Как проверить работу консультанта по ПДн?

Когда-то я уже поднимал вопрос о том, как выбрать консультанта по ПДн. На днях на bankir.ru подняли вопрос о том, как принять проделанную таким консультантом работу? На мой взгляд надо встать на место каждого из трех проверяющих (РКН, ФСТЭК и ФСБ) и по каждому пункту ФЗ-152, четырех постановлений Правительства, "Приказа трех", Приказа 58, двух документов ФСБ или СТО ответить на 6 вопросов: Вы выполняете этот пункт ФЗ-152, ПП-781/687/512, Приказа трех, Приказа 58 и методических рекомендаций ФСБ или СТО? Как вы докажете, что выполняете этот пункт? Что...

Подробнее…

СТО Банка России опять меняют ;-)

В СТО Банка России до конца года планируют включить следующие документы (в статусе РС), которые сейчас в разработке: положение о назначении и разделении ролей положение о контроле и надзоре положение об использовании СКЗИ (по аналогии с РС 2.3, сделанной по инициативе ФСТЭК) положение по классификации активо...

Подробнее…

Одобрен проект концепции инновационного развития отрасли телекоммуникаций и информационных технологий

19 ноября на заседании комиссии по федеральной связи и технологическим вопросам информатизации был представлен проект Концепции инновационного развития отрасли телекоммуникаций и информационных технологий. Мне довелось поучаствовать в разработке этого проекта и я могу тезисно набросать ключевые вопросы по ИБ, которые попали в Концепцию: Саморегулирование отрасли Повышение доверия пользователей к использованию ИКТ за счет защиты персональных данных онлайн, установки минимальных требований по защите к поставщикам услуг, устранение уязвимостей инфраструктуры,...

Подробнее…

Об оценке соответствия средств защиты

Задался я тут целью провести исследование на тему надо ли все-таки сертифицировать средства защиты или нет. И вот что, вкратце, у меня получилось. В существующей нормативной базе существует два примера упоминания вопросов сертификации - прямое и косвенное. Прямое, например, есть в совместном приказе ФСТЭК и ФСБ, в Указе Президента 351 или в пресловутом Постановлении Правительства 330. В них прямо говорится, что средства защиты должны быть сертифицированы ФСБ или ФСТЭК. Косвенное упоминание есть в Постановлении Правительства № 424, в Приказе ФСТЭК...

Подробнее…

СоДИТ перевел ISO 15408:2009

Союз ИТ-директоров России перевел первую часть новой версии стандарта оценки ИТ с точки зрения информационной безопасности - ISO/IEC 15408:2009. Это всем известные "Общие критерии", которые приняты в качестве ГОСТа и в России, но в своей предыдущей, второй версии. Нынешняя же версия - самая последняя. Пока переведена только первая часть, но остальные на подходе. Об этом переводе было объявлено на 3-м Форуме директоров по ИБ, прошедшем в конце октября в Москве Борисом Славиным, председателем правления СоДИТ. Несмотря на обещание выложить этот стандарт...

Подробнее…

Регулирование криптографии - финальная версия карты

Несмотря на почти полное отсутствие комментариев и конкретных предложений (исключая Ригеля), я довел документ до ума и финализировал его. Надеюсь будет полезным в работе. PS. Возможно я плохо искал, но я не нашел документов, регламентирующих сертификацию СКЗИ для защиты конфиденциальной информации. По гостайне есть приказ ФСБ о создании системы сертификации. А вот по конфиденциалке такого документа нет... Или я плохо искал? Russia Crypto Regulation ...

Подробнее…

И вновь о выборе паролей

Полтора года назад я уже обращался к теме выбора паролей и вот новый виток привел меня туда же ;-) Microsoft недавно опубликовал свое исследование, в котором предложил выбирать пароли не как захочется, а используя статистику уже выбранных пользователями паролей. Иными словами предлагается автоматически исключать популярные пароли, даже если они соответствуют требованиям сложности, часть реализованным в различных системах и приложениях. Другое интересное исследование изучает вопросы использования энтропии, как метрики для правильного выбора паролей....

Подробнее…

Измерение экономической эффективности ИБ

В среду читал на InfoSecurity Russia доклад на тему изменения экономической эффективности ИБ. И хотя частично я эти слайды уже выкладывал, я решил их повторить, т.к. примерно половина слайдов там новая. Measurement of security efficiency View more presentations from Alexey Lukatsky. ЗЫ. Аналогичную тему я поднимал на CiscoExpo, но там я экономику показывал применительно к оборудованию Cisco. Презентация (как и все остальные с CiscoExpo) выложены т...

Подробнее…

Законопроект о НПС внесен в ГосДуму

Правительство в понедельник внесло в Госдуму законопроект "О национальной платежной системе" и "О внесении изменений в некоторые законодательные акты Российской Федерации, а также "О признании утратившими силу Федерального закона "О деятельности по приему платежей физических лиц, осуществляемой платежными агентами" и некоторых положений законодательных актов Российской Федерации в связи с принятием Федерального закона "О национальной платежной системе". Что он принесет рынку ИБ? Т.к. он не сильно по "нашей" теме меняется последние полгода (да и...

Подробнее…

Незамеченное изменение ФЗ-152

Совершенно незамеченным прошло изменение в ФЗ-152, проведенное ст. 23 Федерального закона от 27.07.2010 N 227-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об организации предоставления государственных и муниципальных услуг" (спасибо коллегам на bankir.ru). Дословно ст.23 звучит так: " Внести в статью 9 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451) следующие изменения: 1)...

Подробнее…

Изменение законодательства по контролю в области ПДн

Правительство РФ внесло в ГД законопроект № 454517-5 "О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля". В части ПДн предложена ст.53, в которой предлагаются следующие ключевые изменения: четко указывается, что контроль и надзор осуществляется согласно ФЗ-294 предметом проверки является соблюдение только обязательных требований плановая проверка может осуществляться только по одному основанию - истечение 3-х лет с государственной регистрации...

Подробнее…

Сравнение подходов к защите ПДн в России и в Европе

Как-то я уже делился документом по описанию подходов к защите ПДн в Европе, любезно предоставленным компанией Яндекс. За это время я познакомился еще с двумя аналогичными работами - отдельным документом, сделанным в рамках НИР "Тритон", и результатами работы рабочей группы страховщиков, занимающейся выработкой собственных требований по защите прав субъектов ПДн. И вот новый обзор. Его готовили три известных эксперта в области ИБ и ПДн - Алексей Волков, Евгений Царев и Александр Токаренко. Мне этот обзор понравился больше всех. Не только с точки...

Подробнее…

Регулирование криптографии в одном месте

Задался я тут целью свести все нормативные акты, регулирующие криптографию в России (исключая гостайну), в одном документе. Что и сделал, разделив нормативные акты по этапу жизненного цикла системы криптографический защиты - от ввоза и разработки до эксплуатации и вывоза. Собственно результат перед вами. Посмотрите, пожалуйста, критическим взглядом на сей документ. Что в нем не хватает? Как его сделать лучше? Что в нем лишнее? Я внесу все изменения и выложу затем финальный вариант для открытого использования. Russia Crypto Regulation ...

Подробнее…

Что нас ждет в ближайшее время с точки зрения регулирования темы ПДн?

На основании презентации по будущему регулированию в области ИБ сваял презу, ориентированную только на тему персданных. Я ее читал в Челябинске и решил выложить еще и тут. Собственно там ничего нового почти нет - кроме чуть более детальной информации по законопроекту Резника и изменениям в ФЗ "О техническом регулировании". Personal data future regulations View more presentations from Alexey Lukats...

Подробнее…

Алгоритм приведения себя в соответствие с ФЗ-152

В Челябинске читал презентацию по алгоритму приведения себя в соответствие с требованиями ФЗ-152. Выкладываю. В основе этого алгоритма лежит результат работы рабочей группы АРБ/ЦБ. Optimal algorithm for personal data operators View more presentations from Alexey Lukats...

Подробнее…

Новый совместный приказ ФСТЭК / ФСБ

31 августа 2010 года был принят (зарегистрирован в Минюсте 13 октября, опубликован 22 октября в "Российской газете", вступил в действие с 2 ноября 2010 года) совместный приказ ФСБ и ФСТЭК № 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования". Распространяется он на все федеральные государственные информационные системы, содержащие сведения о деятельности Правительства РФ и федеральных органов исполнительной власти, обязательные для размещения в Интернет (согласно Постановления Правительства...

Подробнее…

Cisco запускает сертифицированное производство

Очередное значимое для Cisco событие - запуск в России сертифицированного производства средств защиты на базе компании Kraftway. Несколько лет назад у нас уже был реализован такой проект и вот новый этап его развития. Учитывая возрастающую роль сертификации (все-таки изменения в ФЗ "О техрегулировани" пока не приняты и не реализованы на практике), такое событие не может не радовать ;-) Особенно государственные органы, для которых сертификация скорее всего останется и в будущ...

Подробнее…

Отчет по мероприятию в Челябинске по ПДн

Компания Аста-Информ пригласила меня на конференцию по персональным данным, где выступали также, из регуляторов, представители РКН, ФСТЭК и прокуратуры. Краткие тезисы по их выступлениям: Роскомнадзор Уведомление РКН обязательное. За отказ уведомления - ст.19.7 КоАП Согласие только в письменной форме Передача ПДн в коллекторские агентства - незаконно Если ПДн передаются от оператора ПДн третьему лицу, то вся ответственность все равно лежит на операторе ПДн. Т.е. неявно, но институт обработчика все-таки РКН принимает. ФСТЭК по УрФО  Методические...

Подробнее…

Единая терминология на уровне законодательства

Упомянутый мной в июле законопроект №404643 "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "Об информации, информационных технологиях и о защите информации" 6-го октября прошел первое чтение в Госду...

Подробнее…

Россия все-таки отказывается от обязательной сертификации средств защиты

В октябре была зафиксирована целая порция изменений законодательства. Началось все с предложения Самарской Губернской Думы внести изменения в закон о гостайне, устранив проверочные мероприятия (перед допуском) в ряде случаев. Продолжилось все очередным законопроектом Аксакова о сдвиге сроков ст.25.3 ФЗ-152. Но мне больше всего понравился проект "О внесении изменений в Федеральный закон "О техническом регулировании" (в части ускорения интеграционных процессов по сближению законодательств государств-членов таможенного союза в рамках ЕврАзЭС и Европейским...

Подробнее…

ФЗ-152 опять сдвигают?!

Депутат Аксаков опять центре внимания - несмотря на критику Правительства и всех заинтересованных сторон, он предложил продлить мораторий на ст.25.3 ФЗ-152 - на срок до 1 января 2012 года. Мотивация простая - коммерческие организации не успевают и не имеют денег на выполнение требования ФСТЭК и Ф...

Подробнее…