Пока я в отпуске, что вам скучать?! Качайте шаблоны документов, которые необходимо разработать по линии персональных данных. Документы в первую очередь закрывают вопросы защиты самих персональных данных (вопросы ФСТЭК), но и про защиту прав субъектов тоже не забывают.
Итак комплект из 48 шаблонов, разработанных Управлением информатизации г.Москвы, и являющихся приложениями к "Методическим рекомендациям органам исполнительной власти города Москвы по организации защиты конфиденциальной информации и персональных данных". Правда, разработаны они...
30.7.12
27.7.12
Немного обо всем, но все по делу
Аккурат перед отпуском писать больших постов на какую-то конкретную тему не буду. Просто несколько заметок.
1. По итогам совещания на тему новых нормативных актов по защите ПДн могу сказать следующее:
Проекты Постановлений Правительства уже согласованы со всеми органами исполнительной власти и находятся на согласовании в Аппарате Правительства. Это информация от коллег из ФСБ. От коллег из экспертного сообщества информация немного иная - проекты Постановлений вызывали негативную реакцию в Минкомсвязи и в Аппарате Правительства. Минюст сделал...
26.7.12
Positive Technologies вошла в список лидеров мирового рынка ИБ
Попался на глаза мне июльский отчет IDC "Worldwide Security and Vulnerability Management 2012–2016 Forecast and 2011 Vendor Shares". В нем впервые была упомянута и российская компания - Positive Technologies, которая стала и первой российской компанией, попавшей в отчет IDC.
Согласно данному отчету Positive Technologies входит в пятерку самых быстро растущих компаний сегмента SVM (Security & Vulnerability Management), а по объему продаж средств защиты даже обошла VMware и Dell.
Также согласно данному отчету Positive Technologies вошла в...
Как бороться с инцидентами в ДБО - советы бывалых
Наверное, многие видели новость о том, что АРБ совместно с Национальным платежным советом разработали "Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах дистанционного банковского обслуживания,
использующих электронные устройства клиента". Проект документа был подготовлен рабочей группой Ассоциации российских банков и НП «Национальный платежный совет» с учетом Письма Бюро специальных технических мероприятий Министерства внутренних дел Российской Федерации (БСТМ МВД России) от 17 января 2012 г....
25.7.12
Сегодня год новому ФЗ-152. Помянем!
Сегодня ровно год, как была принята новая редакция ФЗ-152 "О персональных данных". Принята несмотря на все действия, предпринимаемые сообществом против именно этой редакции закона (краткое напоминание хроники событий тут, тут, тут и тут). На поминках принято говорить что-то хорошее или молчать. Молчать не буду. Хорошего в законе стало немало - в частности обременения на операторов стали чуть слабее, многие невыполнимые действия из закона убрали, но... добавили ст.18.1 и ст.19, которые не все, но многие благие начинания перечеркнули, добавив новых...
24.7.12
Когда будет новый СТО БР ИББС?!
Все чаще мне задают этот вопрос и поэтому настало время в какой-то степени удовлетворить всех страждущих и попытаться ответить на него. Но отвечать я буду витиевато. Начну с ретроспективы последних событий, учет которых позволит нам понять судьбу СТО.
Весной Россия избрала Президента. Никаких сюрпризов не случилось. Только учитывая прошлое нашего Президента роль, а главное, влияние, ФСБ изменились; точнее усилились. Последние факты это только доказывают - позиция ФСБ по ПП-313, проекты постановлений Правительства по персданным, законопроект по...
23.7.12
Обновление программы курса по безопасности НПС
Про свой новый курс по безопасности НПС я уже писал. Собственно теперь пришло время детализировать уже обкатанную единожды программу. Никаких страшилок. Только реальные кейсы, рассмотренные с разных сторон с оценкой вероятности движения по тому или иному сценарию.
Программа однодневного семинара такова:
Изменение акцента в регулировании - в прицеле НПС
Регулирование отрасли переводов денежных средств
ФЗ-152, ISO 27xxx, СТО БР ИББС, PCI DSS и НПС
Парафраз об СТО
Структура СТО
Развитие СТО и регулирования ИБ банков
Место ABISS в старом и новом...
Будущее регулирования НПС

Сейчас много говорят о регулировании НПС и о требованиях по ее безопасности, реализованных как в 379-П, 380-П, 381-П, 382-П, 383-П и 384-П, так и в массе других документов ЦБ, которые пусть и не относятся прямо к НПС (хотя бы по сроку своего выхода), но регулирующих те или иные вопросы обеспечения ИБ в банковской среде. Кто-то думает, что это временно, кто-то потирает руки в предвкушении доходов от продаж своих средств защиты под соусом "сертифицировано...
20.7.12
Сколько наборов требований по ИБ ложится на банки после выхода требований по НПС?
20.7.12
Банк России, законодательство, НПС, персональные данные, Роскомнадзор, ФСБ, ФСТЭК, PCI DSS
14 comments
На такой простой, казалось бы, вопрос, и ответ должен быть простой. Один, скажет большинство, имея ввиду новое положение Банка России 382-П (плюс 2831-У). Кто-то скажет, что два, имея ввиду еще и СТО БР ИББС. А сколько на самом деле? Гораздо больше.
Давайте откроем 382-П. Пункты 2.13, 2.14 и 2.16 говорят нам о том, что помимо требований установленных самим 382-П (читай Банком России) еще и оператор платежной системы может устанавливать свои требования - по управлению инцидентами, по отчетности, по информированию и т.д. А к скольким платежным...
19.7.12
Впечатления от заседания Консультативного совета РКН по Пдн
Пока Совет Федерации почти единогласно принимал закон о "черных списках" (кстати, обратите внимани, я заголовок блога привел в соответствие с законом), Роскомнадзор проводил первое заседание обновленного Консультативного Совета, созданного в соответствии с ч. 9 ст. 23 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".
Так случилось, что в состав Совета вошел и я, как активный эксперт по вопросам ПДн.Как написано на сайте РКН, произошло сокращение численности Совета почти в два раза за счет
перераспределения компетенций...
18.7.12
Cisco покупает Virtuata
Давно что-то не было на небосклоне ИБ слияний и поглощений и вот дождались ;-) Cisco покупает Virtuata, частную американскую компанию Virtuata, занимающуюся технологиями безопасности виртуализированных сред. Детали сделки не разглашаются. Информации по самой Virtuata в Интернет тоже немного. Единственное, что более менее адекватное удалось найти - это упоминание, что Virtuata сотрудничает с Citrix. В итоге получается, что решение Virtuata должно пополнить портфолио Cisco Virtual Security Gateway, уже существующее для сред VMware и Hyper...
17.7.12
Новый законопроект ФСТЭК по защите госорганов и критически важных объектов
На сайте ФСТЭК очередной законопроект. Теперь о внесении изменений в трехглавый ФЗ-149 "Об информации, информационных технологиях и защите информации", основополагающий закон по нашей тематике, незаслуженно забытый и вспоминаемый только вместе с законом о "черных списках" и т.д. Однако с точки зрения информационной безопасности в 149-ФЗ изменения вносились давно и поэтому новые поправки ФСТЭК интересны тем, в каком направлении движется регулятор.
А направлений собственно два - госорганы и критически важные объекты (КВО), которые должны защищаться...
16.7.12
Сколько CERTов в России?
После появления новости о появлении в сети сайта gov-cert.ru в Facebook и в Twitter началось активное обсуждение этого вопроса. Что можно добавить к этой теме? Ну во-первых, Центр реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации(GOV-CERT.RU) создан 8-м центром ФСБ, о чем они рассказали на заседании в АДЭ на прошлой неделе. На основное высказывание, что ФСБ не могло предложить PGP для переписки с ними могу заметить следующее. PGP - это некий стандарт де-факто при общении с CERTами/CSIRTами...
13.7.12
Законопроект по наказанию за невыполнение требований по защите информации
Сегодня за невыполнение требований по защите информации существует только административная ответственность по ст.13.12 КоАП (если не рассматривать ст.274 УК РФ и различные "смежные" статьи). В этой статье из 5 частей предусмотрены следующие составы преступления:
Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну)
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты...
12.7.12
ФСБ будет рулить банкоматами и кассовыми аппаратами
Существует такой Федеральный закон от 22 мая 2003 года №54-ФЗ "О применении контрольно-кассовой техники при осуществлении наличиных денежных расчетов и (или) расчетов с использованием платежных карт". В целом ничего сверхествественного в нем нет - он просто устанавливает требования к кассовым аппаратам, банкоматам и платежным терминалам, применяемым на территории России.
И вот Правительство решило внести в этот ФЗ поправки. И основная из них описана в пояснительной записке к законопроекту. "Для усиления защиты экономических интересов Российской...
11.7.12
Совет безопасности определил как будут защищать АСУ ТП
4 июля на сайте Совета Безопасности появился примечательный документ - "Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации". Как написано в преамбуле, эти "основные направления" разработаны в целях реализации основных положений Стратегии национальной
безопасности Российской Федерации до 2020 года, в соответствии с
которой одним из путей предотвращения угроз информационной...
10.7.12
Скандал с взломом почты Навального в контексте ИБ
Все слышали про взлом хакером Hell почты Навального. Если не рассматривать это событие с точки зрения "симпатизирую или нет Навальному" и если верить тому, что пишет сам Hell про это, то взлом проявил ряд интересных вопросов именно с точки зрения информационной безопасности. И речь не о том, что электронная почта, да еще и на бесплатном сервере, гарантирует конфиденциальность. Речь пойдет о другом.
Во-первых, несмотря на все попытки обелить Навального (особенно со стороны тех, кто считает, что цель важнее способов ее достижения), его методы получения...
9.7.12
Почему я иногда понимаю ФСТЭК и ФСБ ;-)
Пост в Твиттере вызвал живейший отклик и там и в Facebook, поэтому решил раскрыть тему чуть шире ;-) Итак, в одном печатном издании для наших силовиков опубликована статья одного из лидеров (и пионеров) отечественного рынка ИБ, посвященного теме построения защищенных ЛВС для органов госвласти. В статье рассказывается как решить классическую проблему защиты сведений, составляющих гостайну на предприятии. Традиционно она решалась (и решается до сих пор) "просто" - в режимных помещения устанавливаются АРМы, на которых разрешено вести работу именно...
6.7.12
Повлияло ли вступление в ВТО на регулирование рынка ИБ?
Анализировал я вчерашние цифры и пришел к выводу, что хочешь-не хочешь, а ВТО повлияло на рынок ИБ в России и не в лучшую сторону. По идее, вступление в Всемирную торговую организацию должно было повлиять только на ввоз тех или иных продуктов. По "нашему" направлению такими продуктами могли считаться только шифровальные средства, но... Дело в том, что по правилам ВТО в части ввоза криптографии мы уже живем не первый год, а точнее с 1-го января 2010-го года, когда изменились правила ввоза товаров на территорию Таможенного союза. А правила эти были...
5.7.12
Обновление статистики по нормативке в области ИБ

Чтоб блог не пустовал ;-) Обновляю статистику по росту числа нормативых актов за прошедшее время и распределению нормативных актов, регулирующих вопросы ИБ в разных отраслях.
...
3.7.12
Правительство взялось за оценку соответствия

Известный факт - все вопросы оценки соответствия (как элемента технического регулирования) описаны в ФЗ-184 "О техническом регулировании". Данный закон достаточно четко прописывает особенности оценки соответствия и сертификации, как одной из форм оценки соответствия. Но относятся ли эти особенности на средства защиты информации? И да, и нет.
Дело в том, что средства защиты информации, не без помощи наших регуляторов, попали под действие ст.5 ФЗ-184,...
2.7.12
Новая версия курса по персданным
Новые изменения в версиях 4.6 и 4.7:
Должен ли надзор уведомлять о том, что ими получен доступ к ПДн субъектов не напрямую?
Ст.13.111 КоАП
Анализ отчета о деятельности РКН в 2011-м году
Новое Постановление Правительства ПП-221
Как соотносятся цели обработки ПДн и цели бизнеса
5 сценариев классификации ИСПДн
Новое европейское законодательство
Европейские стандарты по безопасности ПДн
Об уровнях защищенности
Обновление раздела о лицензировании ТЗКИ
Требования МВД
по сохранности ПДн
О количестве сотрудников для защиты ПДн
Экспресс-план приведения...
Подписаться на:
Сообщения (Atom)