🛡Приоритеты ТК 362
В соответствии с решением председателя технического комитета по стандартизации «Защита информации» (ТК 362) от 18.01.2022 № 97 «О реорганизации рабочей группы, назначении руководителя и утверждения состава рабочей группы» приоритетными направлениями работы рабочей группы 1 комитета определены:
— Разработка классификации средств защиты информации.
— Пересмотр национальных стандартов:
• ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества».
• ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения».
• ГОСТ Р 53113.2-2009 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов».
Источник: решение председателя технического комитета по стандартизации «Защита информации» (ТК 362) от 18.01.2022 № 97 «О реорганизации рабочей группы, назначении руководителя и утверждения состава рабочей группы».
В соответствии с решением председателя технического комитета по стандартизации «Защита информации» (ТК 362) от 18.01.2022 № 97 «О реорганизации рабочей группы, назначении руководителя и утверждения состава рабочей группы» приоритетными направлениями работы рабочей группы 1 комитета определены:
— Разработка классификации средств защиты информации.
— Пересмотр национальных стандартов:
• ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества».
• ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения».
• ГОСТ Р 53113.2-2009 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов».
Источник: решение председателя технического комитета по стандартизации «Защита информации» (ТК 362) от 18.01.2022 № 97 «О реорганизации рабочей группы, назначении руководителя и утверждения состава рабочей группы».
👍1
Forwarded from Пост Лукацкого
Росстандарт утвердил ГОСТ Р 59548-2022 "Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации", который был введен в действие с 1-го февраля 2022 года.
fstec.ru
Приказ от 13 января 2022 г. N 2-ст - ФСТЭК России
Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК России)
‼️НКЦКИ предупреждает об угрозе внедрения ВПО под видом обновлений используемого ПО
Национальным координационным центром по компьютерным инцидентам опубликован бюллетень, в котором информируется об
увеличении количества случаев внедрения вредоносного программного обеспечения посредством подмены или
внесения изменений в пакеты обновлений различного популярного программного обеспечения. В целях нивелирования данной угрозы НКЦКИ рекомендует использовать только лицензионное программное обеспечение и получать обновления только с официальных сайтов производителей.
Напомню, что в общем контроль за обновлениями ПО предписывается великолепной четверкой приказов ФСТЭК России (17/21/31/239), и в 31 и 239 приказах ФСТЭК России прямо предписывается получать обновления только из доверенных источников, что должно быть также отражено в соответствующих организационно-распорядительных документах.
Национальным координационным центром по компьютерным инцидентам опубликован бюллетень, в котором информируется об
увеличении количества случаев внедрения вредоносного программного обеспечения посредством подмены или
внесения изменений в пакеты обновлений различного популярного программного обеспечения. В целях нивелирования данной угрозы НКЦКИ рекомендует использовать только лицензионное программное обеспечение и получать обновления только с официальных сайтов производителей.
Напомню, что в общем контроль за обновлениями ПО предписывается великолепной четверкой приказов ФСТЭК России (17/21/31/239), и в 31 и 239 приказах ФСТЭК России прямо предписывается получать обновления только из доверенных источников, что должно быть также отражено в соответствующих организационно-распорядительных документах.
Forwarded from Ivan Begtin (Ivan Begtin)
... Дмитрий Данилов сообщил, что в дальнейшем планируется расширить функции нового подразделения, поручив ему надзор за исполнением законодательства о защите персональных данных граждан и информации ограниченного доступа, в том числе хранящейся в автоматизированных информационных системах государственных органов, корпораций с госучастием, а также научных учреждений и организаций. Соответствующие возможности прокурорам открывает внесенный в Госдуму законопроект, позволяющий в рамках надзора получать персональные данные. Его уже одобрил думский комитет по безопасности и противодействию коррупции.
В статье Коммерсанта [1] о появлении Отдела по надзору за исполнением законов в сфере информационных технологий и защиты информации внутри Генеральной прокуратуры РФ. Я бы ожидал в 2022 году больше уголовных дел в отношении системных интеграторов и появления аналогичных отделов в прокуратурах субъектов федерации, с фокусом на региональные ИТ.
Ссылки:
[1] https://www.kommersant.ru/doc/5216010
#digital #russia
В статье Коммерсанта [1] о появлении Отдела по надзору за исполнением законов в сфере информационных технологий и защиты информации внутри Генеральной прокуратуры РФ. Я бы ожидал в 2022 году больше уголовных дел в отношении системных интеграторов и появления аналогичных отделов в прокуратурах субъектов федерации, с фокусом на региональные ИТ.
Ссылки:
[1] https://www.kommersant.ru/doc/5216010
#digital #russia
Коммерсантъ
Искусственный интеллект попал под надзор
Генпрокуратура взяла под контроль развитие «Цифровой экономики»
ТБ-Форум 2022. Он-Лайн трансляция конференции «Актуальные вопросы защиты информации»: https://events.webinar.ru/26288589/10429919
Конференция начинается в 10.00, но мне кажется, что конструктивное вещание начнётся чуть позже ввиду пропускного режима.
Конференция начинается в 10.00, но мне кажется, что конструктивное вещание начнётся чуть позже ввиду пропускного режима.
Webinar.ru
АКТУАЛЬНЫЕ ВОПРОСЫ ЗАЩИТЫ
ИНФОРМАЦИИ
ИНФОРМАЦИИ
ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». Д. Шевцов:
Выступление по теме «Совершенствование требований по технической защите информации».
Основные недостатки при подготовке ИС к аттестации и непосредственно аттестации:
— Невыполнение требований ТЗ.
— Применение несертифицированных СрЗИ там, где обязательно применение сертифицированных СрЗИ.
— Невыполнение со стороны органов по аттестации работ по выявлению уязвимостей и тестированию на проникновение в ходе проведения аттестационных мероприятий.
Выступление по теме «Совершенствование требований по технической защите информации».
Основные недостатки при подготовке ИС к аттестации и непосредственно аттестации:
— Невыполнение требований ТЗ.
— Применение несертифицированных СрЗИ там, где обязательно применение сертифицированных СрЗИ.
— Невыполнение со стороны органов по аттестации работ по выявлению уязвимостей и тестированию на проникновение в ходе проведения аттестационных мероприятий.
ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». Д. Шевцов:
Выступление по теме «Совершенствование требований по технической защите информации».
Анонсирована разработка Требований по безопасности к средствам контейнеризации.
Выступление по теме «Совершенствование требований по технической защите информации».
Анонсирована разработка Требований по безопасности к средствам контейнеризации.
ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». Д. Шевцов:
Выступление по теме «Совершенствование требований по технической защите информации».
Лицензиатам ФСТЭК России настоятельно рекомендовано ознакомиться и приобрести оригиналы этих утверждённых национальных стандартов https://xn--r1a.website/cyberconf/6372
Выступление по теме «Совершенствование требований по технической защите информации».
Лицензиатам ФСТЭК России настоятельно рекомендовано ознакомиться и приобрести оригиналы этих утверждённых национальных стандартов https://xn--r1a.website/cyberconf/6372
Telegram
ISACARuSec in Cyberconf
ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». И. Гефнер:
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Типовые недостатки по представленным моделям угроз:
• Не в полной мере оцениваются нарушители и негативные последствия.
• Внутренние пользователи не признаются актуальными нарушителями.
• Не в полном объёме представляется описание сценариев реализации угроз безопасности информации.
• Не оцениваются угрозы безопасности, связанные с технологией контейнеризации.
• Не оцениваются угрозы для ЦОД (если ИС размещается в ЦОД).
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Типовые недостатки по представленным моделям угроз:
• Не в полной мере оцениваются нарушители и негативные последствия.
• Внутренние пользователи не признаются актуальными нарушителями.
• Не в полном объёме представляется описание сценариев реализации угроз безопасности информации.
• Не оцениваются угрозы безопасности, связанные с технологией контейнеризации.
• Не оцениваются угрозы для ЦОД (если ИС размещается в ЦОД).
⚡️ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». И. Гефнер:
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Модель угроз можно и нужно вести в электронном виде.
Что, в целом, не противоречит и предусмотрено в самой Методике.
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Модель угроз можно и нужно вести в электронном виде.
Что, в целом, не противоречит и предусмотрено в самой Методике.
ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». И. Гефнер:
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Планируемые изменения в Методику оценки угроз безопасности информации:
— Корректировка подхода моделирования угроз при размещении ИС на инфраструктуре поставщика соответствующих услуг.
— Уточнение процедуры определения негативных последствий.
— Уточнение процедуры определения объектов воздействия.
— Изменение процедуры определения актуальных угроз.
— Автоматизация процесса формирования перечня возможных угроз.
— Доработка БДУ.
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Планируемые изменения в Методику оценки угроз безопасности информации:
— Корректировка подхода моделирования угроз при размещении ИС на инфраструктуре поставщика соответствующих услуг.
— Уточнение процедуры определения негативных последствий.
— Уточнение процедуры определения объектов воздействия.
— Изменение процедуры определения актуальных угроз.
— Автоматизация процесса формирования перечня возможных угроз.
— Доработка БДУ.
ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». И. Гефнер:
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Соотношение потенциала нарушителей (из БДУ) и уровня возможностей нарушителя (из Методики):
• Базовый (БДУ) — Базовый (Методика).
• Средний (БДУ) — Базовый с повышенными возможностями или средний (Методика).
• Высокий (БДУ) — Высокий (Методика).
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Соотношение потенциала нарушителей (из БДУ) и уровня возможностей нарушителя (из Методики):
• Базовый (БДУ) — Базовый (Методика).
• Средний (БДУ) — Базовый с повышенными возможностями или средний (Методика).
• Высокий (БДУ) — Высокий (Методика).
⚡️ ТБ-Форум 2022. Конференция «Актуальные вопросы защиты информации». И. Гефнер:
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Модель угроз безопасности информации должна иметь ограничительную пометку.
Доклад на тему «Практика реализации методики оценки угроз безопасности информации».
Модель угроз безопасности информации должна иметь ограничительную пометку.
Документальное сопровождение процесса лицензирования ФСБ России
Официально опубликован приказ ФСБ России от 31.01.2022 № 35 «Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-Ф3 «О лицензировании отдельных видов деятельности», который, в том числе, утверждает оценочные листы, применяемые при осуществлении оценки соответствия соискателей (лицензиатов) лицензионным требованиям, например, на соответствие ПП-313.
Официально опубликован приказ ФСБ России от 31.01.2022 № 35 «Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-Ф3 «О лицензировании отдельных видов деятельности», который, в том числе, утверждает оценочные листы, применяемые при осуществлении оценки соответствия соискателей (лицензиатов) лицензионным требованиям, например, на соответствие ПП-313.
Консультативный совет при уполномоченном органе по защите прав субъектов ПДн и методические рекомендации по обработке биометрических ПДн
Роскомнадзор информирует о результатах недавно состоявшегося заседания консультативного совета при уполномоченном органе по защите прав субъектов персональных данных, в ходе которого были озвучены итоги деятельности Роскомнадзора по защите прав граждан в области персональных данных за 2021 год.
• В рамках государственного контроля за соответствием обработки персональных данных требованиям законодательства ведомством проведено почти 4000 контрольных мероприятий, в 80% случаев найдены нарушения требований к обработке персональных данных.
• За год составлено 225 протоколов об административных правонарушениях в области персональных данных, в основном за незаконную обработку персональных данных или за неуничтожение таких незаконно обрабатываемых данных.
Также члены Консультативного совета обсудили проблемные вопросы применения положений законодательства о персональных данных, а также применения в деятельности операторов рекомендаций совместного информационного письма Роскомнадзора и Банка России в части требований к обработке персональных данных граждан финансовыми организациями.
⚠️ По итогам заседания было принято решение создать рабочую группу в рамках совета по разработке методических рекомендаций Роскомнадзора операторам по вопросу обработки биометрических персональных данных.
Источник: https://rkn.gov.ru/news/rsoc/news74068.htm
Роскомнадзор информирует о результатах недавно состоявшегося заседания консультативного совета при уполномоченном органе по защите прав субъектов персональных данных, в ходе которого были озвучены итоги деятельности Роскомнадзора по защите прав граждан в области персональных данных за 2021 год.
• В рамках государственного контроля за соответствием обработки персональных данных требованиям законодательства ведомством проведено почти 4000 контрольных мероприятий, в 80% случаев найдены нарушения требований к обработке персональных данных.
• За год составлено 225 протоколов об административных правонарушениях в области персональных данных, в основном за незаконную обработку персональных данных или за неуничтожение таких незаконно обрабатываемых данных.
Также члены Консультативного совета обсудили проблемные вопросы применения положений законодательства о персональных данных, а также применения в деятельности операторов рекомендаций совместного информационного письма Роскомнадзора и Банка России в части требований к обработке персональных данных граждан финансовыми организациями.
⚠️ По итогам заседания было принято решение создать рабочую группу в рамках совета по разработке методических рекомендаций Роскомнадзора операторам по вопросу обработки биометрических персональных данных.
Источник: https://rkn.gov.ru/news/rsoc/news74068.htm
Forwarded from Пост Лукацкого
Задал я тут Минцифре официальный вопрос о том, надо ли аккредитовываться компаниям, которые:
- используют СКУДы с идентификацией и аутентификацией по лицу
- используют пропуска с фотографией сотрудников и посетителей, которые затем проверяются на входе
- используют отпечатки пальцев для аутентификации в ноутбуках.
Запросов было отправлено три, ответ получен всего один; размытый донельзя. Видно, что Минцифры очень не хочет давать четкий и однозначный ответ на простые вопросы, так как этот ответ повлечет за собой очень много разных и серьезных последствий, которые просто никто, как обычно, не оценивал при принятии поправок в ФЗ-149. Не хочется так думать, но судя по всему, для всех трех описанных выше ситуаций нужна аккредитация в Минцифре для обработки биометрических персональных данных.
Как интегрировать проверку отпечатков пальцев в ноутбуке с ЕБС я даже и не знаю 😞
- используют СКУДы с идентификацией и аутентификацией по лицу
- используют пропуска с фотографией сотрудников и посетителей, которые затем проверяются на входе
- используют отпечатки пальцев для аутентификации в ноутбуках.
Запросов было отправлено три, ответ получен всего один; размытый донельзя. Видно, что Минцифры очень не хочет давать четкий и однозначный ответ на простые вопросы, так как этот ответ повлечет за собой очень много разных и серьезных последствий, которые просто никто, как обычно, не оценивал при принятии поправок в ФЗ-149. Не хочется так думать, но судя по всему, для всех трех описанных выше ситуаций нужна аккредитация в Минцифре для обработки биометрических персональных данных.
Как интегрировать проверку отпечатков пальцев в ноутбуке с ЕБС я даже и не знаю 😞
Пост Лукацкого
Задал я тут Минцифре официальный вопрос о том, надо ли аккредитовываться компаниям, которые: - используют СКУДы с идентификацией и аутентификацией по лицу - используют пропуска с фотографией сотрудников и посетителей, которые затем проверяются на входе - используют…
📎В дополнение к посту Алексея Лукацкого прикладываю ещё один ответ Минцифры по теме биометрии.
🧐Особое внимание привлёк заключительный абзац.
Спасибо подписчику В.Корелиной за предоставленный материал.
🧐Особое внимание привлёк заключительный абзац.
Спасибо подписчику В.Корелиной за предоставленный материал.
Листок бюрократической защиты информации
📎В дополнение к посту Алексея Лукацкого прикладываю ещё один ответ Минцифры по теме биометрии. 🧐Особое внимание привлёк заключительный абзац. Спасибо подписчику В.Корелиной за предоставленный материал.
Назревает коллизия?
https://xn--r1a.website/Persdata/4664
https://xn--r1a.website/Persdata/4664
Telegram
Персональные_данные
Минспорта подготовило проект постановления, которое предполагает оснащение стадионов системой видеонаблюдения для биометрической идентификации болельщиков.
Зрителей же хотят обязать проходить идентификацию и аутентификацию по FanID и не только.
Между тем…
Зрителей же хотят обязать проходить идентификацию и аутентификацию по FanID и не только.
Между тем…
🖋Вредные советы: оформляем согласие на обработку персональных данных
Помните книгу «Вредные советы» Г.Остера? Вот и преподаватель Moscow Digital School и DPO, старший юрист компании Joom Олег Блинов решил поделиться вредными советами на тему «Как оформить согласие на обработку персональных данных?»:
1. Впишите все согласия в политику конфиденциальности. Пусть пользователь разбирается сам.
2. В мобильном приложении запросите все разрешения на доступ сразу при запуске. Главное – не объясняйте, зачем они вам.
3. Не давайте пользователю зарегистрироваться, пока он не согласится на рекламную рассылку. Сам потом поблагодарит.
4. Пишите просто «вы даете согласие на обработку данных». Никаких пояснений.
5. Согласие нужно брать сразу на 50 лет. А если проект большой – на 70.
6. В согласии должно быть как можно больше юридических терминов. Оно же для Роскомнадзора, а не для пользователей.
Делаете так? 😏 Надеюсь, что нет.
А как правильно юристу работать с данными и какие навыки для этого нужны, можно узнать на новом потоке курса «Юрист по работе с данными» от Moscow Digital School.
Старт потока: 24 марта.
⚠️ Внимание! Обучение платное, но ещё можно успеть записаться на курс со скидкой 10% по промокоду: «BUREAUCRATICSECURITY».
➡️ Подробнее узнать о курсе и подать заявку на обучение можно здесь.
Помните книгу «Вредные советы» Г.Остера? Вот и преподаватель Moscow Digital School и DPO, старший юрист компании Joom Олег Блинов решил поделиться вредными советами на тему «Как оформить согласие на обработку персональных данных?»:
1. Впишите все согласия в политику конфиденциальности. Пусть пользователь разбирается сам.
2. В мобильном приложении запросите все разрешения на доступ сразу при запуске. Главное – не объясняйте, зачем они вам.
3. Не давайте пользователю зарегистрироваться, пока он не согласится на рекламную рассылку. Сам потом поблагодарит.
4. Пишите просто «вы даете согласие на обработку данных». Никаких пояснений.
5. Согласие нужно брать сразу на 50 лет. А если проект большой – на 70.
6. В согласии должно быть как можно больше юридических терминов. Оно же для Роскомнадзора, а не для пользователей.
Делаете так? 😏 Надеюсь, что нет.
А как правильно юристу работать с данными и какие навыки для этого нужны, можно узнать на новом потоке курса «Юрист по работе с данными» от Moscow Digital School.
Старт потока: 24 марта.
⚠️ Внимание! Обучение платное, но ещё можно успеть записаться на курс со скидкой 10% по промокоду: «BUREAUCRATICSECURITY».
➡️ Подробнее узнать о курсе и подать заявку на обучение можно здесь.
Тестирование на уязвимости систем головного удостоверяющего центра
Минцифры начинает модернизацию головного удостоверяющего центра.
Минцифры начинает модернизацию головного удостоверяющего центра.
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации
Минцифры начинает модернизацию головного удостоверяющего центра