Листок бюрократической защиты информации
14.3K subscribers
426 photos
28 videos
229 files
1.41K links
Нормативно-новостной и иногда субъективно-аналитический канал-записная книжка по теме организационной и правовой защите информации в РФ.

Подробнее: https://telegra.ph/Beinsecurity-12-12

Для обратной связи: https://telegra.ph/Obratnaya-svyaz-04-02-2
Download Telegram
Forwarded from Privacy Advocates (Alexey Muntyan)
Управлением Роскомнадзора по Сибирскому федеральному округу сообщает, что при сборе персональных данных посредством электронных форм типа «Обратная связь», «Оплатить», «Оставить отзыв», «Написать нам», «Задать вопрос», «Оформить заявку» и т.п. необходимо предусмотреть возможность пользователю сайта проставить отметку о своем согласии на обработку персональных данных. Также необходимо разместить на сайте документ, определяющий политику организации в отношении обработки персональных данных.
🇷🇺💡🏛️ #ркн #web #privacy
Магнитка 2023

27 февраля —1 марта в ДЦ «Юбилейный» на озере Банное (г. Магнитогорск) пройдёт форум «Цифровая устойчивость и информационная безопасность».

Поддержку мероприятию окажут Минцифры России, Аппарат Полномочного представителя Президента РФ в УФО, а также Национальный координационный центр по компьютерным инцидентам.

«Магнитка — 2023» сосредоточится на безопасной цифровизации, импортозамещении в сфере ИБ, защите КИИ и практиках противодействия кибератакам и повышения защищённости организаций.

В деловой программе как «классические» формы — дискуссии, мастер-классы, доклады, учения — так и нестандартные форматы. В развлекательном блоке — спортивные активности в живописном пространстве Уральстких гор и нетворкинг за ужином.

Представители предприятий ТЭК, промышленности, транспорта, финорганизаций, и госорганов смогут посетить форум без оплаты оргвзноса — на правах командирования.

«Магнитка» — одно из лучших мест для межотраслевого тимбилдинга «ибэшников».

Регистрируйтесь, ещё не поздно.
Forwarded from Privacy Advocates (Alexey Muntyan)
rkn-№08-99909.pdf
180.8 KB
Письмо ЦА Роскомнадзора, в котором заявлено следующее:
🔸проверка средств защиты информации осуществляется при проведении плановых и внеплановых контрольных (надзорных) мероприятий в отношении оператора в соответствии с постановлением Правительства Российской Федерации от 29.06.2021 № 1046, а также Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации» и не относятся к компетенции Роскомнадзора;
🔸автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники, таким образом, обработка персональных данных в системе программ «Excel» и «Word» признаётся осуществляемой с использованием средств автоматизации.
🇷🇺💡🏛️ #ркн #автоматизация #сзпд #проверки
Справка-доклад_ТК 362_31.01.2023.pdf
126.7 KB
Традиционная справка-доклад о ходе работ по плану ТК 362 (по состоянию на 31.01.2023).
​​🎓Образовательный стандарт «Обеспечение информационной безопасности информационных систем»

Для общественного обсуждения представлен проект приказа Минпросвещения России «Об утверждении федерального государственного образовательного стандарта среднего профессионального образования по специальности 10.02.04 Обеспечение информационной безопасности информационных систем».
Please open Telegram to view this post
VIEW IN TELEGRAM
Интересным поделились коллеги в одном из чатиков про результаты проверок ФСБ в части выполнения требований по шифрованию. Если это локальная история только одного региона - это одно. Но если это общая тенденция, то хреново, конечно.
У нас в регионе прошли проверки организаций по выполнению лицензионных требований по СКЗИ. И есть несколько очень грустных новостей:

1. VPN между офисами рассматривают как лицензируемый вид деятельности и в рамках проверки по нему тоже требуется предоставить информацию. Логику этого подхода я так и не понял. Оспорить тоже похоже ни у кого не получилось. По крайней мере мне такие случаи не известны.

2. Просто работа с криптографией для выполнения требований к стажу работников не засчитывается. Должен быть стаж именно в организации, имевшей лицензию СКЗИ, в которой были указаны такие же виды деятельности как в вашей лицензии.

3. Работа с криптографией, которая соответствует таким же видами деятельности как в лицензии, но для собственных нужд тоже не засчитывается. То есть если человек на прошлой работе генерил ключи на корпоративном УЦ для внутреннего ЭДО, то стажа для лицензии СКЗИ (вид деятельности 28) у него нет. Чтобы иметь стаж, он должен был генерить ключи клиентам в рамках лицензии.

4. Стаж должен быть подтверждён документально. И исходя из п.2 и п.3 будет недостаточно сказать, что у бывшего работодателя нынешнего работника была лицензия на СКЗИ. Надо предоставить внутренние документы с прошлого места работы из которых прямо следует, что он занимался именно таким видом деятельности в области предоставления лицензируемых услуг СКЗИ.
​​🎓Образовательный стандарт «Обеспечение информационной безопасности автоматизированных систем»

Для общественного обсуждения представлен проект приказа Минпросвещения России «Об утверждении федерального государственного образовательного стандарта среднего профессионального образования по специальности 10.02.05 Обеспечение информационной безопасности автоматизированных систем».

А ведь ФСТЭК России еще в далеком 2013-м заявляла о родственности понятий автоматизированая система и информационная система. 🤔
​​📋 Формы документов ФСТЭК, используемые при лицензировании

Официально опубликованы приказы ФСТЭК России:

от 12.01.2023 № 3 «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. № 134 и внесенных в него изменений»;

от 12.01.2023 № 4 «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. № 133 и внесенных в него изменений».
Please open Telegram to view this post
VIEW IN TELEGRAM
​​​​🧪 Геномная информация = биометрические ПДн

Для общей информации. Официально опубликован Федеральный закон от 06.02.2023 № 8-ФЗ «О внесении изменений в Федеральный закон «О государственной геномной регистрации в Российской Федерации» и отдельные законодательные акты Российской Федерации», который прямо признает геномную информацию биометрическими персональными данными.
Please open Telegram to view this post
VIEW IN TELEGRAM
​​🔍 РКН и внеплановые проверки операторов ПДн

Роскомнадзор получил возможность при согласовании с органами прокуратуры осуществлять внеплановые контрольные (надзорные) мероприятия, внеплановые проверки по фактам утечки ПДн в сеть «Интернет». Изменения также касаются аккредитованных организаций в сфере информационных технологий.

Источник: постановление Правительства Российской Федерации от 04.02.2023 № 161 «О внесении изменений в некоторые акты Правительства Российской Федерации».
Please open Telegram to view this post
VIEW IN TELEGRAM
​​🔎 Отраслевой мониторинг за субъектами КИИ по линии Минпромторга

Минпромторг России займётся проверкой актуальности сведений по результатам категорирования ОКИИ. Для общественного обсуждения представлен проект приказа Минпромторга России «Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, и определении состава организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации».
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 Инфофорум-2023. Пленарное заседание. А. Шейкин (Член комитета Совета Федерации по конституционному законодательству и государственному строительству):

«Государство должно само определять объекты, относимые к критической информационной инфраструктуре и контролировать обеспечение их безопасности, поэтому наделение Правительства РФ такими полномочиями полагаю очень важным шагом.».
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡️Е. Торбенко (ФСТЭК России) в ходе своего выступления на Инфофоруме-2023 (Сессия 1. Цифровая безопасность - новые вызовы) почти прямым текстом отметила, что субъекты КИИ обязаны актуализировать сведения о ранее категорированных ОКИИ в связи с внесением изменений в Правила категорирования ОКИИ (ПП-127).
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 Инфофорум-2023. Сессия 1. Цифровая безопасность - новые вызовы.
Е. Торбенко (ФСТЭК России) отметила, что в ходе госконтроля за безопасностью КИИ отмечается формальный подход субъектов КИИ, при котором большее внимание уделяется «бумажной» безопасности, когда в распорядительной документации все описано достаточно хорошо и подробно, но на практике меры не реализуются.
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 Инфофорум-2023. Сессия 1. Цифровая безопасность - новые вызовы.
Е. Торбенко (ФСТЭК России) отметила, что в ходе госконтроля за безопасностью КИИ одно из лидирующих мест занимают нарушения, связанные с бесконтрольной эксплуатацией программного обеспечения с пренебрежением за контролем уязвимостей.
Please open Telegram to view this post
VIEW IN TELEGRAM
​​⚡️ Управление ГЕОП

Для общественного обсуждения представлен проект постановления Правительства Российской Федерации «Об утверждении Положения о федеральной государственной информационной системе «Управление государственной единой облачной платформой».

🔑 С таким разделом по защите информации можно быть «спокойным» за информацию, обрабатываемую в ГосОблаке.
Please open Telegram to view this post
VIEW IN TELEGRAM
🎞 Инфофорум-2023. Сессия 1. Цифровая безопасность - новые вызовы. Видеозапись доклада Е. Торбенко (ФСТЭК России).
Please open Telegram to view this post
VIEW IN TELEGRAM
​​❗️Контроль за защитой ГТ

Для общественного обсуждения представлен проект постановления Правительства Российской Федерации «Об утверждении Правил осуществления федерального государственного контроля за обеспечением защиты государственной тайны, об изменении и признании утратившими силу некоторых актов Правительства Российской Федерации».
Please open Telegram to view this post
VIEW IN TELEGRAM
​​📋 План мероприятий по обеспечению готовности СКИИ с ЗОКИИ к преимущественному использованию российского программного обеспечения

Для общественного обсуждения представлен проект приказа Минпромторга «Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на значимых объектах критической информационной инфраструктуры Российской Федерации, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии».
Please open Telegram to view this post
VIEW IN TELEGRAM
Вебинар: «О технической защите ПДн понятным языком»

Проектирование и поддержание системы информационной безопасности — трудоемкая задача. При выстраивании процессов важно структурировать сведения об объекте защиты, выполнить требования регуляторов (РКН, ФСТЭК, ФСБ, ЦБ) и не навредить бизнесу.

Чтобы грамотно защититься от утечек и избежать лишних затрат, стоит разобраться в том, какие меры, как и кем должны быть реализованы.

🗓15 февраля в 12:00 (МСК) эксперты по защите персональных данных расскажут:

▪️Что действительно обязан оператор ПДн.
▪️Что такое технические меры защиты. Требования к составу мер защиты ПДн от Правительства РФ, ФСТЭК и ФСБ.
▪️Как выполнить технические меры по защите ПДн. Документы, средства защиты.
▪️Как подтвердить, что требования статьи 19 Федерального закона «О персональных данных» выполняются.

🎙 Спикеры:
• Ринат Катчиев, эксперт по защите ПДн Б-152.
• Екатерина Витенбург, старший консультант Б-152.

🎚 Зарегистрируйтесь, чтобы получить доступ к вебинару и 📝чек -лист самоконтроля полноты организационных и технических мер защиты ПДн.
Please open Telegram to view this post
VIEW IN TELEGRAM