Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Выбрать дату в календареВыбрать дату в календаре

Страницы: 1 2 3 4 5 6 7 8 9 10 След.
[ Закрыто] Лицензия ФСТЭК, Что нужно?
Цитата
Юрий пишет:
Для гос.тайны лицензия по ТЗКИ не нужна.

+1
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
[ Закрыто] АС и ИСПДн
Если "на пальцах": ИПДН=АС+информация(БД), АС=СВТ+персонал
Основное отличие АС от ИСПДн - наличие информации

По определению в ГОСТ 34.003-90 "автоматизированная система; AC: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций"

классификация АС по требованиям безопасности информации осуществляется на основе (исходные данные):
- перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
- перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
- матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
- режим обработки данных в АС.

Основными исходными данными при присвоении класса ИСПДн являются:
- категория обрабатываемых в информационной системе персональных данных - Хпд;
- объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - Хнпд;
- заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе;

Исходя из вышеизложенного присвоение класса АС не отменяет определение класса ИСПДн. После этого необходимо выполнить требования, прописанные в документах. Основное дополнение - модель угроз.
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
[ Закрыто] Аттестация ИСПДн
Вот этим постановлением было отменено ПП 226:
Постановление Правительства РФ от 10 сентября 2009 г. N 723 "О порядке ввода в эксплуатацию отдельных государственных информационных систем"
А вообще, для желания есть тысяча возможностей, для нежелания - тысяча причин!
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
Встреча с представилелями РКН и ФСТЭК
Цитата
GoDr пишет:
А вам не кажется что "разговор с представителями..." больше напоминает абсолютно не профессиональны, философский разговор в курилке? Я и раньше сомневался в компетенции некоторых товарищей, а после такого просто в шоке (особенно про 1С). И это очень обидно.

Удивлен. У себя в Управлении создаем ОИ в кадрах и будем аттестовывать по СТР-К (есть только СТ и обработка ПДн в office). Надеюсь такое разъяснение давали представители не нашего Управления?
1С - однозначно имеет БД, и не все процессы, связанные с принятием решения, идут с непосредственным участием оператора.
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
Правомочна ли проверка ФСТЭК
По-моему, написано все вполне корректно, подразумевается, что органы судебной и законодательной власти субъектов РФ не подконтрольны.
1. Органы власти:
- органы государственной власти (законодательной, исполнительной,судебной):
федеральные ОГВ, их территориальные органы;
ОГВ субъектов РФ;
- органы местного самоуправления ("органы власти на местах", "муниципальная власть", таковыми в основном являются администрации районов в субъектах РФ).
2. Организации, подведомственные органам власти
3. Организации:
юридические лица, независимо от их формы собственности (т.е. не индивидуальные предприниматели)

Не организациям местного самоуправления, а органам местного самоуправления
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
Правомочна ли проверка ФСТЭК
Может быть я что-то упустил из виду, тогда поравьте меня.

4. Основными задачами ФСТЭК России являются:
9) осуществление в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;

9. ФСТЭК России в целях реализации своих полномочий имеет право:
2) осуществлять контроль деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти (в Минобороны России, СВР России, ФСБ России, ФСО России и ГУСПе - по согласованию с руководителями указанных органов), в органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях, определять порядок, формы и методы осуществляемого в пределах своей компетенции контроля;
Изменено: Евгений В. Казаков - 02.12.2010 23:28:31
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
Правомочна ли проверка ФСТЭК
Самостоятельные проверки ФСТЭК России могут быть и они будут. План проверок на 2011 год уже согласован органами Прокуратуры РФ. Вот только, может быть, это будет не отдельный вид контроля по ОБ ПДн, а проверка ОБ ПДн при контроле состояния ТЗИ, например.

ФЗ-152 Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

Положение о ФСТЭК России
(в ред. Указов Президента РФ от 30.11.2006 № 1321, от 23.10.2008 № 1517, от 17.11.2008 № 1625)

4. Основными задачами ФСТЭК России являются:
9) осуществление в пределах своей компетенции контроля деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях;

9. ФСТЭК России в целях реализации своих полномочий имеет право:
2) осуществлять контроль деятельности по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, по противодействию техническим разведкам и по технической защите информации в аппаратах федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, в федеральных органах исполнительной власти (в Минобороны России, СВР России, ФСБ России, ФСО России и ГУСПе - по согласованию с руководителями указанных органов), в органах исполнительной власти субъектов Российской Федерации, органах местного самоуправления и организациях, определять порядок, формы и методы осуществляемого в пределах своей компетенции контроля;
(в ред. Указа Президента РФ от 30.11.2006 № 1321)
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
Договоренности с ФСТЭК 2
Цитата
Андрей Н. пишет:
Следующая подрядная организация, выполняющая работы по проектированию ИСПДн, считает, что данная ИСПДн содержит обезличенные данные.
Позицию Управления ФСТЭК России по СЗФО вы здесь вряд ли усышите, а мою личную - пожалуйста. Как могут данные, содержащие ФИО, быть обезличенными? Можно вообще исходить из предположения, что обезличивание - это необратимый процесс.
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
Регламент проведения проверки ФСТЭК
Цитата
Дмитрий Свидин пишет:
Административные регламенты исполнения государственных функций ФСТЭК - пока такого регламента у ФСТЭКа нет. Нет регламента - нет прав на проведение проверки. А ссылаться на документы, которые нигде не найдешь - противозаконное дело.

У Вас имеется право оспаривать противозаконные деяния установленным порядком в суде.
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
Регламент проведения проверки ФСТЭК
Статья 14. Порядок организации проверки

1. Проверка проводится на основании распоряжения или приказа руководителя, заместителя руководителя органа государственного контроля (надзора), органа муниципального контроля. Типовая форма распоряжения или приказа руководителя, заместителя руководителя органа государственного контроля (надзора), органа муниципального контроля устанавливается федеральным органом исполнительной власти, уполномоченным Правительством Российской Федерации. Проверка может проводиться только должностным лицом или должностными лицами, которые указаны в распоряжении или приказе руководителя, заместителя руководителя органа государственного контроля (надзора), органа муниципального контроля.

Цитата
Дмитрий Свидин пишет:
Гость пишет:
Ситуация: ФСТЭК приходит с проверкой. Ссылаются на два документа которые называются что-то вроде "План деятельности Управления на 2010 год" и "Организационно-методические указания по контролю за обеспечением безопасности перс.данных".

Но ведь "плана проверок" и "регламента" у ФСТЭКа нет? Или, если я чего-то не понимаю и они есть, - где с ними можно ознакомиться?

Указанные Вами документы существуют, но они имеют гриф секретности.
Мне кажется Вы несколько лукавите. Во исполнение 294-ФЗ до вашей организации были свовременно доведены сроки проведения плановой выездной проверки, до руководства был доведен Приказ, дающий основание для проведения проверки и был доведен План проведения проверки, предусматривающий порядок ее проведения и затрагиваемые вопросы. Регламента нет, но основания для проведения контрольной проверки есть.
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
[ Закрыто] Сокращения и термины, Основные, принятые в ГОСТах, законах, нормативных документах и в среде информбезопасников, сокращения и термины для непосвященных
Цитата
Анатолий М пишет:
ПД (ПДн) - персональные данные (любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных))
ИС - информационная система (совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств)
ИСПД (ИСПДн) - информационная система персональных данных (информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств)

Лучше просто ПДн и ИСПДн, так как ПД - это противодействие в аббревиатуре ПД ИТР.
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
ИСПДн отдел кадров
Цитата
Timofey пишет:
Насчет сертифицированных средств понятно вопрос в том как их интегрировать в базу так чтоб у определенного пользователя был доступ лишь к определенным полям.

Перевести 1С под MS SQL Server сертифицированный, разграничить доступ к объектам БД его средствами.
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
[ Закрыто] аттестат на АС и ЗП, Очень нужна помощь!! "...потерялася я..."
Цитата
Татьяна С пишет:
От переизбытка информации описалась, а русские способны только высмеивать...

Уважаемая Татьяна, не обижайтесь, пожалуйста, над Вами никто и не думал смеяться. Просто если хоть иногда не улыбаться, то жить будет скучно. А шутка была исключительно для Kutyrs - раньше мы в одном отделе работали.
А вот товарищи-коллеги Вам дело говорят! Потихоньку разберетесь!
Изменено: Евгений В. Казаков - 17.02.2011 22:07:20
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
[ Закрыто] аттестат на АС и ЗП, Очень нужна помощь!! "...потерялася я..."
Цитата
Kutyrs пишет:
во ФСТЭК придумали новую лицензию, "для обработки ПДн"?

Да Max и выдают ее по вторникам в кабинете №14 :D :D
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
План проверок на 2011 год.
Ваш вопрос был:
Цитата
AVG пишет:
А что такое:
проверка соблюдения лицензионных условий, обязательных требований
применительно к учреждению образования?

Я на него Вам и ответил. Если у школы имеется лицензия ФСТЭК России (в чем я несколько сомневаюсь), то проверяться будет именно соблюдение требований и условий, предусмотренных данной лицензией.
Если я Вас неправильно понял, то давайте смотреть план проверок, касательно Вашей школы.
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
План проверок на 2011 год.
Нет, ФСТЭК проверяет только в области действия своих лицензий. Соблюдение лицензионных тербований и условий в области образования осуществляет Минобрнауки РФ (в Вашем случае, скорее всего, профильный комитет или департамент Администрации).

ПП277:

8. Лицензионными требованиями и условиями при осуществлении образовательной деятельности являются:

а) ведение лицензиатом или заявление к лицензированию соискателем лицензии образовательной деятельности по образовательным программам, предусмотренным для соответствующего типа образовательных учреждений или для научных организаций в соответствии с Законом Российской Федерации "Об образовании" и Федеральным законом "О науке и государственной научно-технической политике";

б) наличие у соискателя лицензии (лицензиата) в собственности или на ином законном основании оснащенных зданий, строений, сооружений, помещений и территорий, необходимых для осуществления образовательной деятельности по образовательным программам заявленного уровня и направленности (включая оборудованные учебные кабинеты, объекты для проведения практических занятий, помещения для работы медицинских работников, питания обучающихся и воспитанников) и отвечающих установленным в соответствии с законодательством Российской Федерации требованиям;

в) наличие у соискателя лицензии (лицензиата) учебно-методической документации, предусмотренной пунктами 6, 6 [1] и 8 статьи 9 Закона Российской Федерации "Об образовании", а также учебной, учебно-методической литературы и иных библиотечно-информационных ресурсов и средств обеспечения образовательного процесса, необходимых для реализации образовательных программ заявленного уровня и направленности в соответствии с федеральными государственными образовательными стандартами (федеральными государственными требованиями) и отвечающих установленным в соответствии с законодательством Российской Федерации об образовании требованиям;

г) наличие в штате соискателя лицензии (лицензиата) или привлечение им на ином законном основании педагогических работников, численность и образовательный ценз которых обеспечивают реализацию образовательных программ заявленного уровня и направленности и отвечают установленным в соответствии с законодательством Российской Федерации об образовании требованиям;

д) соблюдение лицензиатом установленных законодательством Российской Федерации об образовании требований к организации образовательного процесса, а также прав участников образовательного процесса, в том числе требований к максимальному объему учебной нагрузки обучающихся, установленных для образовательных программ соответствующего уровня и направленности;

е) соблюдение лицензиатом предусмотренной лицензией предельной численности обучающихся и воспитанников;

ж) соблюдение лицензиатом Правил оказания платных образовательных услуг, утвержденных постановлением Правительства Российской Федерации от 5 июля 2001 г. N 505.
Изменено: Евгений В. Казаков - 23.01.2011 16:19:02
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
План проверок на 2011 год.
Проверка лицензий на ОС и софт находится в плоскости соблюдения различных авторских прав.
Если по линии ФСТЭК: организации - лицензиаты ФСТЭК России подвергаются лицензионному контролю, в частности проверкам соблюдению лицензионных требований и условий, предусмотренных законодательством о лицензировании отдельных видов деятельности (128ФЗ->504ПП->Административный регламент).
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
Помогите советом. Как правильно оформить владение БД?
Раньше было ПП РФ 226, теперь есть два следующих документа, регулирующие отношения по Вашему вопросу. Есть также несколько ведомственных документов Росархива и Роснедра.

Утверждены
Постановлением Правительства
Российской Федерации
от 24 декабря 2008 г. N 1020

ПРАВИЛА
ГОСУДАРСТВЕННОЙ РЕГИСТРАЦИИ ДОГОВОРОВ О РАСПОРЯЖЕНИИ
ИСКЛЮЧИТЕЛЬНЫМ ПРАВОМ НА ИЗОБРЕТЕНИЕ, ПОЛЕЗНУЮ МОДЕЛЬ,
ПРОМЫШЛЕННЫЙ ОБРАЗЕЦ, ЗАРЕГИСТРИРОВАННЫЕ ТОПОЛОГИЮ
ИНТЕГРАЛЬНОЙ МИКРОСХЕМЫ, ПРОГРАММУ ДЛЯ ЭВМ, БАЗУ ДАННЫХ И
ПЕРЕХОДА БЕЗ ДОГОВОРА ИСКЛЮЧИТЕЛЬНОГО ПРАВА НА ИЗОБРЕТЕНИЕ,
ПОЛЕЗНУЮ МОДЕЛЬ, ПРОМЫШЛЕННЫЙ ОБРАЗЕЦ, ТОВАРНЫЙ ЗНАК, ЗНАК
ОБСЛУЖИВАНИЯ, НАИМЕНОВАНИЕ МЕСТА ПРОИСХОЖДЕНИЯ ТОВАРА,
ЗАРЕГИСТРИРОВАННЫЕ ТОПОЛОГИЮ ИНТЕГРАЛЬНОЙ МИКРОСХЕМЫ,
ПРОГРАММУ ДЛЯ ЭВМ, БАЗУ ДАННЫХ


Утверждено
Постановлением Правительства
Российской Федерации
от 10 сентября 2009 г. N 723

ПОЛОЖЕНИЕ
О РЕГИСТРАЦИИ ФЕДЕРАЛЬНЫХ ГОСУДАРСТВЕННЫХ
ИНФОРМАЦИОННЫХ СИСТЕМ
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
[ Закрыто] Требования о защите информации, содержащейся в информационных системах общего пользования
Цитата
Гость пишет:
ФСБ РФ или ФСБ России - как правильно?

Полное: Федеральная служба безопасности Российской Федерации, сокращенное: ФСБ России

Распоряжение Администрации Президента Российской Федерации Аппарата Правительства Российской Федерации от 16 июля 2008 г. N 943/788 г. Москва

Сокращенные наименования
Изменено: Евгений В. Казаков - 26.10.2010 00:31:33
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
ПДИТР, подразделение по противодействию иностранным техническим разведкам
Цитата
Alex пишет:
Уточню - может ли быть администратором безопасности ИС с ГТ, лицо не являющееся сотрудником подразделения, осуществляющего ЗГТ?

3-1 это не запрещает.

Тогда тоже уточню: ...администратором безопасности ИС с ГТ, лицо не являющееся сотрудником ПОДРАЗДЕЛЕНИЯ ПО ЗГТ
Управление ФСТЭК России по СЗФО, (812) 571-53-84, kazakov@fstec-szfo.ru
Страницы: 1 2 3 4 5 6 7 8 9 10 След.