УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Обзор изменений в законодательстве за май 2018

        Обзор изменений в законодательстве за май 2018

        7 июня 2018
        Новости

        Украина: закон о кибербезопасности

        Пока в нашей стране в части законодательства по обеспечению безопасности критической информационной инфраструктуры (КИИ) временное затишье, в странах ближнего зарубежья эта тема начала набирать обороты.

        Так, 9 мая Украина приняла закон «Об основных принципах обеспечения кибербезопасности Украины». В документе определены:
        1. Правовые и организационные основы обеспечения защиты национальных интересов Украины в киберпространстве.
        2. Основные цели, направления и принципы государственной политики в сфере кибербезопасности.
        3. Полномочия и обязанности госорганов в сфере обеспечения кибербезопасности.
        4. Полномочия и обязанности госорганов в сфере обеспечения кибербезопасности и основные принципы координации их деятельности.

        В соответствии с законом, киберзащите подлежат коммуникационные системы всех форм собственности, в которых обрабатываются национальные информационные ресурсы и которые используются в интересах государства, а также объекты критической информационной инфраструктуры.

        К последним отнесены системы, функционирующие на предприятиях, независимо от формы собственности, в области:

        • энергетики;
        • химической промышленности;
        • транспорта;
        • информационно-коммуникационных технологий;
        • электронных коммуникаций;
        • в банковском и финансовом секторах;
        • в сферах водо-, газо- и электроснабжения, водоотвода;
        • производства продуктов питания;
        • сельского хозяйства;
        • здравоохранения;
          Также к объектам критической инфраструктуры относятся коммунальные, аварийные и спасательные службы, стратегические предприятия, потенциально опасные производства.
          Здесь жирным шрифтом выделены сферы, не попадающие в область действия отечественного федерального закона 187-ФЗ.

        Что касается промышленного сектора Украины, то, вероятно, предприятия, подлежащие защите, попадут в категорию стратегических или потенциально опасных предприятий. По какому признаку будут формироваться перечни таких предприятий, и как организации понять, является она стратегической или нет — пока не ясно.

        Координация деятельности в сфере кибербезопасности возлагается на Президента через возглавляемый им Совет национальной безопасности и обороны Украины. Рабочим органом будет являться Национальный координационный центр кибербезопасности.

        К основным субъектам национальной системы кибербезопасности отнесены:

        • Государственная служба специальной связи и защиты информации Украины;
        • Нацполиция;
        • СБУ Минобороны;
        • Генштаб Вооруженных Сил;
        • разведывательные органы;
        • Нацбанк;
        • правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA, которая должна вести реестр киберинцидентов, помогать в устранении последствий кибератак, обучать киберзащите на семинарах и т. д.

        В сфере кибербезопасности предусмотрено государственно-частное взаимодействие. Так, система своевременного выявления, предупреждения и нейтрализации киберугроз может быть создана с привлечением волонтерских организаций.
        Предусмотрено повышение цифровой грамотности граждан и культуры безопасности поведения в киберпространстве. Запланированы обмен информацией о киберугрозах и координация команд реагирования на компьютерные чрезвычайные события. Для граждан, представителей промышленности и бизнеса создадут консультационные пункты. Кроме того, будет создана система подготовки кадров и повышения компетентности специалистов различных сфер деятельности по вопросам кибербезопасности.

        Органам госуправления тоже добавили функций. В частности, Нацбанк должен будет определить порядок, требования и меры по обеспечению киберзащиты и ИБ в банковской системе и для субъектов перевода средств. Для этого создается центр киберзащиты.

        Примечательно, что закон не распространяется на социальные сети, частные электронные информационные ресурсы в сети Интернет (включая блог-платформы, видеохостинги, другие веб-ресурсы), если такие информационные ресурсы не содержат информацию, необходимость защиты которой установлена законом.

        Изменения в части сертификации СрЗИ вступают в силу

        Приказ ФСТЭК России от 3 апреля 2018 г. № 55 «Об утверждении положения о системе сертификации средств защиты информации», проект которого был рассмотрен в обзоре за апрель 2018 года, зарегистрирован в Минюсте и вступает в силу с 1 августа 2018 г.

        С момента рассмотрения проекта в итоговый документ внесли поправки:
        1. Полностью убрали зрения раздел о запрете применения сертифицированного СрЗИ. В проекте документа он звучал так:

        93. ФСТЭК России принимает решение о запрете применения сертифицированного СрЗИ в случае, если применение СрЗИ может привести к невыполнению требований по безопасности информации или создает угрозы безопасности информации.
        <…>
        95. СрЗИ, в отношении которого принято решение о запрете его применения, подлежит замене на другое сертифицированное СрЗИ

        2. Конкретизирован и сокращен перечень оснований для отказа в проведении сертификации. В п.25 Положения теперь не просто «наличие у ФСТЭК России сведений об угрозах безопасности, связанных с применением средства защиты информации», а «наличие в БДУ...».

        Напомню, что сертификации в системе ФСТЭК России подлежат, в том числе:

        • средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;
        • средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации.

        В Приказе регламентированы процедуры проведения сертификации СрЗИ. В частности, подача заявки на сертификацию, принятие решения о проведении сертификации, выдача (отказ в выдаче) сертификата соответствия, переоформление сертификата соответствия, прекращение его действия и др.

        А вы готовы к GDPR?1

        На международном правовом поле по ИБ также произошли значимые изменения. В мае 2018 года Европа переключилась на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation.

        Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

        С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: штрафы по GDPR достигают 20 миллионов евро (около 1,5 млрд руб.) (!!!) или 4% годового глобального дохода компании. Причем назначаться будет максимально возможный штраф — в зависимости от того, что больше: 20 миллионов евро или 4% годового глобального дохода.

        Не удивительно, что после вступления директивы в силу, компании начали массово и весьма навязчиво обновлять свои публичные Политики безопасности.

        Кто в зоне действия GDPR?

        GDPR имеет экстерриториальное действие, т. е. актуален для всех компаний, обрабатывающих персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.

        Хозяйке на заметку: разумеется, филиалы и представительства российских организаций на территории ЕС должны будут провести оценку соответствия и далее реализовать новые требования по ИБ.
        В том числе речь идет, например, об онлайн-продаже товаров и услуг гражданам ЕС, даже если она осуществляется с территории РФ. А сюда попадают, на минуточку, РЖД, авиакомпании, гостиницы, хостелы и пр.

        Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они контролируют поведение жителей ЕС. Мониторинг может включать:

        • отслеживание резидента ЕС в интернете;
        • использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).

        Что подразумевается под персональными данным в GDPR?

        Как и в отечественном законе 152-ФЗ, персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить.
        К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.

        Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).

        6 принципов обработки данных по GDPR

        Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:
        1. Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
        2. Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
        3. Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
        4. Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
        5. Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
        6. Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

        В целом, GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными.

        ________________________________________
        1 Подготовлено с использованием материалов https://habr.com/company/digitalrightscenter/blog/344064/

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы