📣Новостной дайджест прошедшей недели

🗣При Минцифры России будет создана рабочая группа по разработке Цифрового кодекса
Кодекс будет представлять собой систематизированный свод законов, что позволит комплексно прописать все базовые понятия и явления по каждому из направлений: связь, информация, ПДн, интернет, СМИ.

🗣Локализация производства оборудования может стать одним из критериев оценки технологической независимости КИИ
По мнению экспертов, это позволит достичь технологического суверенитета в перспективе 2030 года.

🗣В Госдуме разработали пакет законопроектов о легализации «белых хакеров»
Инициатива предполагает внесение поправок в УК РФ, направленных на исключение возможных рисков привлечения к уголовной ответственности лиц, тестирующих защищенность информсистем.

🗣В России предложили изменить порядок согласия на обработку персональных данных
В Совете Федерации обсуждают идею разделения пользовательского соглашения и согласия на обработку ПДн.

🗣Генпрокуратура сообщила о росте числа дистанционных мошенничеств на 40%
За восемь месяцев 2023 года было совершено 226,8 тыс. таких преступлений, отметили в ведомстве.

🗣Использование VPN-сервисов при вхождении в аккаунт госуслуг может привести к хищению ПДн
Член IT-комитета Госдумы рассказал, как уберечь свои персональные данные.

💬tg_AC

⚡️Список интересных отраслевых мероприятий, которые пройдут в ноябре:

🌐 CNews Forum «Информационные технологии завтра»
1 ноября, Москва
Цель мероприятия – предоставить независимую площадку для обсуждения ключевых вопросов и актуальных проблем рынка ИКТ, инновационных технологий, подходов к реализации ИТ-проектов.

🌐 CISO Eurasia 2023
3 ноября, Алматы, Казахстан
Форум посвящен развитию роли CISO, новым вызовам ИБ, Zero Trust, безопасности в облаке, безопасности приложений и данных, управлению уязвимостями, обнаружению и реагированию на угрозы.

🌐 AM Camp
8—10 ноября, Подмосковье
На встрече эксперты обсудят ИТ- и ИБ-тренды, которые будут формировать новый облик рынка кибербезопасности в ближайшем будущем.

🌐 Форум инновационных финансовых технологий Finopolis
8—10 ноября, Москва
На встрече пройдут обсуждения тенденций и возможностей применения современных цифровых технологий в финансовом секторе.

🌐 Форум кибербезопасности государства «ЦИФРОТЕХ»
9—10 ноября, Санкт-Петербург
Мероприятие станет площадкой для выработки решений и рекомендаций по вопросам обеспечения национальной безопасности в условиях глобальных цифровых преобразований.

🌐 ИТ-Диалог
9—11 ноября, Санкт-Петербург
Ключевой темой форума будет кибербезопасность государства и бизнеса. Главная цель мероприятия — обмен практическим опытом цифровой трансформации между регионами и отраслями.

🌐 SOC Форум
14—15 ноября, Москва
Место встречи экспертов по кибербезопасности. Мероприятие пройдет как в офлайн, так и в онлайн-форматах.

🌐 TAdviser SummIT
29 ноября, Москва
Главной темой докладов станет повышение эффективности бизнеса и государства с помощью технологий. Ведущие ИТ-компании расскажут о передовых разработках, которые готовятся к выходу на рынок.

🌐 Технологии SOC
30 ноября, Москва
Эксперты поделятся своим опытом и подходами к интеграции и применению актуальных технологий SOC.

💬tg_AC

​​🔗 Индикаторы риска нарушений в сфере электронной подписи

Для общественного обсуждения представлен проект приказа Минцифры «О внесении изменений в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 7 декабря 2021 г. № 1312».

⚡️Уже завтра — новый выпуск подкаста "Безопасный выход".

Обсудим трансформацию ИБ в бизнес-функцию.

Не пропустите!🔔
#подкаст

🫥Определение объема затрат на операционную надежность.

➡️Этап третий — шкала критичности.

Первый этап
Второй этап

Для формирования шкалы критичности составьте перечень последствий, которые могут наступить в случае инцидента операционной надежности, и присвойте каждому последствию уровень критичности воздействий.

В качестве показателей критичности можно использовать денежные или процентные суммы, связанные с получением дохода или с его возможной потерей. Помимо этого можно использовать качественные характеристики, например, показатели, связанные с репутационным ущербом. К этой шкале всегда можно вернуться и актуализировать ее в зависимости от новых факторов. #опернадежность

💬tg_AC

⚡️Новый выпуск подкаста «Безопасный выход» уже на YouTube!

В этот раз ведущие Анастасия Харыбина, Тимофей Матреницкий и приглашенный независимый эксперт Фаина Митрофанова говорили о том, каким образом можно трансформировать ИБ в полноценную бизнес-функцию организации.

Участники подкаста обсудили:

⏭ что (или кто) может стать катализатором таких изменений?

⏭ когда стоит начинать переход от одного уровня зрелости к другому?

⏭ какие метрики помогут оценить эффективность ИБ (что оценивать - поддержание процесса или достижение бизнес-целей)?

⏭ кто в организации должен выполнять функцию ИБ (нужно распределять или объединять)?


Смотрите и слушайте, где вам будет удобно:

📹 YouTube

💬 VK Видео

🎧 Podster


Приятного просмотра!
#подкаст

🫥Определение объема затрат на операционную надежность.

➡️Четвертый этап — обследование

Первый этап
Второй этап
Третий этап

На практике данный этап выходит самым ресурсоемким и длительным. Он включает в себя картирование основных бизнес-процессов и исследование технологических участков. На этом этапе уже установлено, как то или иное событие скажется на бизнес-процессах компании.

Бизнес-процесс неразрывно связан с определенными информационными системами, которые помогают его осуществлять. Информационные системы, в свою очередь, напрямую зависят от той инфраструктуры, на которой они развернуты. Если происходит какое-то негативное событие, оно может стать причиной деградации или даже полной остановки бизнес-процесса, что приводит к потере доходов финансовой организацией.

✅Для качественного обеспечения операционной надежности, выявите взаимосвязи между бизнес-процессами, информационными системами, которые их обслуживают, и инфраструктурой, на которой все это развернуто. #опернадежность

💬tg_AC

🫥Определение объема затрат на операционную надежность.

➡️ Пятый этап — анализ данных

Первый этап
Второй этап
Третий этап
Четвёртый этап

На данном этапе проводится анализ последствий негативных событий и ранжирование возможного ущерба. Можно изучить опыт российских и зарубежных компаний: посмотреть причины и размеры ущербов, которые понесли финансовые организации за последние несколько лет.

▶️Следующий шаг — расчет пороговых показателей (целевое временное восстановление, допустимое время простоя и пр.) и результаты обследования. Анализируем, как то или иное событие скажется на ущербе и к каким последствиям это приведет.

▶️После этого финансовой организации будет полезно ранжировать возможный для себя ущерб. И не только посчитать финансовый ущерб по критичности, но и понять, примерно какие суммы может потерять организация.

▶️Далее продукты ранжируются по пороговым показателям, а бизнес-процессы классифицируются по критичности. Вся полученная информация может быть оформлена в табличном виде либо в любом удобном фреймворке. #опернадежность

💬tg_AC

🫥Что стоит учесть при проведении отраслевого мониторинга?

Согласно постановлению Правительства РФ №127 мониторинг осуществляется регулярно путем запроса и оценки информации о сроках представления, актуальности и достоверности сведений о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий.

Проверяющие эксперты имеют право оценивать перечисленную выше информацию как удаленно, так и непосредственно явившись на ревизию в организацию субъекта.

Если к вам «постучались» с такой проверкой, то:

➡️ проверяйте достоверность факта отправки письма с уведомлением о проверке КИИ, обратившись по официальным контактам проверяющей организации;

➡️ заранее скоординируйте и организуйте режим работы персонала вашей организации, участвующего в проверке КИИ. Такие проверки, как правило, запланированы. Узнать о них можно на сайте ФСТЭК России, где публикуется информация о плановых проверках;

➡️ если у субъекта есть вышестоящая ведомственная организация, то и она должна быть в курсе мониторинга (и даже являться ее инициатором). Если же к вам пришли представители ФСТЭК России, то такие проверки должны сопровождаться предварительным уведомлением по почте или по телефону. Более того, у сотрудников ФСТЭК России должны быть при себе служебные удостоверения, подтверждающие причастность сотрудника к органу власти. #КИИ

Подробнее о проведении отраслевого мониторинга в КИИ — в статье нашего эксперта Алексея Филиппова.

💬tg_AC

🫥Определение объема затрат на операционную надежность.

➡️Заключительный этап — подведение итогов

Первый этап
Второй этап
Третий этап
Четвёртый этап
Пятый этап

В рамках последнего этапа разрабатываются меры по обеспечению непрерывности бизнеса и корректируется план обеспечения непрерывности и восстановления деятельности (ОНиВД) на основе полученных данных.

Также рекомендуем оформить аналитический отчет для руководства с указанием мер, последовательности их внедрения и их стоимости, а также посмотреть, какие из предложенных мер можно отнести к инвестиционной части, а какие списать как операционные расходы.


💛Подведем итог: при применении описанного аналитического подхода к определению затрат на опернаженость расходы могут начать восприниматься как инвестиции в развитие финансовой организации. Но для этого полезно провести большую и сложную работу, а также подняться на уровень бизнес-процессов всей организации, чтобы сделать ее качественно.

Описанный анализ — это лишь один из элементов системы управления операционной надежностью, его можно использовать для развития IT-инфраструктуры и обоснования выделения средств на ее модернизацию. Результаты такого анализа наглядно показывают топ-менеджменту финансовых организаций, как связаны требуемые операционные расходы с возможным ущербом или, наоборот, с увеличением доходов и прибыли. #опернадежность

💬tg_AC

💠Что делать при недостатке ресурсов для реализации проекта из-за пересечения с другими проектами?

Бывают ситуации, когда на запланированные ранее работы неожиданно накладывается крупный проект. Его источником может стать распоряжение руководства, регуляторика, крупный инцидент, случившийся на предприятии или в отрасли. В данном случае чаще всего организация начинает перераспределение ресурсов с ранее запланированных проектов.

Так как всегда есть вероятность столкнуться с таким риском на практике, стоит заранее предусмотреть меры по его минимизации.

Возможные варианты действий:

⏩поддерживать ресурсный план в актуальном состоянии;
⏩закладывать 5-10% запас ресурсов в план;
⏩высчитывать коэффициент неопределенности и оставлять резерв на непредвиденные ситуации;
⏩рассмотреть возможность передачи части задач на аутсорсинг (для экономии времени рекомендуем держать в актуальном состоянии список подрядчиков);
⏩в крайних случаях согласовать переработки для сотрудников;
⏩пожертвовать некоторыми задачами в менее приоритетных проектах. #практика_РП


Расскажите в комментариях, приходилось ли сталкиваться с подобным риском? Как вы действовали?

💬tg_AC