Forwarded from Privacy Advocates (Alexey Muntyan)
Управлением Роскомнадзора по Сибирскому федеральному округу сообщает, что при сборе персональных данных посредством электронных форм типа «Обратная связь», «Оплатить», «Оставить отзыв», «Написать нам», «Задать вопрос», «Оформить заявку» и т.п. необходимо предусмотреть возможность пользователю сайта проставить отметку о своем согласии на обработку персональных данных. Также необходимо разместить на сайте документ, определяющий политику организации в отношении обработки персональных данных.
🇷🇺💡🏛️ #ркн #web #privacy
🇷🇺💡🏛️ #ркн #web #privacy
Магнитка — 2023
27 февраля —1 марта в ДЦ «Юбилейный» на озере Банное (г. Магнитогорск) пройдёт форум «Цифровая устойчивость и информационная безопасность».
Поддержку мероприятию окажут Минцифры России, Аппарат Полномочного представителя Президента РФ в УФО, а также Национальный координационный центр по компьютерным инцидентам.
«Магнитка — 2023» сосредоточится на безопасной цифровизации, импортозамещении в сфере ИБ, защите КИИ и практиках противодействия кибератакам и повышения защищённости организаций.
В деловой программе как «классические» формы — дискуссии, мастер-классы, доклады, учения — так и нестандартные форматы. В развлекательном блоке — спортивные активности в живописном пространстве Уральстких гор и нетворкинг за ужином.
Представители предприятий ТЭК, промышленности, транспорта, финорганизаций, и госорганов смогут посетить форум без оплаты оргвзноса — на правах командирования.
«Магнитка» — одно из лучших мест для межотраслевого тимбилдинга «ибэшников».
Регистрируйтесь, ещё не поздно.
27 февраля —1 марта в ДЦ «Юбилейный» на озере Банное (г. Магнитогорск) пройдёт форум «Цифровая устойчивость и информационная безопасность».
Поддержку мероприятию окажут Минцифры России, Аппарат Полномочного представителя Президента РФ в УФО, а также Национальный координационный центр по компьютерным инцидентам.
«Магнитка — 2023» сосредоточится на безопасной цифровизации, импортозамещении в сфере ИБ, защите КИИ и практиках противодействия кибератакам и повышения защищённости организаций.
В деловой программе как «классические» формы — дискуссии, мастер-классы, доклады, учения — так и нестандартные форматы. В развлекательном блоке — спортивные активности в живописном пространстве Уральстких гор и нетворкинг за ужином.
Представители предприятий ТЭК, промышленности, транспорта, финорганизаций, и госорганов смогут посетить форум без оплаты оргвзноса — на правах командирования.
«Магнитка» — одно из лучших мест для межотраслевого тимбилдинга «ибэшников».
Регистрируйтесь, ещё не поздно.
Forwarded from Privacy Advocates (Alexey Muntyan)
rkn-№08-99909.pdf
180.8 KB
Письмо ЦА Роскомнадзора, в котором заявлено следующее:
🔸проверка средств защиты информации осуществляется при проведении плановых и внеплановых контрольных (надзорных) мероприятий в отношении оператора в соответствии с постановлением Правительства Российской Федерации от 29.06.2021 № 1046, а также Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» и не относятся к компетенции Роскомнадзора;
🔸автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники, таким образом, обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации.
🇷🇺💡🏛️ #ркн #автоматизация #сзпд #проверки
🔸проверка средств защиты информации осуществляется при проведении плановых и внеплановых контрольных (надзорных) мероприятий в отношении оператора в соответствии с постановлением Правительства Российской Федерации от 29.06.2021 № 1046, а также Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» и не относятся к компетенции Роскомнадзора;
🔸автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники, таким образом, обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации.
🇷🇺💡🏛️ #ркн #автоматизация #сзпд #проверки
Справка-доклад_ТК 362_31.01.2023.pdf
126.7 KB
Традиционная справка-доклад о ходе работ по плану ТК 362 (по состоянию на 31.01.2023).
🎓 Образовательный стандарт «Обеспечение информационной безопасности информационных систем»
Для общественного обсуждения представлен проект приказа Минпросвещения России «Об утверждении федерального государственного образовательного стандарта среднего профессионального образования по специальности 10.02.04 Обеспечение информационной безопасности информационных систем».
Для общественного обсуждения представлен проект приказа Минпросвещения России «Об утверждении федерального государственного образовательного стандарта среднего профессионального образования по специальности 10.02.04 Обеспечение информационной безопасности информационных систем».
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Интересным поделились коллеги в одном из чатиков про результаты проверок ФСБ в части выполнения требований по шифрованию. Если это локальная история только одного региона - это одно. Но если это общая тенденция, то хреново, конечно.
Forwarded from Пост Лукацкого
У нас в регионе прошли проверки организаций по выполнению лицензионных требований по СКЗИ. И есть несколько очень грустных новостей:
1. VPN между офисами рассматривают как лицензируемый вид деятельности и в рамках проверки по нему тоже требуется предоставить информацию. Логику этого подхода я так и не понял. Оспорить тоже похоже ни у кого не получилось. По крайней мере мне такие случаи не известны.
2. Просто работа с криптографией для выполнения требований к стажу работников не засчитывается. Должен быть стаж именно в организации, имевшей лицензию СКЗИ, в которой были указаны такие же виды деятельности как в вашей лицензии.
3. Работа с криптографией, которая соответствует таким же видами деятельности как в лицензии, но для собственных нужд тоже не засчитывается. То есть если человек на прошлой работе генерил ключи на корпоративном УЦ для внутреннего ЭДО, то стажа для лицензии СКЗИ (вид деятельности 28) у него нет. Чтобы иметь стаж, он должен был генерить ключи клиентам в рамках лицензии.
4. Стаж должен быть подтверждён документально. И исходя из п.2 и п.3 будет недостаточно сказать, что у бывшего работодателя нынешнего работника была лицензия на СКЗИ. Надо предоставить внутренние документы с прошлого места работы из которых прямо следует, что он занимался именно таким видом деятельности в области предоставления лицензируемых услуг СКЗИ.
1. VPN между офисами рассматривают как лицензируемый вид деятельности и в рамках проверки по нему тоже требуется предоставить информацию. Логику этого подхода я так и не понял. Оспорить тоже похоже ни у кого не получилось. По крайней мере мне такие случаи не известны.
2. Просто работа с криптографией для выполнения требований к стажу работников не засчитывается. Должен быть стаж именно в организации, имевшей лицензию СКЗИ, в которой были указаны такие же виды деятельности как в вашей лицензии.
3. Работа с криптографией, которая соответствует таким же видами деятельности как в лицензии, но для собственных нужд тоже не засчитывается. То есть если человек на прошлой работе генерил ключи на корпоративном УЦ для внутреннего ЭДО, то стажа для лицензии СКЗИ (вид деятельности 28) у него нет. Чтобы иметь стаж, он должен был генерить ключи клиентам в рамках лицензии.
4. Стаж должен быть подтверждён документально. И исходя из п.2 и п.3 будет недостаточно сказать, что у бывшего работодателя нынешнего работника была лицензия на СКЗИ. Надо предоставить внутренние документы с прошлого места работы из которых прямо следует, что он занимался именно таким видом деятельности в области предоставления лицензируемых услуг СКЗИ.
🎓Образовательный стандарт «Обеспечение информационной безопасности автоматизированных систем»
Для общественного обсуждения представлен проект приказа Минпросвещения России «Об утверждении федерального государственного образовательного стандарта среднего профессионального образования по специальности 10.02.05 Обеспечение информационной безопасности автоматизированных систем».
А ведь ФСТЭК России еще в далеком 2013-м заявляла о родственности понятий автоматизированая система и информационная система. 🤔
Для общественного обсуждения представлен проект приказа Минпросвещения России «Об утверждении федерального государственного образовательного стандарта среднего профессионального образования по специальности 10.02.05 Обеспечение информационной безопасности автоматизированных систем».
А ведь ФСТЭК России еще в далеком 2013-м заявляла о родственности понятий автоматизированая система и информационная система. 🤔
📋 Формы документов ФСТЭК, используемые при лицензировании
Официально опубликованы приказы ФСТЭК России:
• от 12.01.2023 № 3 «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. № 134 и внесенных в него изменений»;
• от 12.01.2023 № 4 «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. № 133 и внесенных в него изменений».
Официально опубликованы приказы ФСТЭК России:
• от 12.01.2023 № 3 «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. № 134 и внесенных в него изменений»;
• от 12.01.2023 № 4 «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. № 133 и внесенных в него изменений».
Please open Telegram to view this post
VIEW IN TELEGRAM
🧪 Геномная информация = биометрические ПДн
Для общей информации. Официально опубликован Федеральный закон от 06.02.2023 № 8-ФЗ «О внесении изменений в Федеральный закон «О государственной геномной регистрации в Российской Федерации» и отдельные законодательные акты Российской Федерации», который прямо признает геномную информацию биометрическими персональными данными.
Для общей информации. Официально опубликован Федеральный закон от 06.02.2023 № 8-ФЗ «О внесении изменений в Федеральный закон «О государственной геномной регистрации в Российской Федерации» и отдельные законодательные акты Российской Федерации», который прямо признает геномную информацию биометрическими персональными данными.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔍 РКН и внеплановые проверки операторов ПДн
Роскомнадзор получил возможность при согласовании с органами прокуратуры осуществлять внеплановые контрольные (надзорные) мероприятия, внеплановые проверки по фактам утечки ПДн в сеть «Интернет». Изменения также касаются аккредитованных организаций в сфере информационных технологий.
Источник: постановление Правительства Российской Федерации от 04.02.2023 № 161 «О внесении изменений в некоторые акты Правительства Российской Федерации».
Роскомнадзор получил возможность при согласовании с органами прокуратуры осуществлять внеплановые контрольные (надзорные) мероприятия, внеплановые проверки по фактам утечки ПДн в сеть «Интернет». Изменения также касаются аккредитованных организаций в сфере информационных технологий.
Источник: постановление Правительства Российской Федерации от 04.02.2023 № 161 «О внесении изменений в некоторые акты Правительства Российской Федерации».
Please open Telegram to view this post
VIEW IN TELEGRAM
🔎 Отраслевой мониторинг за субъектами КИИ по линии Минпромторга
Минпромторг России займётся проверкой актуальности сведений по результатам категорирования ОКИИ. Для общественного обсуждения представлен проект приказа Минпромторга России «Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, и определении состава организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации».
Минпромторг России займётся проверкой актуальности сведений по результатам категорирования ОКИИ. Для общественного обсуждения представлен проект приказа Минпромторга России «Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, и определении состава организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации».
Please open Telegram to view this post
VIEW IN TELEGRAM
«Государство должно само определять объекты, относимые к критической информационной инфраструктуре и контролировать обеспечение их безопасности, поэтому наделение Правительства РФ такими полномочиями полагаю очень важным шагом.».
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Листок бюрократической защиты информации
⚡️Изменения в ПП-127
Официально опубликовано постановление Правительства Российской Федерации от 20.12.2022 № 2360 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127».
Официально опубликовано постановление Правительства Российской Федерации от 20.12.2022 № 2360 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127».
Е. Торбенко (ФСТЭК России) отметила, что в ходе госконтроля за безопасностью КИИ отмечается формальный подход субъектов КИИ, при котором большее внимание уделяется «бумажной» безопасности, когда в распорядительной документации все описано достаточно хорошо и подробно, но на практике меры не реализуются.
Please open Telegram to view this post
VIEW IN TELEGRAM
Е. Торбенко (ФСТЭК России) отметила, что в ходе госконтроля за безопасностью КИИ одно из лидирующих мест занимают нарушения, связанные с бесконтрольной эксплуатацией программного обеспечения с пренебрежением за контролем уязвимостей.
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡️ Управление ГЕОП
Для общественного обсуждения представлен проект постановления Правительства Российской Федерации «Об утверждении Положения о федеральной государственной информационной системе «Управление государственной единой облачной платформой».
🔑 С таким разделом по защите информации можно быть «спокойным» за информацию, обрабатываемую в ГосОблаке.
Для общественного обсуждения представлен проект постановления Правительства Российской Федерации «Об утверждении Положения о федеральной государственной информационной системе «Управление государственной единой облачной платформой».
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Valery Komarov in КИИ 187-ФЗ
Собственно сам доклад ФСТЭК https://www.youtube.com/watch?v=Dk4pcnNlYOo
❗️ Контроль за защитой ГТ
Для общественного обсуждения представлен проект постановления Правительства Российской Федерации «Об утверждении Правил осуществления федерального государственного контроля за обеспечением защиты государственной тайны, об изменении и признании утратившими силу некоторых актов Правительства Российской Федерации».
Для общественного обсуждения представлен проект постановления Правительства Российской Федерации «Об утверждении Правил осуществления федерального государственного контроля за обеспечением защиты государственной тайны, об изменении и признании утратившими силу некоторых актов Правительства Российской Федерации».
Please open Telegram to view this post
VIEW IN TELEGRAM
📋 План мероприятий по обеспечению готовности СКИИ с ЗОКИИ к преимущественному использованию российского программного обеспечения
Для общественного обсуждения представлен проект приказа Минпромторга «Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на значимых объектах критической информационной инфраструктуры Российской Федерации, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии».
Для общественного обсуждения представлен проект приказа Минпромторга «Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на значимых объектах критической информационной инфраструктуры Российской Федерации, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии».
Please open Telegram to view this post
VIEW IN TELEGRAM
Проектирование и поддержание системы информационной безопасности — трудоемкая задача. При выстраивании процессов важно структурировать сведения об объекте защиты, выполнить требования регуляторов (РКН, ФСТЭК, ФСБ, ЦБ) и не навредить бизнесу.
Чтобы грамотно защититься от утечек и избежать лишних затрат, стоит разобраться в том, какие меры, как и кем должны быть реализованы.
🗓15 февраля в 12:00 (МСК) эксперты по защите персональных данных расскажут:
• Ринат Катчиев, эксперт по защите ПДн Б-152.
• Екатерина Витенбург, старший консультант Б-152.
Please open Telegram to view this post
VIEW IN TELEGRAM