BIS Summit 2020
В.Лютиков, КИИ
Ведётся разработка методического документа по расчёту показателей критериев значимости.
Никаких перемен относительно проекта Методики моделирования угроз безопасности информации не происходило. Работы ведутся, предложений поступило много, все рассмотрены, но требуются и внутренние, и внешние обсуждения.
В.Лютиков, КИИ
Ведётся разработка методического документа по расчёту показателей критериев значимости.
Никаких перемен относительно проекта Методики моделирования угроз безопасности информации не происходило. Работы ведутся, предложений поступило много, все рассмотрены, но требуются и внутренние, и внешние обсуждения.
🏢 Государственные услуги от ФСТЭК
Под начало прошедших выходных ФСТЭК России представлены для общественного обсуждения идентичные проекты ведомственных приказов, предусматривающих внесение изменений в:
1. Административный регламент
Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134.
2. Административный регламент
Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом
ФСТЭК России от 17 июля 2017 г. № 133.
———————————————————
Странно получается. Данные изменения обусловлены переходом на реестровую модель предоставления государственных услуг, иными словами это переход от предоставления результата госуслуги в виде бумажного документа к записи в электронном реестре. Вроде как все правильно, цифровизация, прям как с электронными трудовыми книжками. Вот только в обоих административных регламентах планируется предоставление соискателем лицензии «копий трудовых книжек или сведений о трудовой деятельности на бумажном носителе». Куда же пропал вариант с формой электронного документа, подписанного усиленной квалифицированной электронной подписью?
Под начало прошедших выходных ФСТЭК России представлены для общественного обсуждения идентичные проекты ведомственных приказов, предусматривающих внесение изменений в:
1. Административный регламент
Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134.
2. Административный регламент
Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом
ФСТЭК России от 17 июля 2017 г. № 133.
———————————————————
Странно получается. Данные изменения обусловлены переходом на реестровую модель предоставления государственных услуг, иными словами это переход от предоставления результата госуслуги в виде бумажного документа к записи в электронном реестре. Вроде как все правильно, цифровизация, прям как с электронными трудовыми книжками. Вот только в обоих административных регламентах планируется предоставление соискателем лицензии «копий трудовых книжек или сведений о трудовой деятельности на бумажном носителе». Куда же пропал вариант с формой электронного документа, подписанного усиленной квалифицированной электронной подписью?
Корректировка Правил субсидирования на создание отраслевого центра ГосСОПКА
Правительство внесло изменения в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах.
Соответствующее постановление Правительства Российской Федерации от 28.09.2020 № 1556 «О внесении изменений в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах» было опубликовано на Официальном интернет-портале правовой информации.
Правительство внесло изменения в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах.
Соответствующее постановление Правительства Российской Федерации от 28.09.2020 № 1556 «О внесении изменений в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах» было опубликовано на Официальном интернет-портале правовой информации.
Материалы Межблогерского вебинара «Вопросы обработки и защиты персональных данных в сфере образования» или снова к вопросу: фотография - биометрия
Вчера состоялся интересный как в специальном, так и в общем плане вебинар, посвящённый вопросам обработки и защиты персональных данных в сфере образования, спикерами на котором выступили Сергей Городилов, Ксения Шудрова и Сергей Борисов.
В целом вебинар был достаточно узконаправленным, но на нем была озвучена информация, которая затрагивает одну из проблем современности, характерную не только для сферы образования, - считается ли фотография биометрическими персональными данными. Этого касались и на самом вебинаре, рассматривая ряд полезных документов, разработанных Роскомнадзором и Минцифры соответственно:
- Проект Методических рекомендаций «Организация обработки персональных данных в сфере образования. Необходимые мероприятия и документы».
- Методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных.
И вот в первом документе представлено интересное мнение относительно того, что считать биометрией, в том числе относительно фотографии и видеозаписи: «Следует заметить, что понятия «видеозапись» и «фотография», представляют собой исключительно материальный носитель информации, при этом данная информация не является биометрической по своей сути, поскольку не отражает индивидуальных параметров, таких как термограмма лица, рисунок радужной оболочки глаза, папиллярных узоров, позволяющих установить личность.».
————————————————————
Посты канала о проблеме биометрии и фотографии здесь и здесь.
Вчера состоялся интересный как в специальном, так и в общем плане вебинар, посвящённый вопросам обработки и защиты персональных данных в сфере образования, спикерами на котором выступили Сергей Городилов, Ксения Шудрова и Сергей Борисов.
В целом вебинар был достаточно узконаправленным, но на нем была озвучена информация, которая затрагивает одну из проблем современности, характерную не только для сферы образования, - считается ли фотография биометрическими персональными данными. Этого касались и на самом вебинаре, рассматривая ряд полезных документов, разработанных Роскомнадзором и Минцифры соответственно:
- Проект Методических рекомендаций «Организация обработки персональных данных в сфере образования. Необходимые мероприятия и документы».
- Методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных.
И вот в первом документе представлено интересное мнение относительно того, что считать биометрией, в том числе относительно фотографии и видеозаписи: «Следует заметить, что понятия «видеозапись» и «фотография», представляют собой исключительно материальный носитель информации, при этом данная информация не является биометрической по своей сути, поскольку не отражает индивидуальных параметров, таких как термограмма лица, рисунок радужной оболочки глаза, папиллярных узоров, позволяющих установить личность.».
————————————————————
Посты канала о проблеме биометрии и фотографии здесь и здесь.
YouTube
Межблогерский вебинар. Вопросы обработки и защиты персональных данных в сфере образования
Уникальный формат без рекламы и пересказа законодательства. Только эксперты, реальные ситуации и ваши вопросы.
Вебинар был посвящен обсуждению актуальных вопросов, связанных с обработкой персональных данных в образовательных учреждениях. Сделали акцент на…
Вебинар был посвящен обсуждению актуальных вопросов, связанных с обработкой персональных данных в образовательных учреждениях. Сделали акцент на…
Повторно опубликованы для общественного обсуждения проекты ведомственных приказов ФСТЭК России, предусматривающих внесение изменений в:
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134.
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом
ФСТЭК России от 17 июля 2017 г. № 133.
———————————————————
🧐 Судя по всему, ФСТЭК России вняла замечаниям Алексея Лукацкого относительно использования не импортозамещенного почтового ящика.
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134.
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом
ФСТЭК России от 17 июля 2017 г. № 133.
———————————————————
🧐 Судя по всему, ФСТЭК России вняла замечаниям Алексея Лукацкого относительно использования не импортозамещенного почтового ящика.
Аккредитация доверенных третьих сторон
Минцифры представило для общественного обсуждения проект ведомственного приказа «Об утверждении Административных регламентов предоставления Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации государственной услуги по аккредитации доверенных третьих сторон и осуществления Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации государственного контроля (надзора) за соблюдением аккредитованными доверенными третьими сторонами требований, которые установлены Федеральным законом «Об электронной подписи» и на соответствие которым эти доверенные третьи стороны были аккредитованы».
Минцифры представило для общественного обсуждения проект ведомственного приказа «Об утверждении Административных регламентов предоставления Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации государственной услуги по аккредитации доверенных третьих сторон и осуществления Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации государственного контроля (надзора) за соблюдением аккредитованными доверенными третьими сторонами требований, которые установлены Федеральным законом «Об электронной подписи» и на соответствие которым эти доверенные третьи стороны были аккредитованы».
🗃Система нормативных правовых актов, методических и информационных документов в области обеспечения безопасности критической информационной инфраструктуры
Немного актуализируем систему нормативных правовых актов, методических и информационных документов в области обеспечения безопасности критической информационной инфраструктуры (система в формате pdf ниже).
Немного актуализируем систему нормативных правовых актов, методических и информационных документов в области обеспечения безопасности критической информационной инфраструктуры (система в формате pdf ниже).
Пост выходного дня. Мини-комикс про инопланетную криптографию.
Проекты ГОСТов от ФСТЭК
ФСТЭК России представила к рассмотрению проекты ГОСТов:
➡️ Защита информации. Формальная модель управления доступом. Часть 1. Общие положения.
➡️ Защита информации. Формальная модель управления доступом. Часть 2. Рекомендации по верификации формальной модели управления доступом.
ФСТЭК России представила к рассмотрению проекты ГОСТов:
➡️ Защита информации. Формальная модель управления доступом. Часть 1. Общие положения.
➡️ Защита информации. Формальная модель управления доступом. Часть 2. Рекомендации по верификации формальной модели управления доступом.
Изменения в требования к ГИС
Нельзя пройти стороной опубликованное сегодня постановление Правительства Российской Федерации от 10.10.2020 № 1650 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации», которым вносятся изменения в известное постановление Правительства Российской Федерации от 06.07.2015 № 676.
Нельзя пройти стороной опубликованное сегодня постановление Правительства Российской Федерации от 10.10.2020 № 1650 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации», которым вносятся изменения в известное постановление Правительства Российской Федерации от 06.07.2015 № 676.
🗝Минцифры и использование российских криптографических алгоритмов и средств шифрования при электронном взаимодействии
Минцифры подготовило и предоставило для общественного обсуждения проект ведомственного приказа «Об утверждении временных рекомендаций по переходу органов государственной власти субъектов Российской Федерации, органов местного самоуправления на использование российских криптографических алгоритмов и средств шифрования при электронном взаимодействии между собой, с гражданами и организациями».
————————————————————
Работодатели могут взаимодействовать с работниками посредством использования электронной подписи, в Трудовой кодекс готовились изменения в части регулирования удалённой работы, все больше работников переводят на дистанционный режим работы, на дворе 2020 год в конце концов, а Минцифры разрабатывает документ, соответсвующий НПА 2001 и 2005 годов. Не стоило бы начать переход на отечественную криптографию с актуализации нормативных столпов ее использования (Вопрос, конечно, не всецело к Минцифры, но в общем к ситуации)?
Минцифры подготовило и предоставило для общественного обсуждения проект ведомственного приказа «Об утверждении временных рекомендаций по переходу органов государственной власти субъектов Российской Федерации, органов местного самоуправления на использование российских криптографических алгоритмов и средств шифрования при электронном взаимодействии между собой, с гражданами и организациями».
————————————————————
Работодатели могут взаимодействовать с работниками посредством использования электронной подписи, в Трудовой кодекс готовились изменения в части регулирования удалённой работы, все больше работников переводят на дистанционный режим работы, на дворе 2020 год в конце концов, а Минцифры разрабатывает документ, соответсвующий НПА 2001 и 2005 годов. Не стоило бы начать переход на отечественную криптографию с актуализации нормативных столпов ее использования (Вопрос, конечно, не всецело к Минцифры, но в общем к ситуации)?
📣Информация ФСТЭК России об уровнях доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий
ФСТЭК России информирует об утверждении (приказ ФСТЭК России от 02.06.2020 № 76) Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее - средства).
➡️ ⚠️ С 1 января 2021 г. признается утратившим силу приказ ФСТЭК России от 30 июля 2018 г. № 131 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
➡️ Устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.
Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории, в государственных информационных системах 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.
Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.
Средства, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
➡️ Устанавливается 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый.
В соответствии с Требованиями по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, средства должны проходить исследования по выявлению уязвимостей и недекларированных возможностей по уровню контроля, соответствующему уровню доверия.
Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля, 5 уровню доверия – по 5 уровню контроля, 4 уровню доверия – по 4 уровню контроля, 3 уровню доверия – по 3 уровню контроля, 2 уровню доверия – по 2 уровню контроля, 1 уровню доверия – по 1 уровню контроля.
Соответствующее информационное сообщение ФСТЭК России от 15 октября 2020 г. № 240/24/4268 «Об утверждении требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» опубликовано на сайте регулятора.
ФСТЭК России информирует об утверждении (приказ ФСТЭК России от 02.06.2020 № 76) Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее - средства).
➡️ ⚠️ С 1 января 2021 г. признается утратившим силу приказ ФСТЭК России от 30 июля 2018 г. № 131 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
➡️ Устанавливается 6 уровней доверия. Самый низкий уровень – шестой, самый высокий – первый.
Средства, соответствующие 6 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 3 категории, в государственных информационных системах 3 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровня защищенности персональных данных.
Средства, соответствующие 5 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 2 категории, в государственных информационных системах 2 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных.
Средства, соответствующие 4 уровню доверия, применяются в значимых объектах критической информационной инфраструктуры 1 категории, в государственных информационных системах 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищенности, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных, в информационных системах общего пользования II класса.
Средства, соответствующие 1, 2 и 3 уровням доверия, применяются в информационных (автоматизированных) системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
➡️ Устанавливается 6 уровней контроля. Самый низкий уровень – шестой, самый высокий – первый.
В соответствии с Требованиями по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, средства должны проходить исследования по выявлению уязвимостей и недекларированных возможностей по уровню контроля, соответствующему уровню доверия.
Средства, соответствующие 6 уровню доверия, должны проходить исследования по 6 уровню контроля, 5 уровню доверия – по 5 уровню контроля, 4 уровню доверия – по 4 уровню контроля, 3 уровню доверия – по 3 уровню контроля, 2 уровню доверия – по 2 уровню контроля, 1 уровню доверия – по 1 уровню контроля.
Соответствующее информационное сообщение ФСТЭК России от 15 октября 2020 г. № 240/24/4268 «Об утверждении требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» опубликовано на сайте регулятора.
⚡️Минцифры и импортозапрещение на ОКИИ
Минцифры подготовило проект Указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры».
⚠️ Проектом документа предполагается переход субъектов КИИ наобязательное преимущественное использование российского:
1. Программного обеспечения до 1 января 2024 г.
2. Оборудования до 1 января 2025 г.
Ну и кроме проекта Указа там же можно обнаружить проекты:
1. Требований к программному обеспечению и оборудованию, используемому на объектах КИИ.
2. Порядка перехода на преимущественное использование российского программного обеспечения и(или) оборудования.
3. Порядка направления на согласование и рассмотрения перечня иностранного программного обеспечения и(или) оборудования, используемого и(или) планируемого к использованию на объектах КИИ.
Ответственными за это дело будут:
- Минцифры - за переход на отечественное ПО;
- Минпромторг - за переход на отечественное оборудование.
————————————————————
Удастся ли вторая попытка? И снова активная аудитория может повлиять на свою дальнейшую судьбу в ходе общественного обсуждения представленного проекта.
Минцифры подготовило проект Указа Президента Российской Федерации «О мерах экономического характера по обеспечению технологической независимости и безопасности объектов критической информационной инфраструктуры».
⚠️ Проектом документа предполагается переход субъектов КИИ на
1. Программного обеспечения до 1 января 2024 г.
2. Оборудования до 1 января 2025 г.
Ну и кроме проекта Указа там же можно обнаружить проекты:
1. Требований к программному обеспечению и оборудованию, используемому на объектах КИИ.
2. Порядка перехода на преимущественное использование российского программного обеспечения и(или) оборудования.
3. Порядка направления на согласование и рассмотрения перечня иностранного программного обеспечения и(или) оборудования, используемого и(или) планируемого к использованию на объектах КИИ.
Ответственными за это дело будут:
- Минцифры - за переход на отечественное ПО;
- Минпромторг - за переход на отечественное оборудование.
————————————————————
Удастся ли вторая попытка? И снова активная аудитория может повлиять на свою дальнейшую судьбу в ходе общественного обсуждения представленного проекта.
Новости из мира ЭП: Формат электронной подписи, обязательный для реализации всеми средствами электронной подписи
Вчера был официально опубликован приказ Минцифры от 14.09.2020 № 472 «Об утверждении Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи».
Вчера был официально опубликован приказ Минцифры от 14.09.2020 № 472 «Об утверждении Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи».
🔜 BUSINESS PRIVACY FORUM 2020
Коллеги, приглашаю посетить онлайн-конференцию о персональных данных в бизнесе BUSINESS PRIVACY FORUM 2020, которая состоится 24 ноября 2020 г.
Эксперты крупнейших международных компаний DHL Express, Oracle, ABBYY, EY, PWC, Baker McKenzie, АЛРУД, Morgan Lewis поделятся опытом работы с персональными данными на уровне управления и видения со стороны бизнеса.
❗️Участие бесплатное, но необходима предварительная регистрация❗️
Коллеги, приглашаю посетить онлайн-конференцию о персональных данных в бизнесе BUSINESS PRIVACY FORUM 2020, которая состоится 24 ноября 2020 г.
Эксперты крупнейших международных компаний DHL Express, Oracle, ABBYY, EY, PWC, Baker McKenzie, АЛРУД, Morgan Lewis поделятся опытом работы с персональными данными на уровне управления и видения со стороны бизнеса.
❗️Участие бесплатное, но необходима предварительная регистрация❗️
privacyforum.ru
Privacy Forum - конференция о персональных данных в бизнесе
28 января, начало в 10:00, online