УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Обзор изменений в законодательстве за декабрь 2021

        Обзор изменений в законодательстве за декабрь 2021

        20 января 2022
        Новости
        Авторы:
        Анастасия Заведенская, старший аналитик
        Наталья Григорьева, помощник аналитика
        В обзоре за декабрь 2021 года рассмотрим реакцию регуляторов на нашумевшую уязвимость Log4j и каким образом планируется регламентировать проведение контрольных (надзорных) мероприятий; поговорим об изменениях в правилах категорирования объектов КИИ, а также о том, какие изменения НПА от ФСТЭК России ждут нас в грядущем году. Также затронем вопросы защиты информации в финансовом секторе, обращения с документами для служебного пользования и возможности появления новых дефиниций в нормативном поле.

        Выявление и устранение уязвимости Log4j

        ФСТЭК России 21 декабря опубликовала информационное сообщение от 21 декабря 2021 г. № 240/22/6319 о выявлении и устранении уязвимостей компонента JNDI (Java Naming and Directory Interface) библиотеки apache Log4j.

        В сообщении приводится перечень мероприятий по устранению выявленной уязвимости (обновление библиотек) и комплекс компенсирующих мер в случае невозможности установить обновление. Стоит отметить, что ФСТЭК России адресует указанные рекомендации федеральным органам исполнительной власти в отношении государственных информационных систем, находящихся в их ведении.

        Изменения в Правила категорирования объектов критической информационной инфраструктуры

        Постановление Правительства Российской Федерации от 24.12.2021 №2431 «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации» (далее – ПП РФ) официально опубликовано28 декабря 2021 г. Изменения вступают в силу 4 января 2022 г.

        ПП РФ определяет порядок информирования субъектом критической информационной инфраструктуры (далее – КИИ) ФСТЭК России об изменении сведений об объекте КИИ в печатном и электронном виде не позднее 20 рабочих дней. Сведения будет необходимо отправить повторно по форме, установленной Приказом ФСТЭК России от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».

        Второе изменение, вносимое ПП РФ, обязует государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, осуществлять мониторинг предоставления субъектами КИИ актуальных и достоверных сведений об объектах КИИ.

        План разработки ФСТЭК России нормативных правовых актов на 2022 год

        ФСТЭК России 1 декабря опубликовала выписку из плана разработки ФСТЭК России нормативных правовых актов на 2022 год.

        В плане есть проекты актов Президента РФ и проекты актов ФСТЭК России. Многие проекты относятся к лицензированию деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации. Однако планируются и изменения в Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

        Формы документов, используемые ФСБ России в процессе лицензирования

        ФСБ России 10 декабря опубликовала проект приказа «Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» (далее – проект Приказа ФСБ России).

        В проекте Приказа ФСБ России планируется утвердить формы документов, используемых ФСБ России в процессе лицензирования, и оценочные листы, применяемые при осуществлении оценки соответствия соискателя лицензии (лицензиата) лицензионным требованиям.

        Формы оценочных листов ФСТЭК России для проведения оценки соответствия соискателя лицензии или лицензиата лицензионным требованиям

        ФСТЭК России 3 декабря опубликовала проекты приказов «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации» и «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации» (далее – проекты Приказов ФСТЭК России).

        Оба проекта Приказов ФСТЭК России содержат списки контрольных вопросов, ответы на которые должны свидетельствовать о соответствии (несоответствии) соискателя лицензии или лицензиата лицензионным требованиям.

        Список контрольных вопросов для проверок соблюдения требований в области обработки персональных данных

        Роскомнадзор 2 декабря опубликовал проект приказа «Об утверждении форм проверочных листов (списков контрольных вопросов), используемых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при проведении выездной проверки при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных» (далее – проект Приказа Роскомнадзора).

        В проекте Приказа Роскомнадзора приводятся два варианта проверочных листов:

        • для юридических лиц, физических лиц и индивидуальных предпринимателей;
        • для оператора, являющегося государственным или муниципальным органом.

        Требования по защите информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке

        Банк России 20 декабря опубликовал проект приказа «Об установлении обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, требований к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами» (далее – проект Банка России).

        Основные требования по защите информации устанавливаются для бюро кредитных историй. Отметим, что по проекту Банка России лица, оказывающие профессиональные услуги на финансовом рынке (за исключением бюро кредитных историй) вправе принять решение о необходимости соблюдения в отношении объектов информационной инфраструктуры требований ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.1-2017), соответствующих минимальному уровню защиты информации. Квалифицированные бюро кредитных историй должны соблюдать требования ГОСТ Р 57580.1-2017, соответствующие стандартному уровню защиты информации; бюро кредитных историй, не являющиеся квалифицированными – минимальному уровню. Также бюро кредитных историй должны осуществлять оценку соответствия уровня защиты информации в соответствии с требованиями ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия».

        Основные направления цифровизации финансового рынка

        Банк России опубликовал проект «Основных направлений цифровизации финансового рынка на период 2022-2024 годов». Часть направлений определяют, чем Банк России будет заниматься в области информационной безопасности (далее – ИБ) в указанный временной промежуток. Концентрация усилий будет сосредоточена на обеспечении высокого качества аутентификации клиентов и возможности широкого использования облачной электронной подписи. Всего выделено 6 направлений по ИБ:

        • обеспечение возможности использования сервиса облачной усиленной квалифицированной электронной подписи (далее – УКЭП) участниками финансового рынка;
        • обеспечение всех надзорных организаций УКЭП;
        • формирование среды доверия при удаленном предоставлении финансовых услуг и сервисов;
        • снижение уровня потерь по операциям, совершаемым с использованием дистанционных каналов обслуживания, включая социальную инженерию;
        • внедрение института киберучений как основного механизма стресс-тестирования при осуществлении надзора в части оценки киберрисков;
        • развитие информационного обмена ФинЦЕРТ с участниками кредитно-финансовой сферы в части противодействия компьютерным атакам.

        Национальная система управления данными

        Проект федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» в части формирования национальной системы управления данными» (далее – проект ФЗ) был опубликован 7 декабря.

        Согласно проекту ФЗ под национальной системой управления данными (далее – НСУД) будет подразумеваться совокупность взаимосвязанных методологических, правовых, организационно-управленческих и информационно-технологических компонентов, обеспечивающих эффективное управление данными НСУД на федеральном, региональном и муниципальном уровне.

        Также в проекте ФЗ предлагается дать новую трактовку понятиям:

        • «информация»;
        • «обладатель информации»;
        • «документированная информация»;
        • «оператор информационной системы».

        И ввести ряд новых понятий:

        • «государственные данные»;
        • «информационная система публичного сектора»;
        • «эталонные данные НСУД»;
        • «вид данных НСУД»;
        • «модель данных НСУД» и др.

        Предлагается дополнить Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» статьями «Обязанности оператора информационной системы публичного сектора» и «Национальная система управления данными».

        Порядок обращения с документами для служебного пользования

        Минцифры России 1 декабря опубликовало проект приказа «Об утверждении Положения о порядке обращения с документами для служебного пользования» (далее – проект приказа Минцифры России).

        Проектом приказа Минцифры России планируется признать утратившим силу постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности» и ввести новое положение ‎о порядке обращения с документами для служебного пользования.

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы