УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Обзор изменений в законодательстве за июль 2014

        Обзор изменений в законодательстве за июль 2014

        15 августа 2014
        Новости

        Новые рекомендации Банка России

        Банк России опубликовал на своем сайте рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014), которые вводятся в действие с 1-го сентября 2014-го года.

        Документ содержит требования к организации работ по обеспечению ИБ на 7 стадиях жизненного цикла АБС:

        1. Разработки технического задания
        2. Проектирования АБС
        3. Создания и тестирования АБС
        4. Приемки и ввода в действие
        5. Эксплуатации
        6. Сопровождения и модернизации АБС
        7. Снятия с эксплуатации.

        В Приложении к РС БР ИББС-2.6-2014 приводится список из 122 типовых недостатков в реализации функций безопасности АБС, а также рекомендации по контролю исходного кода АБС и оценке ее защищенности, включая проведение пентестов и выявление известных уязвимостей программного обеспечения.

        Среди проблем АБС с точки зрения безопасности выделены как общие недостатки, характерные для всех АБС и банковских приложений, так и недостатки приложений дистанционного банковского обслуживания и электронных средств платежа, веб-приложений, СУБД, ОС, телекоммуникационного оборудования и технологий виртуализации.

        Рекомендуемыми ЦБ методами анализа исходного кода являются:

        — контроль кода вручную;
        — статический анализ кода;
        — динамический анализ кода.

        Защита информации в АСУ ТП

        30 июня Минюстом был зарегистрирован долгожданный приказ  ФСТЭК России №31 от 14.03.2014 по защите АСУ ТП. И уже в июле ФСТЭК России опубликовала разъяснения отдельных положений 31-го приказа, в том числе были даны комментарии о применении установленных требований для обеспечения безопасности информации в ключевых системах информационной инфраструктуры, а также проведении аттестации АСУ ТП на соответствие требованиям по защите информации.

        Детальный обзор приказа №31 с учетом информационного сообщения ФСТЭК России приведен в аналитической записке.

        Закон о блогерах в действии

        С 1 августа 2014 года в РФ вступил в силу так называемый «закон о блогерах», который рассматривался нами ранее в июньском обзоре. Для исполнения закона Роскомнадзор создал специальный сайт http://97-fz.rkn.gov.ru, на котором обязан зарегистрироваться (по своей инициативе либо по требованию Роскомнадзора или правоохранительных органов) в качестве СМИ автор блога, чьи страницы посещает более 3 тысяч человек в сутки.

        Новые документы PCI DSS v.3.0

        Совет PCI SSC опубликовал обновленную концепцию поэтапного подхода к выполнению требований PCI DSS версии 3.0.

        Основное назначение данного документа — предложить упорядоченный перечень поэтапного подхода по приведению компании в соответствие требованиям PCI DSS. Документ предлагает 6 последовательных этапов работ, которые может использовать компания для обработки рисков в порядке уменьшения их приоритета:


        1. удаление критичных аутентификационных данных и ограничение хранения данных о держателях карт;
        2. защита периметра, внутренних и беспроводных сетей;
        3. обеспечение безопасности платежных приложений;
        4. управление и контроль доступа к сети и среде данных о держателях карт;
        5. защита хранимых данных о держателях карт;
        6. устранение оставшихся несоответствий.

        В обновленной версии концепции учтены изменения, внесенные в стандарт PCI DSS версии 3.0 в сравнении с версией 2.0. В частности, изменен приоритет выполнения ряда требований стандарта PCI DSS, а также приведено соответствие новых и измененных требований стандарта конкретным этапам работ.

        Кроме того, был опубликован новый документ, Information Supplement: Third-Party Security Assurance, содержащий рекомендации по обеспечению безопасного взаимодействия с поставщиками услуг, которые имеют доступ к данным держателей карт или могут повлиять на безопасность данных держателей карт.

        Безопасность критической инфраструктуры NIST

        В феврале этого года NIST опубликовал первую версию методики по повышению уровня информационной безопасности критически важных объектов — «Framework for Improving Critical Infrastructure Cybersecurity».

        В рамках методики под критически важной инфраструктурой подразумевается совокупность систем и активов, настолько жизненно важных для государства, что уничтожение таких систем и активов будет иметь пагубные последствия для национальной безопасности.

        Документ основывается на использовании процесса управления рисками и включает в себя три основные части:

        — Framework Core — основа;
        — Framework Profile — профили безопасности;
        — Framework Implementation Tiers — уровни реализации мер защиты информации.

        Framework Core включает в себя следующие компоненты:

        — Функции — базовые направления деятельности по обеспечению ИБ, такие как как идентификация, защита, обнаружение, реагирование и восстановление.
        — Меры обеспечения безопасности, например, управление активами, контроль доступа, обнаружение вторжений.
        — Содержание мер обеспечения безопасности, включающее описание организационных и технических мер защиты информации.
        — Ссылки на стандарты, включающие указание на конкретные разделы руководств, лучших практик и стандартов, иллюстрирующие методы выполнения соответствующих мер защиты.

        В Framework Implementation Tiers определяется 4 основных уровня реализации мер защиты информации, определяющих организацию процесса управления рисками ИБ, характеризующих строгость и сложность применяемых методов и степень интегрированности процесса в общий процесс управления рисками.

        Уровень 1. Частичный (Partial)
        Организационные меры управления рисками формализованы и отчасти выполняются. Приоритеты развития и управлением ИБ не зависят от выявления рисков.

        Уровень 2. Информированный о рисках (Risk Informed)
        Процесс управления рисками утвержден руководством организации, но не установлен в качестве общей политики безопасности. Определение приоритетов поддержания ИБ зависит от текущих угроз организации.

        Уровень 3. Повторяемый (Repeatable)
        Практика управления рисками утверждена в политике организации. Организационные меры ИБ постоянно изменяются и дополняются на основе требований бизнеса и изменений внешних и внутренних факторов.

        Уровень 4. Адаптивный (Adaptive)
        Процесс управления рисками. Организация адаптирует своим методы обеспечения ИБ на основе сведений, полученных по результатам расследования инцидентов и вероятностных оценок за предыдущие и текущие периоды жизненного цикла системы. Безопасность является непрерывным процессом совершенствования, позволяющим своевременно реагировать на изменение и возникновение угроз.

        Framework Profile являются инструментом, позволяющим организации определить мероприятия, необходимые для снижения рисков и повышения уровня ИБ в соответствии с задачами всей организации и отдельных её структурных подразделений, учитывающим требования законодательства, регуляторов и лучших практик.

        Кроме того, документ NIST определяет порядок взаимодействия и осуществления бизнес-процессов при реализации предложенной методики, описывает распределение информационных потоков в рамках организации и содержит рекомендации по использованию методики.

        Для создания новой или совершенствования существующей программы обеспечения ИБ рекомендуется выполнение семи базовых шагов:

        Шаг 1. Идентификация
        Шаг 2. Создание текущего профиля
        Шаг 3. Проведения оценки рисков
        Шаг 4. Создание целевого профиля
        Шаг 5. Определение, анализ и приоритезация недостатков
        Шаг 6. Реализация плана действий
        Шаг 7. Достижение и поддержание уровня защищенности.

        В приложении к документу приводится детальное описание Framework Core, методология по обеспечению прав и свобод граждан в процессе осуществления мер по обеспечению ИБ, а также области дальнейшего совершенствования методики повышения уровня ИБ критически важных объектов.

         

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы