Новости законодательства и регулирования ИБ.

Законодательство в ИБ

Библиотека безопасника / Презентации к докладам

255 просмотры

0 0

2. Персональные данные #CODEIB

9. ЗАЩИТА ГОСУДАРСТВЕННЫХ ИНФОРМАЦИОННЫХ СИСТЕМ #CODEIB

11. Изменение порядка создания и эксплуатации ГИС #CODEIB

12. Изменение порядка создания и эксплуатации ГИС #CODEIB

15. БЕЗОПАСНОСТЬ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РФ #CODEIB

10. Изменение порядка создания и эксплуатации ГИС #CODEIB ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА No555

23. ТРЕБОВАНИЯ ФСБ РОССИИ ПРОЕКТ ПРИКАЗА ФСБ РОССИИ «ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К СРЕДСТВАМ, ПРЕДНАЗНАЧЕННЫМ ДЛЯ ОБНАРУЖЕНИЯ, ПРЕДУПРЕЖДЕНИЯ И ЛИКВИДАЦИИ ПОСЛЕДСТВИЙ КОМПЬЮТЕРНЫХ АТАК И РЕАГИРОВАНИЯ НА КОМПЬЮТЕРНЫЕ ИНЦИДЕНТЫ»

6. ПРИКАЗ РОСКОМНАДЗОРА Изменения полномочий РКН #CODEIB ПРИКАЗ МИНКОМСВЯЗИ РОССИИ

5. Изменения полномочий РКН #CODEIB + КОНТРОЛЬ ВЫПОЛНЕНИЯ НЕ ТОЛЬКО 152 - ФЗ НО И ДРУГИХ НПА + НЕ ТОЛЬКО ОСУЩЕСТВЛЯЕТ КОНТРОЛЬ, НО ОРГАНИЗУЕТ И ОБЕСПЕЧИВАЕТ + НЕ СОГЛАСУЕТ С ПРОКУРОТУРОЙ ПРОВЕРКИ, НЕ ПУБЛИКУЕТ СВОДНЫЙ ПЛАН

19. КАТЕГОРИРОВАНИЕ ОБЪЕКТОВ КИИ ПОСТАНОВЛЕНИЕ ПРАВИТЕЛЬСТВА РФ No127 ОТ 08.02.2018 ВЫЯВЛЕНИЕ КРИТИЧЕСКИХ ПРОЦЕССОВ ОПРЕДЕЛЕНИЕ ПРОЦЕССОВ ПЕРЕЧЕНЬ ОБЪЕКТОВ КИИ СБОР ДАННЫХ ОБ ОБЪЕКТЕ КИИ ОЦЕНКА ЗНАЧИМОСТИ ОБЪЕКТА КИИ ПРИСВОЕНИЕ КАТЕГОРИИ ЗНАЧИМОСТИ АНАЛИЗ УГРОЗ ФСТЭК РОССИИ ОТРАСЛЕВОЙ РЕГУЛЯТОР

18. 5 УКАЗОВ ПРЕЗИДЕНТА РФ 2 ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ ПРИКАЗА ФСТЭК РОССИИ 6 ПРОЕКТА ПРИКАЗА ФСБ РОССИИ 4 2 ПРОЕКТА ПРИКАЗА ФСТЭК РОССИИ ПОДЗАКОННЫЕ НПА #CODEIB 1 ПРОЕКТ ПРИКАЗА МИНКОМСВЯЗИ

24. Сергей Борисов Заместитель генерального директора по ИБ, ООО “ Информационные системы и аутсорсинг ” БЛОГ : https://sborisov.blogspot.ru/ EMAIL : s.borisov@krasnodar.pro СПАСИБО ЗА ВНИМАНИЕ!! 29 марта 2019 г. г. Краснодар #CODEIB TWITTER: https://twitter.com/sb0risov

13. Изменения в 17 приказ ФСТЭК - УБРАЛИ ГИС КЛАССА К4. ПОМЕНЯЛСЯ ПОРЯДОК КЛАССИФИКАЦИИ + ИСПОЛЬЗОВАТЬ БАНК ДАННЫХ УГРОЗ ФСТЭК РОССИИ + АНАЛИЗ УЯЗВИМОСТЕЙ ОТДЕЛЬНАЯ АТТЕСТАЦИЯ ЦОД + ПОМЕНЯЛИСЬ ТРЕБОВАНИЯ К КЛАССАМ ЗАЩИТЫ СЗИ + + НЕБОЛЬШИЕ ИЗМЕНЕНИЯ В БАЗОВЫХ НАБОРАХ МЕР ЗАЩИТЫ #CODEIB

17. СФЕРА ДЕЙСТВИЯ ФЗ О БКИИ НАУКА ЗДРАВООХРАНЕНИЕ ТРАНСПОРТ ЭНЕРГЕТИКА СВЯЗЬ БАНКОВСКАЯ И ФИНАНСОВАЯ АТОМНАЯ ЭНЕРГЕТИКА ТЭК ОБОРОННАЯ ПРОМЫШЛЕННОСТЬ ГОРНОДОБЫВАЮЩЯЯ ПРОМЫШЛЕННОСТЬ РАКЕТНО - КОСМИЧЕСКАЯ ПРОМЫШЛЕННОСТЬ МЕТАЛУРГИЧЕСКАЯ ПРОМЫШЛЕННОСТЬ ХИМИЧЕСКАЯ ПРОМЫШЛЕННОСТЬ ЛИЦА КОТОРЫЕ ОБЕСПЕЧИВАЮТ ВЗАИМОДЕЙСТВИЕ УКАЗАННЫХ СИСТЕМ И СЕТЕЙ

7. Рекомендации РКН Политика обработки ПДн #CODEIB + ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ КАЖДОЙ ЦЕЛИ + ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ : ПЕРЕДАЧА ПДН ТРЕТЬИМ ЛИЦАМ , СРОКИ ХРАНЕНИЯ ПДН + ВЗАИМОДЕЙСТВИЕ С СУБЪЕКТАМИ ПДН

1. Сергей Борисов Заместитель генерального директора по ИБ, ООО “ Информационные системы и аутсорсинг ” БЛОГ : https://sborisov.blogspot.ru/ EMAIL : s.borisov@krasnodar.pro НОВОСТИ ЗАКОНОДАТЕЛЬСТВА И РЕГУЛИРОВАНИЯ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ 29 марта 2019 г. г. Краснодар #CODEIB TWITTER: https://twitter.com/sb0risov

20. ТРЕБОВАНИЯ ФСТЭК РОССИИ ПРИКАЗ ФСТЭК РОССИИ No235 ОТ 21.12.2017 ПРИКАЗ ФСТЭК РОССИИ No239 ОТ 25.12.2017 + НЕДОПУСКАЕТСЯ ВОЗЛОЖЕНИЕ ОБЯЗАННОСТЕЙ НЕ СВЯЗАННЫХ С ИБ + СЗИ ДОЛЖНЫ БЫТЬ ОБЕСПЕЧЕНЫ ТЕХ. ПОДДЕРЖКОЙ + ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ РАБОТНИКОВ В ВОПРОСАХ ИБ НЕ РЕЖЕ 1 РАЗА В ГОД ТРЕБОВАНИЯ К СОСТАВУ ОРГАНИЗАЦИОННО - РАСПОРЯДИТЕЛЬНОЙ ДОКУМЕНТАЦИИ + ЕЖЕГОДНОЕ ПЛАНИРОВАНИЕ МЕРОПРИЯТИЙ, КОНТРОЛЬ И ОТЧЕТНОСТЬ + + ОЦЕНКА СООТВЕТСТВИЯ : СЕРТИФИКАЦИЯ ИЛИ ИСПЫТАНИЯ (ПРИЕМКА)

14. Изменения в 17 приказ ФСТЭК Классы защиты сертифицированных СЗИ К1 К2 К3 1 + + + 2 + + + 3 + + + 4 + + + 5 + + 6 + #CODEIB

4. ОСВОБОЖДЕНИЕ ОТ ОТВЕТСТВЕННОСТИ - СТ. 2.9 КОАП РФ Судебная практика по статье 13.11 #CODEIB СТАТИСТИКА ЗА ПОСЛЕДНИЕ 4 МЕСЯЦА HTTPS://ROSPRAVOSUDIE.COM/DATE_FROM - 2017 - 11 - 28/DATE_TO - 2018 - 03 - 2 8/CATEGORY - 13 - 11 - S/VIDPR - ADMINISTRATIVNOE/SECTION - ACTS/

16. ФЕДЕРАЛЬНОЕ ЗАКОНОДАТЕЛЬСТВО #CODEIB + + + No187 - ФЗ ОТ 26.07.2017 “ О БЕЗОПАСНОСТИ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ” No 193 - ФЗ ВНОСЯТСЯ ИЗМЕНЕНИЯ В ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ «О ГОСУДАРСТВЕННОЙ ТАЙНЕ» No 194 - ФЗ ДОПОЛНЯЕТ УГОЛОВНЫЙ КОДЕКС РФ СТАТЬЁЙ 274 1 «НЕПРАВОМЕРНОЕ ВОЗДЕЙСТВИЕ НА КРИТИЧЕСКУЮ ИНФОРМАЦИОННУЮ ИНФРАСТРУКТУРУ РОССИЙСКОЙ ФЕДЕРАЦИИ»

8. Изменения в 21 приказ ФСТЭК Классы защиты сертифицированных СЗИ УЗ 1 УЗ 2 УЗ 3 УЗ 4 1 + + + + 2 + + + + 3 + + + + 4 + + + + 5 + + + 6 + +

21. ТРЕБОВАНИЯ ФСТЭК РОССИИ ПРИКАЗ ФСТЭК РОССИИ No235 ОТ 21.12.2017 ПРИКАЗ ФСТЭК РОССИИ No239 ОТ 25.12.2017 + ТРЕБОВАНИЯ К СОДЕРЖАНИЯ МОДЕЛЕЙ УГРОЗ + РАСШИРЕНЫ ТРЕБОВАНИЯ К АНАЛИЗУ УЯЗВИМОСТЕЙ (ПЕНТЕСТЫ, АНАЛИЗ КОДА) + ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ РАБОТНИКОВ В ВОПРОСАХ ИБ НЕ РЕЖЕ 1 РАЗА В ГОД СУЩЕСТВЕННОЕ ИЗМЕНЕНИЯ БАЗОВЫХ НАБОРОВ МЕР ЗАЩИТЫ : 166 – > 152 ДЛЯ 3 КАТЕГОРИИ : 94 – > 86 + + ЗАПРЕТ НЕКОНТРОЛИРУЕМОГО ДОСТУПА, СБОРА ИНФОРМАЦИИ РАЗРАБОТЧИКОМ ПО / АС НОВЫЕ МЕРЫ : ИНВЕНТАРИЗАЦИЯ РЕСУРСОВ , АНАЛИЗ СЕТЕВОГО ТРАФИКА, АУДИТЫ ИБ, ЭШЕЛОНИРОВАННАЯ ЗАЩИТА, ДМЗ, ПЕСОЧНИЦЫ +

3. Изменения в КОАП РФ Пункт статьи 13.11 КоАП РФ Штраф до Гражданин Должностное лицо Юр. лицо 1. Обработка ПДн без оснований или несовместимая с целями сбора ПДн 3 тыс. руб. 10 тыс. руб. 50 тыс. руб. 2. Обработка ПДн без согласия (или неверное согласие) в письменной форме, когда оно необходимо 5 тыс. руб. 20 тыс. руб. 75 тыс. руб. 3. Не опубликование политики обработки и требований защиты 1 тыс. руб. 6 тыс. руб. 30 тыс. руб. 4. Не предоставление информации субъекту ПДн 2 тыс. руб. 6 тыс. руб. 40 тыс. руб. 5. Невыполнение законных требований субъекта ПДн по уточнению, блокированию или удалению 2 тыс. руб. 10 тыс. руб. 45 тыс. руб. 6. Невыполнение требований к безопасному хранению при неавтоматизированной обработке ПДн 2 тыс. руб. 10 тыс. руб. 50 тыс. руб. 7. Невыполнение обязанностей гос. и муниципальных органов по обезличиванию или нарушение правил обезличивания 6 тыс. руб. ИТОГО в случае множественных нарушений 15 тыс. руб. 68 тыс. руб. 290 тыс. руб.

22. ТРЕБОВАНИЯ ФСТЭК РОССИИ Сравнение Анализ нового 3 2 1 3 2 1 ИАФ.0 Разработка правил и процедур (политик) идентификации и аутентификации субъектов доступа и объектов доступа + + + ИАФ.0 Разработка политики идентификации и аутентификации + + + ИАФ.1 Идентификация и аутентификация пользователей, являющихся работниками оператора + + + ИАФ.1 Идентификация и аутентификация пользователей и инициируемых ими процессов + + + ИАФ.2 Идентификация и аутентификация устройств, в том числе стационарных, мобильных и портативных + + ИАФ.2 Идентификация и аутентификация устройств + + + ИАФ.3 Управление идентификаторами, в том числе создание, присвоение, изменение, уничтожение идентификаторов + + + ИАФ.3 Управление идентификаторами + + + ИАФ.4 Управление средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации + + + ИАФ.4 Управление аутентификаторами + + + ИАФ.5 Исключение отображения для пользователя действительного значения аутентификационной информации и (или) количества вводимых символов (защита обратной связи при вводе аутентификационной информации) + + + Удалено ИАФ.5 Идентификация и аутентификация внешних пользователей + + + Из ИАФ.6 ИАФ.6 Идентификация и аутентификация пользователей, не являющихся работниками оператора (внешних пользователей) + + + В ИАФ.5 ИАФ.6 Двусторонняя аутентификация Новое ИАФ.7 Идентификация и аутентификация объектов файловой системы, запускаемых и исполняемых модулей, объектов систем управления базами данных, объектов, создаваемых прикладным и специальным программным обеспечением, иных объектов доступа Удалено ИАФ.7 Защита аутентификационной информации при передаче + + + Новое Условное обозначен ие и номер меры Меры защиты информации в автоматизированных системах управления Классы защищенности I. Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ) Новый приказ ФСТЭК No239 Приказ ФСТЭК No31 Условное обозначение и номер меры Меры обеспечения безопасности Категория значимости I. Идентификация и аутентификация (ИАФ)