Проект Методики оценки зрелости деятельности в области защиты информации и беспечения безопасности критической информационной инфраструктуры Российской Федерации.
Скоро (1~2 месяца) на сайте ФСТЭК России.
Please open Telegram to view this post
VIEW IN TELEGRAM
Листок бюрократической защиты информации
📣 Методика оценки показателя состояния защиты информации и обеспечения безопасности ОКИИ ФСТЭК России информирует о начале разработки проекта Методики оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной…
Показатель состояния защиты информации и обеспечения безопасности ОКИИ и формула его расчета.
Please open Telegram to view this post
VIEW IN TELEGRAM
Листок бюрократической защиты информации
Частные показатели состояния защиты информации и обеспечения безопасности ОКИИ, учитываемые в формуле его расчета.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Листок бюрократической защиты информации
Уровни зрелости деятельности в области защиты информации и беспечения безопасности критической информационной инфраструктуры Российской Федерации.
Please open Telegram to view this post
VIEW IN TELEGRAM
🎓 Профстандарт «Специалист в области информационных технологий на атомных станциях (разработка и сопровождение программного обеспечения)»
Официально опубликован приказ Минтруда от 15.01.2024 № 6н
«Об утверждении профессионального стандарта «Специалист в области информационных технологий на атомных станциях (разработка и сопровождение программного обеспечения)», предусматривающий ряд трудовых функций, связанных с ИБ:
• Защита информации ИТ-систем и сервисов АЭС.
• Контроль уровня информационной безопасности ИТ-систем и сервисов АЭС.
Официально опубликован приказ Минтруда от 15.01.2024 № 6н
«Об утверждении профессионального стандарта «Специалист в области информационных технологий на атомных станциях (разработка и сопровождение программного обеспечения)», предусматривающий ряд трудовых функций, связанных с ИБ:
• Защита информации ИТ-систем и сервисов АЭС.
• Контроль уровня информационной безопасности ИТ-систем и сервисов АЭС.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from РСпектр: связь, ИТ, кибербезопасность
Роскомнадзор: важно предусмотреть ответственность операторов персданных, выполняющих требования по защите информации
В рассматриваемых Госдумой законопроектах, повышающих ответственность операторов при утечках персональных данных (ПД) важно предусмотреть ответственность тех компаний, которые выполняли мероприятия по защите информации, проводили аудит безопасности, предоставляли технические средства по защите информации и согласовывали модели угроз и нарушителей.
Об этом на прошедшем 14 февраля в Совете Федерации круглом столе «Противодействие утечкам персональных данных граждан» заявил заместитель руководителя Роскомнадзора Милош Вагнер.
«Мы поддерживаем повышение административной ответственности за утечки персональных данных. Сегодня размер административного наказания для юридических лиц составляет до 100 тыс. рублей – по сути не понуждает к соблюдениям мер безопасности», – сказал он. В 2023 году было зафиксировано 168 утечек личной информации, напомнил представитель Роскомнадзора.
Право на обработку персональных данных должны иметь те операторы, которые прошли у уполномоченных органов процедуру подтверждения соответствия всем требованиям безопасности, отметил Милош Вагнер.
«Такими требованиями могло бы быть, например, наличие в организации офицеров по безопасности [ПД], имеющих образование в области защиты информации. В организации должно быть финансовое обеспечение на покрытие всех возможных рисков, в том числе административной ответственности, [ответственности] перед гражданами и моральной компенсации. Также организация обязана использовать базы [данных] расположенные на территории РФ», – сказал он.
Но самое главное – подтвердить у компетентных организаций, в том числе у уполномоченных органов, что защита данных осуществляется с учетом данных по безопасности, а модели угроз составлены адекватно бизнес-процессам, подчеркнул представитель Роскомнадзора.
В рассматриваемых Госдумой законопроектах, повышающих ответственность операторов при утечках персональных данных (ПД) важно предусмотреть ответственность тех компаний, которые выполняли мероприятия по защите информации, проводили аудит безопасности, предоставляли технические средства по защите информации и согласовывали модели угроз и нарушителей.
Об этом на прошедшем 14 февраля в Совете Федерации круглом столе «Противодействие утечкам персональных данных граждан» заявил заместитель руководителя Роскомнадзора Милош Вагнер.
«Мы поддерживаем повышение административной ответственности за утечки персональных данных. Сегодня размер административного наказания для юридических лиц составляет до 100 тыс. рублей – по сути не понуждает к соблюдениям мер безопасности», – сказал он. В 2023 году было зафиксировано 168 утечек личной информации, напомнил представитель Роскомнадзора.
Право на обработку персональных данных должны иметь те операторы, которые прошли у уполномоченных органов процедуру подтверждения соответствия всем требованиям безопасности, отметил Милош Вагнер.
«Такими требованиями могло бы быть, например, наличие в организации офицеров по безопасности [ПД], имеющих образование в области защиты информации. В организации должно быть финансовое обеспечение на покрытие всех возможных рисков, в том числе административной ответственности, [ответственности] перед гражданами и моральной компенсации. Также организация обязана использовать базы [данных] расположенные на территории РФ», – сказал он.
Но самое главное – подтвердить у компетентных организаций, в том числе у уполномоченных органов, что защита данных осуществляется с учетом данных по безопасности, а модели угроз составлены адекватно бизнес-процессам, подчеркнул представитель Роскомнадзора.
Media is too big
VIEW IN TELEGRAM
В период с 27 по 29 февраля 2024 года пройдет форум «Цифровая устойчивость и информационная безопасность России» («Магнитка»), где эксперты разберутся в этом и других вопросах.
Далее эксперты обсудят ожидания от отраслевых регуляторов и рассмотрят, как отраслевые центры компетенции могут повысить уровень информационной безопасности.
Также организаторы обещают поднять тему о том, почему российское регулирование иногда остаётся в тени международного, и как можно изменить эту ситуацию.
Please open Telegram to view this post
VIEW IN TELEGRAM
Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) информирует о получении от ФСБ России разъяснений порядка использования национальных стандартов ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015 и межгосударственных стандартов ГОСТ 34.12-2018 и ГОСТ 34.13-2018 в СКЗИ и при подготовке технических заданий и конкурсной документации на разрабатываемые СКЗИ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Итого, ФСТЭК сейчас создает/разрабатывает (из публично озвученного на конференции в день Трифона-Мышегона):
1️⃣ Требования по обеспечению защищенности государственных информационных систем и значимых объектов критической информационной инфраструктуры Российской Федерации от несанкционированных воздействий типа «отказ в обслуживании»
2️⃣ Типовая программа и методики аттестационных испытаний
3️⃣ Методика анализа уязвимостей
4️⃣ Методика тестирования функций безопасности
5️⃣ Методика испытания системы защиты информации с использованием средств тестирования
6️⃣ Методика тестирования производительности NGFW
7️⃣ Центр компетенций по тестированию производительности, устойчивости функционирования и функциональных возможностей МЭ и иных сетевых устройств
8️⃣ Полигон для тестирования СрЗИ путем эмуляции действий нарушителей
9️⃣ Центр исследований в области обеспечения информационной безопасности при использовании технологий искусственного интеллекта
1️⃣ 0️⃣ Методика выявления уязвимостей и НДВ в ПО
1️⃣ 1️⃣ 5 ГОСТов по безопасной разработке, из которых парочка уже принята, но на слайдах не было отражено (руководство по оценке безопасности разработки, руководство по проведению статического анализа, руководство по разработке безопасного ПО, доверенный компилятор C/C++ и управление безопасностью ПО при использовании заимствованных и привлеченных компонентов)
1️⃣ 2️⃣ Показатель (и методика его определения) состояния защиты информации и обеспечения безопасности объектов КИИ в ОГВ и(или) организации
1️⃣ 3️⃣ Показатель (и методика его определения) зрелости деятельности ОГВ и организаций по защите информации и обеспечению безопасности объектов КИИ
1️⃣ 4️⃣ Требования о защите информации, содержащейся в государственных и иных информационных системах, обладателями которых являются РФ, субъект РФ, муниципальное образование
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RAD COP
🧐 Почти 2 года назад мы обещали выпустить в публичный доступ Вики по ГОСТ 57580. Много воды утекло с той поры. Проектная загрузка и внешние обстоятельства все время сдвигали сроки публикации.
🥳 Но мы сделали это! Спасибо Елене 🐬, Ивану Горбачеву, Егору Чинилину, Даниле Хамцову, Александру Осипову, Дмитрию Кисельникову и всем тем, кто прямо или косвенно участвовал в создании этой базы знаний. Мы осознаем неполноту и несовершенство нашей Вики. Прекрасно понимаем, что ей есть куда расти. Но сейчас наша задача как зачинателей проекта - запустить полноценный MVP и инициировать целенаправленную работу по сбору лучших практик и опыта на базе удобного движка. Нам кажется, что это облегчит работу специалистов отрасли, мир станет лучше, а дискуссии в чатиках Телеграм - спокойнее 😌 Тем более, что нас ждут новые серии 57580, а значит новые пространства требований для освоения.
☑️ Желающие просто пользоваться Вики могут делать это анонимно на её публичном сайте. Желающие вносить правки, предложения и участвовать в редактировании должны будут вступить в чат: https://yangx.top/GOST57580club и подтвердить свою квалификацию.
❗️Проект является некоммерческим с точки зрения возможности применения этой информации непосредственно специалистами (независимо от их места и формата работы). При этом использование этих материалов в продуктах, программном обеспечении или их непосредственная продажа будут ограничиваться во избежание недобросовестных практик и должна быть согласована с авторами. В связи с этим нами начата процедура защиты актива через авторское право🛡
P.S. Сегодня презентуем её на уральском форуме по Кибербезопасности, кто на месте - ждем в 14:00 в Зале № 1 на мастер-классе RAD COP 🤝
🥳 Но мы сделали это! Спасибо Елене 🐬, Ивану Горбачеву, Егору Чинилину, Даниле Хамцову, Александру Осипову, Дмитрию Кисельникову и всем тем, кто прямо или косвенно участвовал в создании этой базы знаний. Мы осознаем неполноту и несовершенство нашей Вики. Прекрасно понимаем, что ей есть куда расти. Но сейчас наша задача как зачинателей проекта - запустить полноценный MVP и инициировать целенаправленную работу по сбору лучших практик и опыта на базе удобного движка. Нам кажется, что это облегчит работу специалистов отрасли, мир станет лучше, а дискуссии в чатиках Телеграм - спокойнее 😌 Тем более, что нас ждут новые серии 57580, а значит новые пространства требований для освоения.
☑️ Желающие просто пользоваться Вики могут делать это анонимно на её публичном сайте. Желающие вносить правки, предложения и участвовать в редактировании должны будут вступить в чат: https://yangx.top/GOST57580club и подтвердить свою квалификацию.
❗️Проект является некоммерческим с точки зрения возможности применения этой информации непосредственно специалистами (независимо от их места и формата работы). При этом использование этих материалов в продуктах, программном обеспечении или их непосредственная продажа будут ограничиваться во избежание недобросовестных практик и должна быть согласована с авторами. В связи с этим нами начата процедура защиты актива через авторское право🛡
P.S. Сегодня презентуем её на уральском форуме по Кибербезопасности, кто на месте - ждем в 14:00 в Зале № 1 на мастер-классе RAD COP 🤝
📖 ГОСТ | Системы с конструктивной информационной безопасностью
Технический комитет по стандартизации «Защита информации» (ТК 362) приступил к рассмотрению проекта национального стандарта «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки».
Технический комитет по стандартизации «Защита информации» (ТК 362) приступил к рассмотрению проекта национального стандарта «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки».
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
ВЕБИНАР: «О технических мерах защиты ПДн простыми словами»
Основные темы вебинара:
🔵 Что на самом деле обязан выполнить оператор ПДн?
🔵 Что такое технические меры защиты ПДн? Как их выполнить?
🔵 Требования к составу мер защиты ПДн от Правительства РФ, ФСТЭК и ФСБ.
🔵 Как подтвердить, что требования выполняются?
Спикер с опытом работы в органах власти, аттестации и в лицензиате ФСТЭК/ФСБ.
📆 Вебинар состоится 29 февраля в 11.00 по МСК.
⚠️ Участие бесплатное, но необходима предварительная регистрация.
🗝 Бонусы для зарегистрированных участников:
+ запись и презентация вебинара;
+ чек-лист «Как выполнить требования ФЗ-152»;
+ гайд: всё о проверках Роскомнадзора, ФСТЭК, ФСБ.
✅ ЗАРЕГИСТРИРОВАТЬСЯ
Основные темы вебинара:
Спикер с опытом работы в органах власти, аттестации и в лицензиате ФСТЭК/ФСБ.
+ запись и презентация вебинара;
+ чек-лист «Как выполнить требования ФЗ-152»;
+ гайд: всё о проверках Роскомнадзора, ФСТЭК, ФСБ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Об ЭП и УЦ
Требования к "облачной" электронной подписи
8 Центр ФСБ России сообщает, что требования к средствам "облачной" (удаленной, дистанционной) электронной подписи планируется утвердить во втором полугодии 2024 года.
Нормативные правовые акты, устанавливающие обязательные требования, вступают в силу с 1 марта или с 1 сентября соответствующего года, но не ранее чем по истечении девяноста дней после дня официального опубликования соответствующего нормативного правового акта. Получаем, если требования должны вступить в силу с 1 сентября текущего года, то утвердить их должны до 1 июня (а до этого должна пройти процедура общественного обсуждения и регистрация в Минюсте), если этого не произойдет, то следующей датой вступления в силу является 01.03.2025.
Приказ ФСБ России «Об утверждении требований к средствам электронной подписи и средствам удостоверяющего центра, применяемым для реализации функций, предусмотренных частью 2.2 статьи 15 Федерального закона «Об электронной подписи» является единственным документом, который из перечня нормативных правовых актов для реализации норм Федерального закона 476-ФЗ ещё не принят. В мае 2022 года проект данного приказа направлялся на согласование в государственные органы.
🚀 Об ЭП и УЦ
8 Центр ФСБ России сообщает, что требования к средствам "облачной" (удаленной, дистанционной) электронной подписи планируется утвердить во втором полугодии 2024 года.
Нормативные правовые акты, устанавливающие обязательные требования, вступают в силу с 1 марта или с 1 сентября соответствующего года, но не ранее чем по истечении девяноста дней после дня официального опубликования соответствующего нормативного правового акта. Получаем, если требования должны вступить в силу с 1 сентября текущего года, то утвердить их должны до 1 июня (а до этого должна пройти процедура общественного обсуждения и регистрация в Минюсте), если этого не произойдет, то следующей датой вступления в силу является 01.03.2025.
Приказ ФСБ России «Об утверждении требований к средствам электронной подписи и средствам удостоверяющего центра, применяемым для реализации функций, предусмотренных частью 2.2 статьи 15 Федерального закона «Об электронной подписи» является единственным документом, который из перечня нормативных правовых актов для реализации норм Федерального закона 476-ФЗ ещё не принят. В мае 2022 года проект данного приказа направлялся на согласование в государственные органы.
Please open Telegram to view this post
VIEW IN TELEGRAM
📖 Проекты ГОСТов от ТК 362
Технический комитет по стандартизации «Защита информации» (ТК 362) приступил к рассмотрению следующих проектов национальных стандартов:
• ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения».
• ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации».
Технический комитет по стандартизации «Защита информации» (ТК 362) приступил к рассмотрению следующих проектов национальных стандартов:
• ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения».
• ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации».
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Privacy Advocates
🌐Международной организацией по стандартизации (International Organization for Standardization) был опубликован стандарт 29100:2024 «Информационная технология. Методы и средства обеспечения безопасности. Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework). В стандарте сформулированы принципы и меры по защите неприкосновенности частной жизни.
🔸В России адаптирована как ГОСТ Р ИСО/МЭК 29100-2021 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности» предыдущая версия этого стандарта от 2018г.
🔸В России адаптирована как ГОСТ Р ИСО/МЭК 29100-2021 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности» предыдущая версия этого стандарта от 2018г.
ISO
ISO/IEC 29100:2024
Information technology — Security techniques — Privacy framework
➡️ Порядок представления субъектами КИИ из сферы транспорта сведений об объектах КИИ
ФСТЭК России информирует о порядке представления субъектами КИИ, осуществляющими деятельность в сфере транспорта, перечней объектов КИИ, подлежащих категорированию, а также сведений о присвоении объектам КИИ одной из категорий значимости либо неприсвоения им одной из таких категорий.
Источник: Информационное сообщение ФСТЭК России от 06.03.2024 № 240/82/580 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критический информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
ФСТЭК России информирует о порядке представления субъектами КИИ, осуществляющими деятельность в сфере транспорта, перечней объектов КИИ, подлежащих категорированию, а также сведений о присвоении объектам КИИ одной из категорий значимости либо неприсвоения им одной из таких категорий.
Источник: Информационное сообщение ФСТЭК России от 06.03.2024 № 240/82/580 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критический информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
Please open Telegram to view this post
VIEW IN TELEGRAM
💰 Субсидии на создание и развитие ГИС
Официально опубликовано постановление Правительства Российской Федерации от 20.03.2024 № 335
«О порядке предоставления предусмотренных федеральным законом о федеральном бюджете субсидий на осуществление капитальных вложений в создание и развитие государственных информационных систем».
Официально опубликовано постановление Правительства Российской Федерации от 20.03.2024 № 335
«О порядке предоставления предусмотренных федеральным законом о федеральном бюджете субсидий на осуществление капитальных вложений в создание и развитие государственных информационных систем».
Please open Telegram to view this post
VIEW IN TELEGRAM
