Листок бюрократической защиты информации
Нормативно-новостной и иногда субъективно-аналитический канал-записная книжка по теме организационной и правовой защите информации в РФ. Подробнее: https://telegra.ph/Beinsecurity-12-12 Для обратной связи: https://telegra.ph/Obratnaya-svyaz-04-02-2
Show more12 136
Subscribers
No data24 hours
+337 days
+17530 days
Posting time distributions
Data loading in progress...
Find out who reads your channel
This graph will show you who besides your subscribers reads your channel and learn about other sources of traffic.
Publication analysis
| Posts | Views | Shares | Views dynamics |
01 📣 Порядок сертификации процессов безопасной разработки ПО СрЗИ
Сегодня вступает в силу приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации». | 2 484 | 68 | Loading... |
02 🎓 Коллеги из RPPA.pro запустили линейку образовательных продуктов, нацеленных на прокачку технических скиллов для спецов из Legal in Tech.
Например, Privacy Engineering, чтобы уже наконец, разобраться в технологиях обработки данных и рисках приватности.
Или Privacy Fundamentals, который выстраивает четкое понимание приватности, и зачем мы вообще этим занимаемся.
Еще есть образовательные продукты и бесплатные материалы в канале.
Программы строятся на опыте 1300 экспертов, собственных базах знаний и исследованиях. | 3 164 | 16 | Loading... |
03 🏛️ Минцифры предложило поправки в законопроект о штрафах за утечки
🔸Минцифры подготовило поправки ко второму чтению рассматриваемого Госдумой законопроекта об ужесточении ответственности за утечки. Предлагается, в частности, снижать размер оборотного штрафа при соблюдении оператором некоторых требований. Среди них:
- осуществление оператором ежегодных расходов в течение не менее трех лет, предшествующих утечке, на мероприятия по обеспечению информационной безопасности;
- выплаты в связи с утечками данных не менее чем 80% от общего количества пострадавших граждан, которые выразили готовность принять такую компенсацию.
🔸При этом оператор должен соблюдать требования к защите персональных данных при их обработке в информационных системах, и это должно быть документально подтверждено, соответствующие мероприятия должны быть проведены не ранее чем за год до момента выявления административного правонарушения. Также не должно быть обстоятельств, отягчающих административную ответственность за утечки.
🔸Согласно предлагаемым поправкам размер оборотного штрафа может быть снижен только при условии выполнения всех вышеозвученных условий одновременно.
🔸Осуществление предлагаемой денежной выплаты (в случае принятия соответствующего решения оператором) повлечет необходимость уведомления граждан о случившимся инциденте и возможности получения соответствующей выплаты. | 3 299 | 69 | Loading... |
04 ⚡️Серия бесплатных вебинаров для субъектов КИИ: «Нюансы регистрации ПО в Реестре российского ПО»
Программа:
📌 4 июня – Что должны увидеть Минцифры на вашем сайте?
📆 7 июня – Как подтвердить наличие\отсутствие иностранного участия в компании?
📌 11 июня – Как подтвердить сведения о выплатах в пользу иностранных лиц?
📆 14 июня – Что такое экземпляр ПО, и как его предоставить?
Время: в 12:00 по МСК
Место: телеграм-канал @aglegal
Реестр российского ПО - горячая тема среди разработчиков для компаний критической инфраструктуры. В вебинарах будут подниматься самые сложные вопросы о включении ПО в реестр. | 4 178 | 58 | Loading... |
05 🛡 Требования о защите информации для провайдеров хостинга для ГИС/МИС
Для общественного обсуждения представлен проект приказа Минцифры «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети «Интернет», операторам государственных информационных систем, муниципальных информационных систем, информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений». | 4 227 | 71 | Loading... |
06 ⚡️С огромной радостью сообщаем о том, что 30 мая состоится второй Межрегиональный круглый стол по вопросам информационной безопасности в г. Ростове-на-Дону!
📍Где и когда: 30 мая с 9:00 до 17:00,
г. Ростов-на-Дону, ул. Б.Садовая, 69.
Точка Кипения РГЭУ РИНХ.
❓О чем поговорим:
- способы противостояния угрозам;
- защита государственных информационных систем, объектов КИИ и информационных систем персональных данных;
- изменения законодательства ИБ и другие темы.
Как и в прошлом году, проведем рубрику «Вопрос-ответ», где вы сможете задать волнующие вопросы регуляторам, вендорам и коллегам.
В рамках подготовки к мероприятию собираем коллекцию лучших кейсов по информационной безопасности среди участников. Все кейсы будут оформлены и размещены в отдельном разделе сайта мероприятия.
Организатор: ООО «Рубикон»
Партнеры:
✅ООО «Код Безопасности», один из лидеров в сфере отечественной разработки средств защиты информации.
✅АО «Аксофт», глобальный эксперт в области дистрибуции информационных технологий и сервисов.
✅РГЭУ РИНХ, учебное заведение высшего профессионального образования, входящее в рейтинг лучших ВУЗов страны
Представители государственных органов:
✅Управление ФСТЭК России по Южному и Северо – Кавказскому федеральным округам
✅Управление Роскомнадзора по Ростовской области
✅Министерство цифрового развития, информационных технологий и связи Ростовской области
✅Центр управления регионом Ростовской области
И это еще не конечный список.
В этом году планируем расширить список участников, привлечь новых докладчиков, а также организовать онлайн-трансляцию.
Ознакомиться с программой и зарегистрироваться вы можете на странице мероприятия.
Приходите, у нас интересно! Будем рады видеть вас! | 5 191 | 40 | Loading... |
07 Media files | 5 678 | 128 | Loading... |
08 📕 Актуализированная система нормативных правовых актов, методических и информационных документов в области обеспечения безопасности КИИ. | 5 463 | 100 | Loading... |
09 🟡 Импортонезависимость ЗОКИИ финансовых организаций
Представлены указания Банка России, устанавливающие порядок осуществления контроля и мониторинга за соблюдением финансовыми организациями реализации планов мероприятий по переходу на преимущественное использование российского программного обеспечения на ЗОКИИ:
• Указание Банка России от 05.02.2024 № 6679-У «О порядке осуществления Банком России контроля и мониторинга за соблюдением кредитными организациями реализации планов мероприятий кредитных организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на таких объектах».
• Указание Банка России от 05.02.2024 № 6680-У «О порядке осуществления Банком России контроля и мониторинга за соблюдением некредитными финансовыми организациями реализации планов мероприятий некредитных финансовых организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на таких объектах». | 7 717 | 95 | Loading... |
10 ❓Информация о местоположении абонента – ПДн?
Пост выходного дня с опросом на тему, мол имеет ли место обработка и передача ПДн в описанной ситуации? | 6 160 | 10 | Loading... |
11 📁 Традиционная справка-доклад о ходе работ по плану ТК 362 (по состоянию на 26.04.2024). | 6 171 | 13 | Loading... |
12 ⚡️ Дополнительные требования по безопасности ЗОКИИ при удаленном управлении в сфере электроэнергетики
Официально опубликован приказ Минэнерго от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике». | 8 646 | 169 | Loading... |
13 ➡️ Информация ФСТЭК по Порядку сертификации процессов безопасной разработки ПО
Спустя почти месяц после даты официального опубликования ФСТЭК России информирует об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации.
Регулятор указывает, что вышеуказанный Порядок предназначен для изготовителей сертифицированных средств защиты информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, а также для органов по сертификации, выполняющих работы по сертификации процессов безопасной разработки программного обеспечения средств защиты информации.
Указывается, что данный Порядок определяет порядок сертификации процессов безопасной разработки программного обеспечения средств защиты информации на соответствие требованиям национального стандарта Российской Федерации ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» в рамках действующей системы сертификации ФСТЭК России.
Регулятор обращает внимание, что наличие действующего сертификата соответствия процессов безопасной разработки программного обеспечения средств защиты информации требованиям по безопасной разработке, установленным в ГОСТ Р 56939-2016, позволяет изготовителям сертифицированных средств защиты информации самостоятельно проводить испытания в случае внесения в сертифицированное средство защиты информации изменений, в том числе изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации, с обновлением версий программного обеспечения, включая совершенствование функций его безопасности или добавление новых функций безопасности, а также с добавлением новых или изменением существующих аппаратных платформ.
Источник: Информационное сообщение ФСТЭК России от 26.04.2024 № 240/24/1958 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации». | 7 965 | 100 | Loading... |
14 🔄 В дополнение к предыдущему посту необходимо обратить внимание, что некоторые частные показатели безопасности, от выполнения которых зависит итоговое значение показателя защищенности, являются чисто организационными (бюрократическими). Поэтому пока вышеупомянутая Методика не обрела статус обязательной рекомендуется разработать (или проверить наличие) следующих документов:
1. Локальный нормативный акт организации, касающийся возложения на заместителя руководителя организации полномочий ответственного лица за обеспечение информационной безопасности с определением его обязанностей.
2. Локальный нормативный акт организации, касающийся определения функций и обязанностей структурного подразделения (или отдельных работников) ответственных за обеспечение информационной
безопасности.
За основу документов, упомянутых в пункта 1 и 2 можно (а иногда и нужно) взять постановление Правительства Российской Федерации от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».
3. Договоров (отдельных положений в них) или дополнительных соглашений к договорам с подрядными организациями, имеющими доступ к информационным системам с привилегированными правами, в которых установлены требования о реализации мер по защите от угроз через их информационную инфраструктуру.
4. Локальный нормативный акт, определяющий требования к использованию паролей в информационных системах (парольную политику, политику парольной защиты и т.д.).
5. Локальный нормативный акт, определяющий порядок учета пользовательских устройств, серверов и сетевых устройств.
6. Локальный нормативный акт, определяющий порядок реагирования на компьютерные инциденты.
За основу такого документа можно взять пачку ГОСТов: Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации»; Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения»; Р 59710-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения»; Р 59711-2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами»; Р 59712-2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты», соответствующие приказы ФСБ России, которые можно найти здесь, а также учитываем, что в некоторых случаях компьютерные инциденты могут быть инцидентами с ПДн.
Не стоит забывать, что в рамках Методики в организации также должны появиться:
• Локальный нормативный акт, устанавливающий порядок и периодичность проведения оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации в организации, включая требования по отбору и назначению специалистов, задействованных в этой оценке.
• План реализации мероприятий по достижению требуемого уровня защиты от актуальных угроз (указанный план разрабатывается, если по результатам оценки установлен либо низкий («оранжевый»🟡), либо критический («красный»🔴) уровень текущего состояния защищенности).
P.S.: «Локальный нормативный акт» может быть сильным высказыванием, но суть в том, что в организации должны быть соответствующие документы. | 6 390 | 223 | Loading... |
15 🧮 Калькулятор расчета показателя защищенности
В продолжение темы недавно опубликованной Методики оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации предлагается инструмент для автоматизации и ускорения процесса расчета этого самого показателя защищенности — калькулятор расчета показателя защищенности и его сравнения с нормированным значением. | 8 661 | 474 | Loading... |
16 🔊 Условия по защите информации для участников платформы цифрового рубля
Банк России опубликовал Условия по защите информации для участников платформы цифрового рубля, которые будут применяться с 01.01.2025. | 7 521 | 95 | Loading... |
17 Media files | 7 943 | 168 | Loading... |
18 📕 Система нормативных правовых актов, методических и информационных документов в области обеспечения безопасности КИИ. | 9 360 | 152 | Loading... |
19 ✈️ В дополнение к данному обзору хотел бы добавить, что от организаций, которые попадут на обязанность выполнения данного методического документа, также потребуется:
• издать внутренний регламент, который будет регламентировать периодичность, точные сроки проведения рассматриваемой оценки и порядок определения специалистов организации, которые будут осуществлять оценку;
• учитывать, что при продолжительном невыполнении мер, рассматриваемых при проведении оценки, показатель защищенности будет снижаться.
Ну а пока стоит дождаться нормативного правового акта, который определит, для кого исполнение данного методического документа станет обязательным. По косвенным признакам и используемым текстовым конструкциям создается впечатление, что обязательным документ станет для субъектов КИИ с ЗОКИИ и для тех, кто попал под действие Указа Президента № 250.
P.S.: поучаствовать в обсуждении вопросов, связанных с рассматриваемым методическим документом, можно здесь. | 8 906 | 90 | Loading... |
20 📣 Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов КИИ
Опубликована Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации, предназначенная для определения показателя, характеризующего текущее состояние технической защиты информации, не составляющей государственную тайну, и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, его нормированное значение, а также порядок его расчета. | 12 503 | 517 | Loading... |
21 📹 Запись вебинара «Информационные системы и ОКИИ в здравоохранении: актуальные вопросы и изменения в законодательстве».
Основные поднятые темы:
• Проект изменений 187-ФЗ;
• АСУ, ИС, ИТКС, как объекты КИИ в сфере здравоохранения;
• Типовые объекты КИИ в сфере здравоохранения.
P.S.: смотреть лучше с третьей минуты. | 9 625 | 156 | Loading... |
22 🏛 149-ФЗ и ГИС: будет ясность?
Минцифры представило для общественного обсуждения очередной проект Федерального закона «Об информации, информационных технологиях и о защите информации», а также в статью 15 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», касающийся терминологии информационных систем.
Законопроектом, например, предлагается:
1. Скорректировать термин «информационная система».
2. Установить разновидности ИС:
➡️федеральные государственные информационные системы;
➡️региональные государственные информационные системы;
➡️муниципальные информационные системы;
➡️иные информационные системы.
3. Ввести термины «цифровая платформа», «государственные цифровые платформы», «электронный сервис», «облачные услуги по предоставлению вычислительных ресурсов» и «облачные услуги по предоставлению программного обеспечения».
Напомню, что это не первая подобная попытка Минцифры. С ранними аналогичными инициативами Министерства можно ознакомиться здесь и здесь. | 8 934 | 85 | Loading... |
📣 Порядок сертификации процессов безопасной разработки ПО СрЗИ
Сегодня вступает в силу приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
🎓 Коллеги из RPPA.pro запустили линейку образовательных продуктов, нацеленных на прокачку технических скиллов для спецов из Legal in Tech.
Например, Privacy Engineering, чтобы уже наконец, разобраться в технологиях обработки данных и рисках приватности.
Или Privacy Fundamentals, который выстраивает четкое понимание приватности, и зачем мы вообще этим занимаемся.
Еще есть образовательные продукты и бесплатные материалы в канале.
Программы строятся на опыте 1300 экспертов, собственных базах знаний и исследованиях.
Privacy GDPR Russia
О приватности с душой и со вкусом. При поддержке RPPA.pro, под контролем Крис, @krakozubla. Мы создаем контент, а не копируем🩵 RPPA.pro | PPCP.pro | EDPC.network
Repost from Privacy Advocates
🏛️ Минцифры предложило поправки в законопроект о штрафах за утечки
🔸Минцифры подготовило поправки ко второму чтению рассматриваемого Госдумой законопроекта об ужесточении ответственности за утечки. Предлагается, в частности, снижать размер оборотного штрафа при соблюдении оператором некоторых требований. Среди них:
- осуществление оператором ежегодных расходов в течение не менее трех лет, предшествующих утечке, на мероприятия по обеспечению информационной безопасности;
- выплаты в связи с утечками данных не менее чем 80% от общего количества пострадавших граждан, которые выразили готовность принять такую компенсацию.
🔸При этом оператор должен соблюдать требования к защите персональных данных при их обработке в информационных системах, и это должно быть документально подтверждено, соответствующие мероприятия должны быть проведены не ранее чем за год до момента выявления административного правонарушения. Также не должно быть обстоятельств, отягчающих административную ответственность за утечки.
🔸Согласно предлагаемым поправкам размер оборотного штрафа может быть снижен только при условии выполнения всех вышеозвученных условий одновременно.
🔸Осуществление предлагаемой денежной выплаты (в случае принятия соответствующего решения оператором) повлечет необходимость уведомления граждан о случившимся инциденте и возможности получения соответствующей выплаты.
Photo unavailableShow in Telegram
⚡️Серия бесплатных вебинаров для субъектов КИИ: «Нюансы регистрации ПО в Реестре российского ПО»
Программа:
📌 4 июня – Что должны увидеть Минцифры на вашем сайте?
📆 7 июня – Как подтвердить наличие\отсутствие иностранного участия в компании?
📌 11 июня – Как подтвердить сведения о выплатах в пользу иностранных лиц?
📆 14 июня – Что такое экземпляр ПО, и как его предоставить?
Время: в 12:00 по МСК
Место: телеграм-канал @aglegal
Реестр российского ПО - горячая тема среди разработчиков для компаний критической инфраструктуры. В вебинарах будут подниматься самые сложные вопросы о включении ПО в реестр.
🛡 Требования о защите информации для провайдеров хостинга для ГИС/МИС
Для общественного обсуждения представлен проект приказа Минцифры «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети «Интернет», операторам государственных информационных систем, муниципальных информационных систем, информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений».
Repost from Рубикон
Photo unavailableShow in Telegram
⚡️С огромной радостью сообщаем о том, что 30 мая состоится второй Межрегиональный круглый стол по вопросам информационной безопасности в г. Ростове-на-Дону!
📍Где и когда: 30 мая с 9:00 до 17:00,
г. Ростов-на-Дону, ул. Б.Садовая, 69.
Точка Кипения РГЭУ РИНХ.
❓О чем поговорим:
- способы противостояния угрозам;
- защита государственных информационных систем, объектов КИИ и информационных систем персональных данных;
- изменения законодательства ИБ и другие темы.
Как и в прошлом году, проведем рубрику «Вопрос-ответ», где вы сможете задать волнующие вопросы регуляторам, вендорам и коллегам.
В рамках подготовки к мероприятию собираем коллекцию лучших кейсов по информационной безопасности среди участников. Все кейсы будут оформлены и размещены в отдельном разделе сайта мероприятия.
Организатор: ООО «Рубикон»
Партнеры:
✅ООО «Код Безопасности», один из лидеров в сфере отечественной разработки средств защиты информации.
✅АО «Аксофт», глобальный эксперт в области дистрибуции информационных технологий и сервисов.
✅РГЭУ РИНХ, учебное заведение высшего профессионального образования, входящее в рейтинг лучших ВУЗов страны
Представители государственных органов:
✅Управление ФСТЭК России по Южному и Северо – Кавказскому федеральным округам
✅Управление Роскомнадзора по Ростовской области
✅Министерство цифрового развития, информационных технологий и связи Ростовской области
✅Центр управления регионом Ростовской области
И это еще не конечный список.
В этом году планируем расширить список участников, привлечь новых докладчиков, а также организовать онлайн-трансляцию.
Ознакомиться с программой и зарегистрироваться вы можете на странице мероприятия.
Приходите, у нас интересно! Будем рады видеть вас!
📕 Актуализированная система нормативных правовых актов, методических и информационных документов в области обеспечения безопасности КИИ.
Система нормативных правовых, методических и информационных документов по проблематике обеспечения безопасности критической информационной инфраструктуры Российской Федерации
Система НПА по КИИ (Версия по состоянию на 20.05.2024)
🟡 Импортонезависимость ЗОКИИ финансовых организаций
Представлены указания Банка России, устанавливающие порядок осуществления контроля и мониторинга за соблюдением финансовыми организациями реализации планов мероприятий по переходу на преимущественное использование российского программного обеспечения на ЗОКИИ:
• Указание Банка России от 05.02.2024 № 6679-У «О порядке осуществления Банком России контроля и мониторинга за соблюдением кредитными организациями реализации планов мероприятий кредитных организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на таких объектах».
• Указание Банка России от 05.02.2024 № 6680-У «О порядке осуществления Банком России контроля и мониторинга за соблюдением некредитными финансовыми организациями реализации планов мероприятий некредитных финансовых организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на таких объектах».
❓Информация о местоположении абонента – ПДн?
Пост выходного дня с опросом на тему, мол имеет ли место обработка и передача ПДн в описанной ситуации?
Возможных нарушителей в лесах Подмосковья будут вычислять по сигналам телефонов - Центр || Интерфакс Россия
Красногорск. 16 мая. ИНТЕРФАКС - Система обнаружения больших групп людей по сигналам мобильных телефонов начала работу в лесничест... читать далее на "Интерфакс-Россия"
>> Да <<
>> Нет <<