УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Обзор изменений в законодательстве за сентябрь 2013

        Обзор изменений в законодательстве за сентябрь 2013

        14 ноября 2013
        Новости

        Автор обзора Юлия Добровольская, старший аналитик УЦСБ

        Банк России дает разъяснения 
        На официальном сайте Банка России были опубликованы ответы на типовые вопросы, связанные с реализацией Положения Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Всего было рассмотрено 16 вопросов, касающихся различных аспектов выполнения установленных требований, включая в том числе: 
        — защиту ПДн при осуществлении переводов денежных средств; 
        — соотнесение требований Положения Банка с Постановление Правительства РФ от 13 июня 2012г. №584 «Об утверждении Положения о защите информации в платежной системе»; 
        — необходимость принятия мер по обработке несущественных рисков; 
        — отнесение информации, содержащейся в уведомлении клиента о совершении каждой операции с использованием электронного средства платежа и в чеке банкомата, к защищаемой информации; 
        — порядок информирования клиентов о различных угрозах и рисках при осуществлении переводов денежных средств, а также о мерах их нейтрализации; 
        — возможность применения несертифицированных, но официально ввезенных на территорию России, СКЗИ при оказании услуг дистанционного банковского обслуживания; 
        — необходимость выполнения требований Положений при осуществлении безналичных расчетов. 
         
        Обновленный ISO 27001 
         
        В конце прошлого месяца были опубликованы новые редакции стандартов ISO 27-й серии: ISO/IEC 27001:2013 и ISO/IEC 27002:2013. Сравнение старой и новой версий ISO/IEC 27001:2013 содержится в подготовленном BSI руководстве по переходу на новую версию стандарта. При пересмотре стандартов были учтены принципы и методология оценки рисков, изложенные в ISO 31000, а также требования директив ISO/IEC по унификации стандартов системы управления. 
        По сравнению с прошлой версией стандарта ISO/IEC 27001 значительно изменилась структура документа. Выделены новые блоки требований «Leadership» (Лидерство) и «Support» (Поддержка), акцентирующие внимание, соответственно, на необходимости демонстрации приверженности руководства системе управления ИБ, а также предоставлении необходимых ресурсов, наличию компетенций, повышении осведомленности и управлению коммуникациями. 
        Изменения произошли и в терминологической базе стандарта. Так вместо терминов stakeholders и asset owner появились соответственно Interested parties и Risk owner. 
        В новой редакции документа исчезло упоминание превентивных мер, вместо которых предлагается использовать иной подход, заключающийся в оценке выявленных несоответствий и принятии корректирующих мер. 
        Значительные изменения претерпели механизмы контроля, приведенные в приложении к стандарту. Их состав был серьезно переработан в части внутренней организации ИБ ( А.6.1 «Internal organisation»), контроля доступа (A.9 Access control), приобретения, разработки и обслуживания информационных систем (А.14 System acquisition, development and maintenance), и соответствия требованиям (А.18 Compliance). Помимо этого часть требований была исключена из состава механизмов контроля, а также выделены новые домены (A.13 Communications security, A.10 Cryptography, А.15 Supplier relationships). В целом число механизмов контроля сокращено до 114 (было 133). 
        Изменения на методологическом уровне связаны с исключением из текста стандарта детального описания рекомендуемого подхода к оценке рисков и постоянному улучшению СУИБ. Теперь компания может самостоятельно выбирать подходящую методологию, а метод «актив — угроза — уязвимость» и модель PDCA останутся как лучшие практики для этого стандарта. 
        В целом новая версия стандарта является более удобной и гармонизированной с современными стандартами ISO, однако отсутствие принципиально новых методологических изменений и слишком общий характер описания процессов управления ИБ снижает его практическую ценность в сравнении с другими методологиями (COBIT5, ITIL v3). 
         
        ГОСТ по защите виртуализации и облачных вычислений 
         
        На сайте технического комитета по стандартизации № 362 были опубликованы проекты новых ГОСТ по защите информации, разработанных ГНИИИ ПТЗИ ФСТЭК России: 
        — ГОСТ Р ХХХХХ-20ХХ «Защита информации. Требования по защите информации, обрабатываемой с использованием с использованием технологий „облачных вычислений“. Основные положения»; 
        — ГОСТ Р ХХХХХ-20ХХ «Защита информации. Требования по защите информации, обрабатываемой с использованием технологии виртуализации. Основные положения». 
        По плану работ ТК-362, работы по проектам ГОСТ по виртуализации и облачным вычислениям должны быть завершены в ноябре и в декабре представлены в Росстандарт. 
        Проект ГОСТ Р, посвященный защите информации, обрабатываемой с использованием технологии «облачных вычислений», определяет базовые термины и взаимосвязь между ними, состав и структуру информационных систем, построенных с использованием технологий «облачных вычислений», а также включает в себя обзор объектов защиты и угроз безопасности информации. Так как использование технологии «облачных вычислений» подразумевает всегда наличие двух сторон — поставщика и потребителя облачных услуг, все угрозы безопасности информации делятся в документе на два класса: для поставщиков облачных услуг и для потребителей. Характеристика угроз включает в себя описание способов их реализации и возможные последствия (нарушение целостности, доступности и конфиденциальности информации). Очевидно, что при определении сводного перечня угроз использовались существующие наработки Cloud Security Alliance (Top Threats to cloud computing). 
        В зависимости от вида облачных услуг ГОСТ определяет требования по защите информации. Всего в документе рассматривается 13 видов облачных услуг: 
        — аппаратное обеспечение как услуга (HaaS); 
        — безопасность как услуга (SecaaS); 
        — бизнес-процесс как услуга (BPaaS); 
        — данные как услуга (DaaS); 
        — доверие как услуга (TaaS); 
        — инфраструктура как услуга (IaaS); 
        — облачная среда разработки как услуга (SDPaaS); 
        — общение как услуга (CaaS); 
        — платформа как услуга (PaaS); 
        — подключение как услуга (NaaS); 
        — программное обеспечение как услуга (SaaS); 
        — прозрачность как услуга (TraaaS); 
        — рабочее место как услуга (WaaS). 
        Требования по защите информации включают в себя следующие меры: 
        — по идентификации и аутентификации субъектов и объектов доступа; 
        — по управлению доступом субъектов к объектам; 
        — по ограничению программной среды;
        — по защите машинных носителей информации; 
        — по удалению остаточной информации; 
        — по регистрации событий безопасности; 
        — по криптографической защите хранимой и передаваемой информации; 
        — по антивирусной защите; 
        — по обнаружению (предотвращению) вторжений; 
        — по контролю (анализу) защищенности информации; 
        — по обеспечению доступности информации; 
        — по защите облачного сервера, его средств и систем связи и передачи данных; 
        — по межсетевому экранированию; 
        — по централизованному управлению. 
        Можно заметить, что меры по защите информации во многом напоминают формулировки требований, используемых в 21-ом и 17-ом приказах ФСТЭК России. 
        ГОСТ по защите информации, обрабатываемой с использованием технологии виртуализации, рассматривает требования по защите виртуализации в различных аспектах, включая виртуальные сети и СХД. Содержание документа во многом совпадает с положениями документов NIST, в частности, NIST 800-125 «Guide to Security for Full Virtualization Technologies», который, по-видимому, использовался при разработке ГОСТ. 
        В рассматриваемом документе даются определения терминов «виртуализация», «виртуальная машина», «гипервизор», появившиеся ранее в 21-ом и 17-ом приказах ФСТЭК России. 
        Среди объектов, подлежащих защит, рассматриваются: 
        — файлы виртуальных жестких дисков и файлы с настройками ВМ; 
        — гипервизоры; 
        — системное и прикладное ПО, используемое в виртуализации, и их данные; 
        — средства ЗИ и их данные; 
        — каналы передачи данных; 
        — сетевое оборудование и их данные; 
        — резервные копии данных. 
        В зависимости от типа виртуализации в ГОСТе определяется набор мер по защите информации. К рассматриваемым типам виртуализации относятся: 
        1. Виртуализация аппаратного обеспечения 
        2. Виртуализация программного обеспечения 
        3. Виртуализация с использование гипервизора I типа 
        4. Виртуализация с использование гипервизора II типа 
        5. Виртуализация вычислительных сетей 
        6. Виртуализация систем хранения 
        По каждому из типов виртуализации приводится его описание, характеристика угроз безопасности информации и перечень мер по защите. 
        В целом оба документа получились хорошо структурированными, не сложным для восприятия и достаточно подробными.
        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы