Перспективы изменения законодательства в области защиты информации в НПС (презентация)

Выступал я вчера на конференции "Электронные платежные системы в России" с рассказом о перспективах изменения законодательства в области защиты информации в Национальной платежной системе. Времени было немного - всего 15 минут. Поэтому раскрыть особенно тему не удалось, но ключевые нормативные акты я все-таки в презентацию вместил. Думаю, будет полезно тем, кто попадает под регулирование Банк России; как в контексте НПС, так и в контексте создания нового мегарегулятора. ...

Подробнее…

Кто такой "сотрудник" в контексте ПП-1119?

Наконец-то я получил официальную позицию регуляторов на вопрос "Кто же такой сотрудник, упомянутый в ПП-1119?" Этот вопрос волнует многих операторов персональных данных и есть даже те, кто опираясь на эту правовую коллизию, оптимизирует свои усилия в части выполнения требований законодательства по персональным данным. А коллизия проста - в Трудовом Кодексе нет понятия "сотрудник", но есть "работник". А раз такого понятия нет, то получается, что...

Подробнее…

Целый сонм новых требований по безопасности ждет нас до конца года

Сегодня я хотел рассказать о новом ГОСТе по безопасности облаков, который был подготовлен в ТК362 и сейчас находится на обсуждении членами технического комитета. Но стандарт оказался не так прост, как мне казалось сначала и я взял тайм-аут на его дополнительное изучение. Поэтому я поступлю просто и опубликую список тех нормативных документов, которые содержат вполне конкретные требования по защите информации, проекты которых появились совсем недавно (в течение августа) и которые должны быть приняты в краткосрочной и среднесрочной перспективе: ГОСТ...

Подробнее…

3 новости о PCI DSS

За последний неполный месяц произошло 3 новости по линии PCI DSS, которые могут быть интересны отечественным заинтересованным сторонам. Новость первая, самая важная. 7 ноября выходит 3-я версия стандартов PCI DSS и PA DSS, которые вступят в силу с 1-го января 2014 года. Новость вторая имеет прямое отношение к России. Она была опубликована на сайте PCI Council 8 августа. С этого момента PCI Council официально признает наличие русскоязычной версии стандарта PCI DSS и создал специально под нее отдельный сайт на русском языке. Однако стоит сделать...

Подробнее…

Приглашаю тех, кому есть, что сказать

Так случилось, что я буду модерировать по две секции/круглых стола на грядущих InfoSecurity Russia и Инфобез-Экспо, проходящих в Москве в конце сентября и начале октября соответственно. Как модератор я составляю программу секций и набираю докладчиков. Но дабы не закуклиться и не закукситься в кругу одних и тех же докладчиков, которые наверняка и так будут выступать на обеих конференциях-выставках, я бросаю общий и публичный клич. Кто хочет выступить на InfoSecurity Russia 25-27 сентября и Инфобез-Экспо 8-10 октября? Вам есть что сказать? Присылайте...

Подробнее…

Business capability map в контексте ИБ КВО

Продолжу тему business capability map, начатую в пятницу. Достаточно интересно она раскрывается в контексте безопасности критически важных объектов, законопроект по которым 23-го августа завершил сбор предложений и замечаний. У данного законопроекта один из ключевых недостатков - расплывчатость объекта защиты. Дано общее определение КВО, но не раскрыты отрасли, которые подпадают под этот законопроект. ТЭК? Скорее всего. Банк России? Безусловно....

Подробнее…

Что такое business capability map в контексте ИБ?

О том чего не хватает образованию я уже писал не раз. Одним из серьезных недостатков является отсутствие бизнес-привязки в деятельности или образовании ИБ. Мы все время говорим о классических аксиомах - триаде КДЦ, ААА, криптографии и т.п. Все это важно, но мы часто забываем, что всему свое время и место и в разных бизнесах могут быть совершенно разные потребности и приоритеты в ИБ. Всех одним аршином не измерить, а мы пытаемся. Возьмем к примеру финансовую отрасль. Мы под ней часто понимаем банки, на которых распространяется действие СТО БР....

Подробнее…

Новые рекомендации Банка России по защите ДБО

В начале августа Банк России выпустил документ с новыми рекомендациями по защите. Это письмо от 5.08.2013 №146-Т "О рекомендациях по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети "Интернет". Как написано в преамбуле, "настоящие Рекомендации предназначены для использования кредитными организациями, являющимися операторами по переводу денежных средств, и привлекаемыми ими банковскими платежными агентами в целях повышения уровня безопасности при предоставлении...

Подробнее…

Правила международной ИБ определены

В конце июля Президент подписал "Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года", которые определяют как Россия будет трактовать понятие "информационная безопасность" и как она его будет продвигать на международной арене. Можно было бы сказать, что этот документ малоинтересно российским специалистам по ИБ, т.к. говорит о вопросах, которые большинство волнуют мало. На самом деле это не так - он ложится в общую канву того, что происходит в области регулирования вопросов...

Подробнее…

Новый законопроект о безопасности критически важных объектов

Ну вот и появился на свет очередной законопроект «О безопасности критической информационной инфраструктуры Российской Федерации», о котором давно циркулировала информация и который предполагался в свете последних изменений как в законодательстве в области ИБ, так и в связи с изменением акцента, который наши (да и не только наши) спецслужбы делают в области ИБ в последнее время. Почему я написал "очередной"? Дело в том, что это уже третья попытка каким-то образом отрегулировать такую непростую тему, как информационная безопасность критически...

Подробнее…

Соцсети хотят заставить проверять подлинность всех своих пользователей

Сегодня депутат Дегтярев внес в Госдуму внес очередной законопроект №333556-6, задача которого проста - подрегулировать малость социальные сети. А то ведь фигня какая-то творится - если верить заявлениям Facebook, Яндекса, Мейл.ру, ВКонтакте, Одноклассников, Google+, LinkedIn, YouTube и т.п., то их аудитория чуть не превышает население земного шара. Непорядок. Лукавят Цукерберги всякие. "К ногтю!", - подумал депутат от ЛДПР и потенциальный мэр г.Москвы и быстро начиркал законопроект, который: запрещает незаконно использовать персданные верифицированных...

Подробнее…

Новая версия указания Банка России по отчетности по инцидентам ИБ

2 недели отсутствия... Думал что кто-нибудь разродится обзором вышедшей с пару месяцев назад новой редакции Указания Банка России №2831-У, которая была введена указанием 3024-У, но видимо все в отпусках или просто руки не дошли. Устраним данный недостаток. Указание 2831-У всегда выделялось на фоне других нормативных актов в области ИБ в РФ. Оно, пожалуй, единственное устанавливало требования по обязательной отчетности по инцидентам в области информационной безопасности, которые некоторые участники Национальной платежной системы должны ежемесячно...

Подробнее…

Правовой нигилизм нарастает

В последние месяцы обострилась ситуация с нормативным регулированием в области Интернет, ИКТ, информационной безопасности. Принимается множество нормативных и нормативно-правовых актов разного уровня - федеральные законы, постановления правительства, стандарты, приказы и т.п. И разумеется множество людей начинает обсуждать, ругать, критиковать эти законодательные инициативы. И вот в последнее время очень остро стало заметно, что большинство критиков абсолютно ничего не понимают в законодательстве и праве, упирая только на эмоциональную составляющую....

Подробнее…

Кибербезопасность или информационная безопасность?

Подписанный в пятницу Президентом РФ документ под названием "Основы государственной политики РФ в области международной информационной безопасности на период до 2020 года" лишний раз убедил меня в мысли, что термин кибербезопасность имеет право на жизнь, чтобы ни говорил МИД по этому поводу. Если посмотреть на основополагающий документ по ИБ для "внутрироссийского" использования, то информационная безопасность по мнению наших властей - это очень широкий пласт задач и направлений - от обеспечения доступа к информации и ее защиты до борьбы с негативной...

Подробнее…