональным, техническим и (или) эксплуатационным
характеристикам не соответствует установленным заказчиком
требованиям к планируемому к закупке программному обеспечению.
МВА Информационная безопасность (CSO) 31
Из ПП №1236 про запрет закупок
32. 3. Запрет, предусмотренный пунктом 2 настоящего
постановления, не распространяется на осуществление
закупок программного обеспечения и (или) прав на него
дипломатическими представительствами и консульскими
учреждениями Российской Федерации, торговыми
представительствами Российской Федерации при
международных организациях для обеспечения своей
деятельности на территории иностранного государства.
4. Настоящее постановление не распространяется на
осуществление закупок программного обеспечения и (или)
прав на него, сведения о котором и (или) о закупке которого
составляют государственную тайну.
МВА Информационная безопасность (CSO) 32
Из ПП №1236 про запрет закупок
33. МВА Информационная безопасность (CSO) 33
Обоснованность гос.закупок
иностранного ПО
Экспертный центр электронного государства,
05-2016
34. 3.Обоснование должно содержать указание на:
а) обстоятельство, предусмотренное подпунктом "а" или "б" пункта 2 настоящего
Порядка;
б) класс (классы) программного обеспечения, которому (которым) должно
соответствовать программное обеспечение, являющееся объектом закупки;
в) требования к функциональным, техническим и эксплуатационным
характеристикам программного обеспечения, являющегося объектом закупки,
установленные заказчиком, с указанием класса (классов), которому (которым)
должно соответствовать программное обеспечение;
г) функциональные, технические и (или) эксплуатационные характеристики (в том
числе их параметры), по которым программное обеспечение, сведения о
котором включены в реестр, не соответствует установленным заказчиком
требованиям к программному обеспечению, являющемуся объектом закупки, по
каждому программному обеспечению (с указанием названия программного
обеспечения), сведения о котором включены в реестр и которое соответствует
тому же классу программного обеспечения, что и программное обеспечение,
являющееся объектом закупки (только для закупки в случае, предусмотренном
подпунктом "б" пункта 2 настоящего Порядка).
МВА Информационная безопасность (CSO) 34
Про обоснование из ПП 1236
35. 4.Обоснование подготавливается и утверждается заказчиком
по состоянию на день размещения извещения об
осуществлении закупки в единой информационной системе
в сфере закупок.
5.Обоснование размещается заказчиком в единой
информационной системе в сфере закупок в порядке,
устанавливаемом Правительством Российской Федерации.
6.Размещение обоснования в единой информационной
системе в сфере закупок осуществляется заказчиком
одновременно с размещением извещения об осуществлении
закупки.
МВА Информационная безопасность (CSO) 35
Про обоснование из ПП 1236
36. 1. Полностью отечественный софт (из реестра)
2. ПО с открытым исходным кодом
3. Остальное (включая иностранное
коммерческое ПО)
МВА Информационная безопасность (CSO) 36
Приоритет при закупках
38. а) порядковый номер реестровой записи;
б) дата формирования реестровой записи;
в) название программного обеспечения; г) предыдущие и (или) альтернативные
названия программного обеспечения (при наличии);
д) код (коды) продукции в соответствии с Общероссийским классификатором
продукции по видам экономической деятельности;
е) сведения о правообладателях программного обеспечения
ж) адрес страницы сайта правообладателя в информационно-
телекоммуникационной сети "Интернет", на которой размещена документация,
содержащая описание функциональных характеристик программного
обеспечения и информацию, необходимую для установки и эксплуатации
программного обеспечения;
з) сведения об основаниях возникновения у правообладателя
(правообладателей) исключительного права на программное обеспечение на
территории всего мира и на весь срок действия исключительного права;
и) дата государственной регистрации и регистрационный номер программного
обеспечения (при наличии)
к) класс (классы) программного обеспечения, которому (которым) соответствует
программное обеспечение;
л) дата и номер решения уполномоченного органа о включении сведений о
программном обеспечении в реестр;
м) сведения о дате и содержании изменений, внесенных в реестр (при наличии).МВА Информационная безопасность (CSO) 38
Запись в реестре
40. д) соответствие программного обеспечения требованиям
безопасности информации подтверждено сертификатом системы
сертификации средств защиты информации по требованиям
безопасности информации, выданным в порядке, установленном
Правительством Российской Федерации (только для программного
обеспечения, в составе которого реализованы функции защиты
конфиденциальной информации);
е) исключительное право на программное обеспечение на
территории всего мира и на весь срок действия исключительного
права принадлежит лицам (правообладателям), указанным в
абзацах пятом - седьмом подпункта "а" настоящего пункта,
имеющим лицензию на осуществление деятельности по
разработке и производству средств защиты конфиденциальной
информации (только для программного обеспечения, в составе
которого реализованы функции защиты конфиденциальной
информации).
МВА Информационная безопасность (CSO) 40
Дополнительные требования про
сертификацию ПО по ПП1236
41. • Требований по наличию сертификатов нет в 188-ФЗ (хотя по закону в ПП могут
и быть дополнительные требования).
• Эти требования не нужны для реализации целей реестра (ну, и
импортозамещения).
• В ПП1236 отсутствует требование предоставить подтверждающую
информацию.
• Отсутствуют соответствующие поля в заявке на регистрацию ПО в реестре.
• Сертификат выдается на конкретную версию ПО, но в реестре версия может
(и обычно) не указывается. Предполагается, что при обновлении ПО запись о
нем в реестре не изменится.
• Требование по наличию сертификатов и так должны выполнять при
необходимости, например, по Приказу ФСТЭК России №17.
• Требование не конкретное (не соответствует аналогам в РД и ГОСТах), его
можно трактовать так:
– Практически все ПО (даже, CRM, бухгалтерское и пр.) должно обладать сертификатом,
ведь в нем есть функционал разграничения прав доступа (логин/пароль).
– Ни одно ПО не должно обладать сертификатом, т.к. термин «функции защиты
конфиденциальной информации» не определен в явном виде.
– Сертификатом должны обладать только СЗИ. Но вот тогда еще вопрос: а SIEM, IDM, DLP
без блокировки – это СЗИ?
МВА Информационная безопасность (CSO) 41
Проблема…
42. Разъяснения Минкомсвязи России о
применении реестра российского ПО
государственными и
муниципальными заказчиками в
части соблюдения требований по
защите информации
МВА Информационная безопасность (CSO) 42
http://arppsoft.ru/news/4/7104/
43. • Обсуждается вопрос об исключении этих требований из
ПП1236 (они избыточные и не соответствуют целям
реестра).
• Критерий «наличие сертификата» не является
«блокирующим» для попадания в реестр по мнению
Минкомсвязь России.
• Сейчас (и видимо, впредь) в реестр вносят ПО и без
сертификата.
• Обсуждается вопрос о внесении в реестр
дополнительного поля «наличие сертификата» (ссылка).
МВА Информационная безопасность (CSO) 43
Итого про сертификацию
44. МВА Информационная безопасность (CSO) 44
https://reestr.minsvyaz.ru/news/58194/
Как внести программный продукт в реестр российского ПО –
http://d-russia.ru/kak-vnesti-programmnyj-produkt-v-reestr-rossijskogo-po.html
47. МВА Информационная безопасность (CSO) 47
20 человек
Председатель – Министр связи и массовых
коммуникаций РФ
От отрасли ИТ:
1. Андрианов Д.Л. (генеральный директор ПРОГНОЗ)
2. Варов К.А. (управляющий директор Диасофт
Платформа)
3. Василенко Е.М. (исполнительный директор АРПП
"Отечественный софт")
4. Голиков А.В. (председатель совета директоров АСКОН)
5. Дырмовский Д.В. (генеральный директор Центр
Речевых Технологий)
6. Касперская Н.И. (генеральный директор группы
компаний InfoWatch)
7. Макаров В.Л. (Президент НР «РУССОФТ»)
8. Нуралиев Б.Г. (директор 1С)
9. Смирнов А.В. (генеральный директор Альт Линукс)
10. Суркис А.С. (председатель совета директоров Рэйдикс)
Экспертный совет
49. Никифоров Н.А.:
«Нужно воздержаться от включения в
реестр спорных позиций — ведь это
реестр именно российского ПО, и
совершенно точно не “клонов”
иностранного ПО или части их ключевых
компонентов. В случае если заявленное
ПО содержит компоненты иностранных
продуктов, отвечающие за ключевой
функционал, то эксперты вправе
отказать во включении такого продукта
в реестр. Также важно учитывать
возможность свободного обращения
программ на всей территории РФ».
МВА Информационная безопасность (CSO) 49
51. 10. Решение об отказе во включении в
реестр российского программного
обеспечения программ для электронных
вычислительных машин или баз данных
может быть обжаловано правообладателем
программы для электронных вычислительных
машин или базы данных в суд в течение трех
месяцев со дня получения такого решения.
МВА Информационная безопасность (CSO) 51
Из 188-ФЗ
52. Приказы Минкомсвязи России «О включении
сведений о программном обеспечении в единый
реестр российских программ для электронных
вычислительных машин и баз данных»:
• …
• от 18.04.2016 №165
• от 08.04.2016 №151
• от 04.04.2016 №138
• от 22.03.2016 №117
• от 18.03.2016 №112
• от 29.01.2016 №19
МВА Информационная безопасность (CSO) 52
53. 1. ООО "АЙДЕКО"
2. ЗАО "Аладдин Р.Д.»
3. ООО «Альт Линукс»
4. ООО "А-Реал Консалтинг"
5. ООО "ВАС ЭКСПЕРТС"
6. ООО "ГАЗИНФОРМСЕРВИС"
7. ЗАО "ДИДЖИТАЛ ДИЗАЙН"
8. ООО "Доктор Веб»
9. ООО "Инновационные
технологии"
10. ООО "Иновентика технолоджес"
11. ООО "ИНТЕЛЛЕКТУАЛЬНЫЙ
РЕЗЕРВ"
12. АО "ИНФОВОТЧ»
13. ЗАО "ИНФОРМАЦИОННАЯ
ВНЕДРЕНЧЕСКАЯ КОМПАНИЯ"
14. ООО "КОД БЕЗОПАСНОСТИ»
15. ООО "КОМПАНИЯ "ТЕНЗОР"
16. ООО "КОНФИДЕНТ"
МВА Информационная безопасность (CSO) 53
Первые отечественные вендоры
17. ООО "КРИПТОКОМ»
18. ООО "КРИПТО-ПРО"
19. АО "ЛАБОРАТОРИЯ КАСПЕРСКОГО»
20. ООО "МФИ Софт»
21. АО "НАУЧНО-ПРОИЗВОДСТВЕННОЕ
ОБЪЕДИНЕНИЕ РУССКИЕ БАЗОВЫЕ
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ"
22. ЗАО «Научно-производственное
объединение «Эшелон»
23. ЗАО "Национальный
удостоверяющий центр"
24. ООО "НЕТВОРК ПРОФИ»
25. ООО "СБЕ-Групп»
26. ООО "СМАРТ-СОФТ»
27. ООО "СОЛАР СЕКЬЮРИТИ»
28. ООО "ТрастВерс»
29. ООО «Триметр»
30. ООО "Цифровые технологии»
31. АО "ЭЛВИС-ПЛЮС»
32. ООО "ЭЛЕКТРОННЫЕ ОФИСНЫЕ
СИСТЕМЫ (СОФТ)"
На 12.05.2016
54. МВА Информационная безопасность (CSO) 54
Тип В реестре Подали заявку
АВЗ Dr.Web, Kaspersky Антивирус ИСЕТ
DLP InfoWatch Traffic Monitor, LanAgent,
Kaspersky DLP
Solar Dozor, Zecurion DLP Enterprise
RV, КИБ Серчинформ,
Гарда Предприятие
SIEM KOMRAD Enterprise SIEM (Эшелон) MaxPatrol SIEM
Анализ кода Solar inCode, АК-ВС 2 (Эшелон),
IRIDA Sources (Газинформсервис)
InfoWatch Appercut, Positive
Technologies Application Inspector
IDM Solar inRights, КУБ (ТрастВерс) Avanpost IDM
СЗИ от НСД /
Доверенная
загрузка
Secret Net, Блокхост-МДЗ
(Газинформсервис), МДЗ-Эшелон, Dallas
Lock 8.0-C (Конфидент), ПАК Соболь
Управление
уязвимостями
Сканер-ВС (Эшелон) MaxPatrol, xSpider, RedCheck
(АЛТЭКС-СОФТ)
VPN Континент ViPNet Coordinator
FW Рубикон (Эшелон), TrustAccess (Код
безопасности), МЭ ИКС (А-Реал
Консалтинг), ИВК КОЛЬЧУГА
(Информационная внедренческая
компания), Интернет Контроль Сервер
(А-Реал Консалтинг)
На 12.05.2016 в реестре 121
наименование ПО в классе
«Средства обеспечения ИБ»
56. • Процедура попадания очень неспешная, но довольно простая…
• Сайт работает стабильно ))
• Слишком верхнеуровневые категории:
– Средства обеспечения ИБ
– Системы анализа исходного кода на закладки и уязвимости
– Системы управления процессами организации
– Системы мониторинга и управления…
• Нет подклассов СЗИ, как найти все альтернативы?
• Поиск практически не работает (прямой, по альтернативному
названию, по функционалу, типу СЗИ, по компании)
• В перспективе:
– Добавят перечень иностранных аналогов
– Пересмотрят подход к информации о сертификации СЗИ и добавят
ссылки на сертификаты ФСТЭК России, ФСБ России
– Уберут класс «системы анализа исходного кода на закладки и
уязвимости»
– Доработают поиск (надеюсь)
МВА Информационная безопасность (CSO) 56
Про реестр ПО
58. МВА Информационная безопасность (CSO) 58
Битва уже началась…
http://www.rbc.ru/technology_and_media/18/05/2016/573c5c859a7947203a54f80f
59. • ГАС «Правосудие» провела тендер, начальная цена которого составила более 700
млн руб., из них на 220 млн руб. организация закупила лицензии на софт Windows
и Microsoft Office для 10 тыс. пользователей, рассказала Василенко. Тендер был
объявлен 5 апреля 2016 года. Лишь спустя шесть дней ГАС объяснила выбор
зарубежного ПО, сославшись на то, что в реестре отечественного софта в классах
«офисные приложения» и «операционные системы» нет российских программных
продуктов, хотя они там были, подчеркнула Василенко. 15 апреля ГАС опубликовала два
новых обоснования, где признала, что российские продукты в этих категориях есть,
но организация не может их закупить, так как они не совместимы с уже
установленными продуктами Microsoft (операционная система Windows Professional),
следует из документации тендера.
• Заказчиком второго тендера на закупку программ Microsoft более чем на 25
млн руб. является Росреестр. Заказчик опубликовал обоснование выбора иностранных
продуктов, но в обосновании указал, что не может определить класс софта из-
за отсутствия классификатора. Василенко отметила, что классификатор на момент
объявления тендера уже был опубликован на сайте реестра отечественного софта.
Представитель Росреестра заверил, что системы организации, в которых «активно
используется программное обеспечение Microsoft», будут выведены из эксплуатации
в 2017 году.
http://www.rbc.ru/technology_and_media/18/05/2016/573c5c859a7947203a54f80f
МВА Информационная безопасность (CSO) 59
62. • Расширение области действия 188-ФЗ (не только 44-ФЗ, но и 223-ФЗ)
• «Рекомендовано» - «Строго рекомендовано» - «Запрет».
(1я очередь: СЭД, бухгалтерских и кадровых систем для гос.органов)
• Реестр сетевого оборудования и «запрет» иностранного
• Пересмотр критериев отечественного ПО (дополнительные критерии
«российского ПО», отказ от сертификации и лицензирования для
СЗИ)
• Расширение экспертного совета
• Развитие реестра ПО
• Ожидаем появление Центра компетенций по импортозамещению
• Преференции российским разработчикам (из реестра):
– Продление страховых льгот (до 14% вместо 34% от ФОТ)
– Продолжение продажи ПО без НДС
– Финансовая и нефинансовая поддержка
МВА Информационная безопасность (CSO) 62
Что дальше? (варианты)
63. • Фин.поддержка:
– Гранты на софинансирование по разработке
общесистемного ПО
– Заемное финансирование проектов по
разработке и финансированию ПО
• Нефинансовая поддержка
– Организация мероприятий по поддержке
экспорта российского ПО
– Формирование центра компетенций по
импортозамещению
МВА Информационная безопасность (CSO) 63
5 млрд.рублей гос.поддержки
66. • Экспертный центр Электронного государства:
http://d-russia.ru/category/importozameshhenie
• Заметки в моем блоге:
http://80na20.blogspot.ru/search/label/Импортозамещение
• Реестр российского ПО – инструкция для госзаказчиков:
http://d-russia.ru/reestr-rossijskogo-po-instrukciya-dlya-
goszakazchikov.html
• Статья "Импортозамещение без эмоций" (Рустем
Хайретдинов): http://www.allcio.ru/business/it/83838.html
МВА Информационная безопасность (CSO) 66
Толковые материалы по теме
67. «Возможности тех, кто
производит такой продукт -
национальных производителей, -
очень большие. Поэтому я прошу
руководство правительства
сориентировать представителей
государства в компаниях с
госучастием, чтобы они
ориентировались на принимаемые
решения в первом полугодии
текущего года в качестве
рекомендации, а во втором пускай
уже переходят на отечественного
производителя»
31.03.2016
МВА Информационная безопасность (CSO) 67