Пока я в отпуске, что вам скучать?! Качайте шаблоны документов, которые необходимо разработать по линии персональных данных. Документы в первую очередь закрывают вопросы защиты самих персональных данных (вопросы ФСТЭК), но и про защиту прав субъектов тоже не забывают.
Итак комплект из 48 шаблонов, разработанных Управлением информатизации г.Москвы, и являющихся приложениями к "Методическим рекомендациям органам исполнительной власти города Москвы по организации защиты конфиденциальной информации и персональных данных". Правда, разработаны они...
27.7.12
Немного обо всем, но все по делу
Аккурат перед отпуском писать больших постов на какую-то конкретную тему не буду. Просто несколько заметок.
1. По итогам совещания на тему новых нормативных актов по защите ПДн могу сказать следующее:
Проекты Постановлений Правительства уже согласованы со всеми органами исполнительной власти и находятся на согласовании в Аппарате Правительства. Это информация от коллег из ФСБ. От коллег из экспертного сообщества информация немного иная - проекты Постановлений вызывали негативную реакцию в Минкомсвязи и в Аппарате Правительства. Минюст сделал...
26.7.12
Positive Technologies вошла в список лидеров мирового рынка ИБ
Попался на глаза мне июльский отчет IDC "Worldwide Security and Vulnerability Management 2012–2016 Forecast and 2011 Vendor Shares". В нем впервые была упомянута и российская компания - Positive Technologies, которая стала и первой российской компанией, попавшей в отчет IDC.
Согласно данному отчету Positive Technologies входит в пятерку самых быстро растущих компаний сегмента SVM (Security & Vulnerability Management), а по объему продаж средств защиты даже обошла VMware и Dell.
Также согласно данному отчету Positive Technologies вошла в...
Как бороться с инцидентами в ДБО - советы бывалых
Наверное, многие видели новость о том, что АРБ совместно с Национальным платежным советом разработали "Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания,
использующих электронные устройства клиента". Проект документа был подготовлен рабочей группой Ассоциации российских банков и НП «Национальный платежный совет» с учетом Письма Бюро специальных технических мероприятий Министерства внутренних дел Российской Федерации (БСТМ МВД России) от 17 января 2012 г....
25.7.12
Сегодня год новому ФЗ-152. Помянем!
Сегодня ровно год, как была принята новая редакция ФЗ-152 "О персональных данных". Принята несмотря на все действия, предпринимаемые сообществом против именно этой редакции закона (краткое напоминание хроники событий тут, тут, тут и тут). На поминках принято говорить что-то хорошее или молчать. Молчать не буду. Хорошего в законе стало немало - в частности обременения на операторов стали чуть слабее, многие невыполнимые действия из закона убрали, но... добавили ст.18.1 и ст.19, которые не все, но многие благие начинания перечеркнули, добавив новых...
24.7.12
Когда будет новый СТО БР ИББС?!
Все чаще мне задают этот вопрос и поэтому настало время в какой-то степени удовлетворить всех страждущих и попытаться ответить на него. Но отвечать я буду витиевато. Начну с ретроспективы последних событий, учет которых позволит нам понять судьбу СТО.
Весной Россия избрала Президента. Никаких сюрпризов не случилось. Только учитывая прошлое нашего Президента роль, а главное, влияние, ФСБ изменились; точнее усилились. Последние факты это только доказывают - позиция ФСБ по ПП-313, проекты постановлений Правительства по персданным, законопроект по...
23.7.12
Обновление программы курса по безопасности НПС
Про свой новый курс по безопасности НПС я уже писал. Собственно теперь пришло время детализировать уже обкатанную единожды программу. Никаких страшилок. Только реальные кейсы, рассмотренные с разных сторон с оценкой вероятности движения по тому или иному сценарию.
Программа однодневного семинара такова:
Изменение акцента в регулировании - в прицеле НПС
Регулирование отрасли переводов денежных средств
ФЗ-152, ISO 27xxx, СТО БР ИББС, PCI DSS и НПС
Парафраз об СТО
Структура СТО
Развитие СТО и регулирования ИБ банков
Место ABISS в старом и новом...
Будущее регулирования НПС
Сейчас много говорят о регулировании НПС и о требованиях по ее безопасности, реализованных как в 379-П, 380-П, 381-П, 382-П, 383-П и 384-П, так и в массе других документов ЦБ, которые пусть и не относятся прямо к НПС (хотя бы по сроку своего выхода), но регулирующих те или иные вопросы обеспечения ИБ в банковской среде. Кто-то думает, что это временно, кто-то потирает руки в предвкушении доходов от продаж своих средств защиты под соусом "сертифицировано...
20.7.12
Сколько наборов требований по ИБ ложится на банки после выхода требований по НПС?
На такой простой, казалось бы, вопрос, и ответ должен быть простой. Один, скажет большинство, имея ввиду новое положение Банка России 382-П (плюс 2831-У). Кто-то скажет, что два, имея ввиду еще и СТО БР ИББС. А сколько на самом деле? Гораздо больше.
Давайте откроем 382-П. Пункты 2.13, 2.14 и 2.16 говорят нам о том, что помимо требований установленных самим 382-П (читай Банком России) еще и оператор платежной системы может устанавливать свои требования - по управлению инцидентами, по отчетности, по информированию и т.д. А к скольким платежным...
19.7.12
Впечатления от заседания Консультативного совета РКН по Пдн
Пока Совет Федерации почти единогласно принимал закон о "черных списках" (кстати, обратите внимани, я заголовок блога привел в соответствие с законом), Роскомнадзор проводил первое заседание обновленного Консультативного Совета, созданного в соответствии с ч. 9 ст. 23 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
Так случилось, что в состав Совета вошел и я, как активный эксперт по вопросам ПДн.Как написано на сайте РКН, произошло сокращение численности Совета почти в два раза за счет
перераспределения компетенций...
18.7.12
Cisco покупает Virtuata
Давно что-то не было на небосклоне ИБ слияний и поглощений и вот дождались ;-) Cisco покупает Virtuata, частную американскую компанию Virtuata, занимающуюся технологиями безопасности виртуализированных сред. Детали сделки не разглашаются. Информации по самой Virtuata в Интернет тоже немного. Единственное, что более менее адекватное удалось найти - это упоминание, что Virtuata сотрудничает с Citrix. В итоге получается, что решение Virtuata должно пополнить портфолио Cisco Virtual Security Gateway, уже существующее для сред VMware и Hyper...
17.7.12
Новый законопроект ФСТЭК по защите госорганов и критически важных объектов
На сайте ФСТЭК очередной законопроект. Теперь о внесении изменений в трехглавый ФЗ-149 "Об информации, информационных технологиях и защите информации", основополагающий закон по нашей тематике, незаслуженно забытый и вспоминаемый только вместе с законом о "черных списках" и т.д. Однако с точки зрения информационной безопасности в 149-ФЗ изменения вносились давно и поэтому новые поправки ФСТЭК интересны тем, в каком направлении движется регулятор.
А направлений собственно два - госорганы и критически важные объекты (КВО), которые должны защищаться...
16.7.12
Сколько CERTов в России?
После появления новости о появлении в сети сайта gov-cert.ru в Facebook и в Twitter началось активное обсуждение этого вопроса. Что можно добавить к этой теме? Ну во-первых, Центр реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации(GOV-CERT.RU) создан 8-м центром ФСБ, о чем они рассказали на заседании в АДЭ на прошлой неделе. На основное высказывание, что ФСБ не могло предложить PGP для переписки с ними могу заметить следующее. PGP - это некий стандарт де-факто при общении с CERTами/CSIRTами...
13.7.12
Законопроект по наказанию за невыполнение требований по защите информации
Сегодня за невыполнение требований по защите информации существует только административная ответственность по ст.13.12 КоАП (если не рассматривать ст.274 УК РФ и различные "смежные" статьи). В этой статье из 5 частей предусмотрены следующие составы преступления:
Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну)
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты...
12.7.12
ФСБ будет рулить банкоматами и кассовыми аппаратами
Существует такой Федеральный закон от 22 мая 2003 года №54-ФЗ "О применении контрольно-кассовой техники при осуществлении наличиных денежных расчетов и (или) расчетов с использованием платежных карт". В целом ничего сверхествественного в нем нет - он просто устанавливает требования к кассовым аппаратам, банкоматам и платежным терминалам, применяемым на территории России.
И вот Правительство решило внести в этот ФЗ поправки. И основная из них описана в пояснительной записке к законопроекту. "Для усиления защиты экономических интересов Российской...
11.7.12
Совет безопасности определил как будут защищать АСУ ТП
4 июля на сайте Совета Безопасности появился примечательный документ - "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации". Как написано в преамбуле, эти "основные направления" разработаны в целях реализации основных положений Стратегии национальной
безопасности Российской Федерации до 2020 года, в соответствии с
которой одним из путей предотвращения угроз информационной...
10.7.12
Скандал с взломом почты Навального в контексте ИБ
Все слышали про взлом хакером Hell почты Навального. Если не рассматривать это событие с точки зрения "симпатизирую или нет Навальному" и если верить тому, что пишет сам Hell про это, то взлом проявил ряд интересных вопросов именно с точки зрения информационной безопасности. И речь не о том, что электронная почта, да еще и на бесплатном сервере, гарантирует конфиденциальность. Речь пойдет о другом.
Во-первых, несмотря на все попытки обелить Навального (особенно со стороны тех, кто считает, что цель важнее способов ее достижения), его методы получения...
9.7.12
Почему я иногда понимаю ФСТЭК и ФСБ ;-)
Пост в Твиттере вызвал живейший отклик и там и в Facebook, поэтому решил раскрыть тему чуть шире ;-) Итак, в одном печатном издании для наших силовиков опубликована статья одного из лидеров (и пионеров) отечественного рынка ИБ, посвященного теме построения защищенных ЛВС для органов госвласти. В статье рассказывается как решить классическую проблему защиты сведений, составляющих гостайну на предприятии. Традиционно она решалась (и решается до сих пор) "просто" - в режимных помещения устанавливаются АРМы, на которых разрешено вести работу именно...
6.7.12
Повлияло ли вступление в ВТО на регулирование рынка ИБ?
Анализировал я вчерашние цифры и пришел к выводу, что хочешь-не хочешь, а ВТО повлияло на рынок ИБ в России и не в лучшую сторону. По идее, вступление в Всемирную торговую организацию должно было повлиять только на ввоз тех или иных продуктов. По "нашему" направлению такими продуктами могли считаться только шифровальные средства, но... Дело в том, что по правилам ВТО в части ввоза криптографии мы уже живем не первый год, а точнее с 1-го января 2010-го года, когда изменились правила ввоза товаров на территорию Таможенного союза. А правила эти были...
5.7.12
Обновление статистики по нормативке в области ИБ
Чтоб блог не пустовал ;-) Обновляю статистику по росту числа нормативых актов за прошедшее время и распределению нормативных актов, регулирующих вопросы ИБ в разных отраслях.
...
3.7.12
Правительство взялось за оценку соответствия
Известный факт - все вопросы оценки соответствия (как элемента технического регулирования) описаны в ФЗ-184 "О техническом регулировании". Данный закон достаточно четко прописывает особенности оценки соответствия и сертификации, как одной из форм оценки соответствия. Но относятся ли эти особенности на средства защиты информации? И да, и нет.
Дело в том, что средства защиты информации, не без помощи наших регуляторов, попали под действие ст.5 ФЗ-184,...
2.7.12
Новая версия курса по персданным
Новые изменения в версиях 4.6 и 4.7:
Должен ли надзор уведомлять о том, что ими получен доступ к ПДн субъектов не напрямую?
Ст.13.111 КоАП
Анализ отчета о деятельности РКН в 2011-м году
Новое Постановление Правительства ПП-221
Как соотносятся цели обработки ПДн и цели бизнеса
5 сценариев классификации ИСПДн
Новое европейское законодательство
Европейские стандарты по безопасности ПДн
Об уровнях защищенности
Обновление раздела о лицензировании ТЗКИ
Требования МВД
по сохранности ПДн
О количестве сотрудников для защиты ПДн
Экспресс-план приведения...
Подписаться на:
Сообщения (Atom)
