Листок бюрократической защиты информации

❓Информация о местоположении абонента – ПДн? Пост выходного дня с опросом на тему, мол имеет ли место обработка и передача ПДн в описанной ситуации?

​​📁 Традиционная справка-доклад о ходе работ по плану ТК 362 (по состоянию на 26.04.2024).

​​ ⚡️ Дополнительные требования по безопасности ЗОКИИ при удаленном управлении в сфере электроэнергетики Официально опубликован приказ Минэнерго от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».

​​ ➡️ Информация ФСТЭК по Порядку сертификации процессов безопасной разработки ПО Спустя почти месяц после даты официального опубликования ФСТЭК России информирует об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации. Регулятор указывает, что вышеуказанный Порядок предназначен для изготовителей сертифицированных средств защиты информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, а также для органов по сертификации, выполняющих работы по сертификации процессов безопасной разработки программного обеспечения средств защиты информации. Указывается, что данный Порядок определяет порядок сертификации процессов безопасной разработки программного обеспечения средств защиты информации на соответствие требованиям национального стандарта Российской Федерации ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» в рамках действующей системы сертификации ФСТЭК России. Регулятор обращает внимание, что наличие действующего сертификата соответствия процессов безопасной разработки программного обеспечения средств защиты информации требованиям по безопасной разработке, установленным в ГОСТ Р 56939-2016, позволяет изготовителям сертифицированных средств защиты информации самостоятельно проводить испытания в случае внесения в сертифицированное средство защиты информации изменений, в том числе изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации, с обновлением версий программного обеспечения, включая совершенствование функций его безопасности или добавление новых функций безопасности, а также с добавлением новых или изменением существующих аппаратных платформ. Источник: Информационное сообщение ФСТЭК России от 26.04.2024 № 240/24/1958 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».

🔄 В дополнение к предыдущему посту необходимо обратить внимание, что некоторые частные показатели безопасности, от выполнения которых зависит итоговое значение показателя защищенности, являются чисто организационными (бюрократическими). Поэтому пока вышеупомянутая Методика не обрела статус обязательной рекомендуется разработать (или проверить наличие) следующих документов: 1. Локальный нормативный акт организации, касающийся возложения на заместителя руководителя организации полномочий ответственного лица за обеспечение информационной безопасности с определением его обязанностей. 2. Локальный нормативный акт организации, касающийся определения функций и обязанностей структурного подразделения (или отдельных работников) ответственных за обеспечение информационной безопасности.

За основу документов, упомянутых в пункта 1 и 2 можно (а иногда и нужно) взять постановление Правительства Российской Федерации от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».

3. Договоров (отдельных положений в них) или дополнительных соглашений к договорам с подрядными организациями, имеющими доступ к информационным системам с привилегированными правами, в которых установлены требования о реализации мер по защите от угроз через их информационную инфраструктуру. 4. Локальный нормативный акт, определяющий требования к использованию паролей в информационных системах (парольную политику, политику парольной защиты и т.д.). 5. Локальный нормативный акт, определяющий порядок учета пользовательских устройств, серверов и сетевых устройств. 6. Локальный нормативный акт, определяющий порядок реагирования на компьютерные инциденты.

За основу такого документа можно взять пачку ГОСТов: Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации»; Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения»; Р 59710-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения»; ​Р 59711-2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами»; ​Р 59712-2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты», соответствующие приказы ФСБ России, которые можно найти

здесь,

а также учитываем, что в некоторых случаях компьютерные инциденты могут быть инцидентами с ПДн.

Не стоит забывать, что в рамках Методики в организации также должны появиться: • Локальный нормативный акт, устанавливающий порядок и периодичность проведения оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации в организации, включая требования по отбору и назначению специалистов, задействованных в этой оценке. • План реализации мероприятий по достижению требуемого уровня защиты от актуальных угроз (указанный план разрабатывается, если по результатам оценки установлен либо низкий («оранжевый»🟡), либо критический («красный»🔴) уровень текущего состояния защищенности). P.S.: «Локальный нормативный акт» может быть сильным высказыванием, но суть в том, что в организации должны быть соответствующие документы.

🧮 Калькулятор расчета показателя защищенности В продолжение темы недавно опубликованной Методики оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации предлагается инструмент для автоматизации и ускорения процесса расчета этого самого показателя защищенности — калькулятор расчета показателя защищенности и его сравнения с нормированным значением.

​​🔊 Условия по защите информации для участников платформы цифрового рубля Банк России опубликовал Условия по защите информации для участников платформы цифрового рубля, которые будут применяться с 01.01.2025.

📕 Система нормативных правовых актов, методических и информационных документов в области обеспечения безопасности КИИ.

✈️ В дополнение к данному обзору хотел бы добавить, что от организаций, которые попадут на обязанность выполнения данного методического документа, также потребуется: • издать внутренний регламент, который будет регламентировать периодичность, точные сроки проведения рассматриваемой оценки и порядок определения специалистов организации, которые будут осуществлять оценку; • учитывать, что при продолжительном невыполнении мер, рассматриваемых при проведении оценки, показатель защищенности будет снижаться. Ну а пока стоит дождаться нормативного правового акта, который определит, для кого исполнение данного методического документа станет обязательным. По косвенным признакам и используемым текстовым конструкциям создается впечатление, что обязательным документ станет для субъектов КИИ с ЗОКИИ и для тех, кто попал под действие Указа Президента № 250. P.S.: поучаствовать в обсуждении вопросов, связанных с рассматриваемым методическим документом, можно здесь.