УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Обзор изменений в законодательстве за май 2013

        Обзор изменений в законодательстве за май 2013

        6 июня 2013
        Новости
        Юлия Новоселова, старший аналитик УЦСБ, представила обзор изменений в законодательстве за май 2013

        Долгожданный новый приказ ФСТЭК России

        Самым важным событием прошедшего месяца в сфере ИБ безусловно можно назвать официальное опубликование приказа ФСТЭК России от 18 февраля 2013 г. № 21«Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Приказ вступил в силу 2 июня 2013 г., отменив действовавший ранее приказ № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». Новый приказ влечет за собой кардинальные изменения в области защиты персональных данных (ПДн) и определяет новые подходы к построению системы защиты персональных данных (СЗПДн).

        Важно отметить, что данный приказ не применяется при обеспечении безопасности ПДн при их обработке в государственных информационных системах. В этом случае требования по защите ПДн определяются в соответствии с еще одним новым приказом ФСТЭК России от 21 февраля 2013 г. №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», который будет подробно рассмотрен в следующем выпуске обзора.


        Подход к формированию требований

        В соответствии с новым приказом ФСТЭК России формирование требований к СЗПДн включает следующие этапы:

        1. Определение базового набора требований в зависимости от уровня защищенности ПДн. 
        Для каждого уровня защищенности документ ФСТЭК России определяет конкретизированный набор мер, направленных на обеспечение безопасности ПДн.

        Напомню, что понятие уровня защищенности ПДн пришло на смену класса ИСПДн из Постановления Правительства №1119, в соответствии с которым уровень защищенности ПДн определяется в зависимости от типа ИСПДн, типа актуальных угроз и количества обрабатываемых данных. Подробно порядок классификации ИСПДн и определения уровня защищенности ПДн рассматривался в предыдущих обзорах.

        2. Адаптация базового набора требований путем исключения неприменимых требований. 
        На данном этапе исключение требований может осуществляться в связи с отсутствием использования той или иной технологии (например, беспроводной ЛВС, технологии виртуализации) или характеристики конкретной ИС (например, удаленного доступа к ИС).

        3. Уточнение адаптированного набора требований путем включения дополнительных требований. 
        Уточнение адаптированного набора требований производится с целью нейтрализации всех актуальных угроз безопасности ПДн в случае недостаточности выбранных ранее мер.

        4. Дополнение уточненного набора требований мерами, установленными иными нормативными правовыми актами в области обеспечения ПДн и защиты информации. 
        В данном случае набор мер может дополняться требованиями ФСБ России по защите ПДн, отраслевыми требованиями и требованиями других нормативных документов, действие которых распространяется на конкретного оператора ПДн.

        5. Включение компенсирующих мер взамен отдельных требований из состава мер, определенных на предыдущих этапах. 
        Включение компенсирующих мер, обеспечивающих нейтрализацию актуальных угроз, может осуществляться на этапах адаптации и уточнения набора мер при невозможности технической реализации отдельных требований, а также с учетом экономической целесообразности.

        Необходимо отметить, что адаптация, уточнение и применение компенсирующих мер требуют соответствующего обоснования при проектировании системы защиты ПДн.


        Ключевые изменения

        К важным изменениям в составе требований, определяемых новым приказом ФСТЭК России, можно отнести появление мер, направленных на обеспечение безопасности ПДн при использовании современных технологий, а также предусматривающих применение новых классов СрЗИ. Так, устанавливаются следующие меры:

        — защита среды виртуализации; 
        — контроль беспроводных соединений; 
        — контроль содержания передаваемой из ИС информации и исключение неправомерной передачи запрещенной информации; 
        — управление инцидентами.

        Относительно использования сертифицированных СрЗИ для каждого уровня защищенности с учетом типа актуальных угроз и наличия подключения ИС к сети Интернет, устанавливаются требования к классам используемых СрЗИ. Соответствие классов СрЗИ и уровней защищенности ПДн приведено в таблице.


        Существующие вопросы

        Еще на этапе обсуждения проекта приказа ФСТЭК был выявлен ряд проблем, связанных с переходом от старых требований по обеспечению ПДн к новым, которые могут возникнуть при реализации СЗПДн. В отношении части из них на сегодняшний момент известна официальная позиция регулятора, для остальных эксперты в области ИБ предлагают свои собственные решения. Самыми обсуждаемыми вопросами являются:

        1. Что делать, если СЗПДн была создана или запроектирована до выхода Постановления Правительства № 1119 в соответствии с требованиями, установленными Приказом № 58?

        В этом случае внесение изменений в существующую или создаваемую СЗПДн не требуется, однако при модернизации ИСПДн должны учитываться новые требования, устанавливаемые приказом ФСТЭК.

        2. Каким образом теперь определять возможность использования того или иного СрЗИ, используя информацию из сертификатов соответствия СрЗИ?

        В информационном письме, опубликованном на официальном сайте ФСТЭК России, дается разъяснение порядка применения СрЗИ, ранее сертифицированных для использования в ИСПДн определенных классов, применительно к уровням защищенности ПДн, приведенное в таблице.


        При этом возможность применения СрЗИ, использование которых разрешалось согласно сертификату соответствия в ИСПДн 3-го класса, не рассматривается.

        Кроме того, при обеспечении защищенности ПДн могут применяться СрЗИ, в сертификатах соответствия на которые не приведена информация о возможности их использования для защиты ПДн. В этом случае функции безопасности СрЗИ должны обеспечивать соответствующие технические меры по обеспечению определенного уровня защищенности ПДн, определенные приказом ФСТЭК России. Иначе говоря, для определения возможности использования таких СрЗИ для защиты ПДн необходимо провести анализ требований технических условий на СрЗИ, на соответствие которым проводилась оценка соответствия.

        3. Является ли обязательным использование сертифицированных СрЗИ?

        Данный вопрос является наиболее спорным. В соответствии с приказом ФСТЭК России меры по обеспечению безопасности ПДн могут реализовываться с использованием СрЗИ, прошедших в установленном порядке процедуру оценки соответствия. При этом эксперты в области ИБ указывают на необходимость правильного толкования понятия «процедуры оценки соответствия», включающего в себя обязательную сертификацию лишь в качестве одного из возможных способов подтверждения соответствия.


        Выводы

        Несмотря на кажущуюся сложность предлагаемого подхода к формированию требований по обеспечению безопасности ПДн, новый приказ ФСТЭК России обеспечивает гибкость при проектировании СЗПДн, позволяя наиболее оптимальным образом определить состав защитных мер, учитывающих специфику конкретного оператора ПДн. Однако отдельные требования по-прежнему являются трудновыполнимыми и представляют определенные сложности при реализации СЗПДн.


        О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных

        15 мая Российская Федерация завершила процедуру ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Данная конвенция является первым международным договором мирового значения, содержащим юридически обязывающие нормы в области защиты ПДн.

        Конвенция подписана Россией 7 ноября 2001 года, после чего была проведена значительная работа по реализации положений Конвенции в российском законодательстве, в рамках которых был разработан ФЗ «О персональных данных», утвержден ряд Постановлений Правительства, разработаны методические документы ФСТЭК России и ФСБ России, а также внесены изменения в различные законодательные акты РФ.

        Конвенция вступит в силу для России с 1 сентября 2013 г.


        Сведения об инцидентах для Банка России

        Банк России опубликовал проект изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». Одним из предлагаемых изменений является расширение состава передаваемой информации об инцидентах. В частности, в Банк России должны быть предоставлены следующие сведения:

        — условие возникновения инцидента; 
        — причина инцидента; 
        — последствия инцидента; 
        — действия по устранению инцидентов и др. 

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы