понедельник, 13 августа 2018 г.

Проект изменений в 31 приказ ФСТЭК. Часть 2.

      

      ФСТЭК доработала по итогам общественного обсуждения проект приказа «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31, и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239». http://regulation.gov.ru/projects#npa=82028
     Разбор первой версии приказа :
https://valerykomarov.blogspot.com/2018/07/31.html
Что же изменилось?

среда, 8 августа 2018 г.

ОРИ не желают в СОРМ. А придется?


     Очередной отрицательный отзыв Минэкономразвития на иницативу Минкомсвязи и ФСБ.
     Заключение Минэкономразвития об оценке регулирующего воздействия на проект приказа Минкомсвязи «Об утверждении Требований к оборудованию и программно-техническим средствам, используемым организатором распространения информации в сети «Интернет» в эксплуатируемых им информационных системах, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий, включая систему хранения». http://regulation.gov.ru/projects#npa=18013
    Уровень аргументации на высоте, настолько грамотный текст, что практически нечего исключить или добавить при публикации в блоге. Объем текста большой, но он стоит времени на внимательное прочтение.
     Итог: типичная ситуация для страны- закон действует, ответственность на ОРИ возложена, а подзаконных актов нет. И характерные проблемы законотворческих инициатив "от силовиков": не проверена реализуемость требований, не учитывается особенность бюджетирования организаций, нет расчета стоимости исполнения требований, попытки перевести исполнение закона " в ручной режим".

понедельник, 6 августа 2018 г.

Перспективы Fan ID


     Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации сообщает, что для посещения матчей Чемпионата мира по футболу FIFA 2018 года (ЧМ-2018) всего было заказано 1,83 млн паспортов болельщика (FAN ID).
Самыми активными пользователями паспортов болельщика стали граждане России, которые заказали 987 тысяч FAN ID. На втором месте — граждане Китая (68 тысяч паспортов), на третьем месте — США (52 тысячи паспортов). Также большой популярностью FAN ID пользовался у болельщиков таких стран, как Мексика (44 тысячи), Аргентина (37 тысяч), Бразилия (35 тысяч), Великобритания (31 тысяча), Колумбия (31 тысяча), Германия (30 тысяч), Перу (27 тысяч).

четверг, 2 августа 2018 г.

Сертификация. Живем по новому.

     С 1 августа 2018 сертификация средств защиты информации проводится по новому Положению ФСТЭК. Вступил в силу приказ ФСТЭК 55 от 03.04.18.
     Нюансы и особенности нового положения разбирал:
https://valerykomarov.blogspot.com/2018/05/blog-post_17.html

* Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

понедельник, 30 июля 2018 г.

Как на практике определяют тип ИС (ГИС, ИСПДн или КИИ)? Пример из жизни.


     Ранее уже затрагивал тему полномочий ФСБ самостоятельно определять принадлежность информационной системы к ГИС или ИСПДн, после чего оператору вменялось нарушение мер защиты по п.6.ст.13.12 КоАП РФ. www.itsec.ru/articles2/pravo/ugolovno-pravovye-riski-operatorov-informatsionnyh-sistem/ и https://valerykomarov.blogspot.com/2018/04/blog-post_20.html
    И вот очередной и очень характерный пример из судебной практики. Особенно интересен подобный опыт для субъектов КИИ.

среда, 25 июля 2018 г.

Сканы документов и ПДн




     "Роскомнадзор поместил в реестр запрещенных интернет-ресурсов сайт некоммерческой бесплатной справочно-правовой системы «Росправосудие», на котором публикуются решения российских судов. Соответствующая информация размещена в базе данных ведомства. На это обратил внимание портал «Медиазона»."
       Такое решение, согласно материалам Роскомнадзора, было принято 23 марта Кстовским городским судом Нижегородской области, однако стало известно об этом только сейчас.                   Доступ в соответствии с ним интернет-операторы должны ограничить к странице «Росправосудия» — rospravosudie.com, указывается в реестре. Остальных подробностей об этом производстве на сайте Роскомнадзора не приводится.
https://www.rbc.ru/society/18/07/2018/5b4f6b8e9a79476a4e8951f2
        Чем же примечательно данное событие?

понедельник, 23 июля 2018 г.

Единая сеть электросвязи и 187-ФЗ


   Согласно план-графика Правительства, в ноябре 2017 года должно было выйти Постановление Правительства «Об утверждении порядка подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационный инфраструктуры», подготовленное Минкомсвязь и ФСБ. Размещенный проект ПП вызвал бурное обсуждение в интернете и разгромное экспертное заключение Минэконразвития в феврале 2018 года. На Инфофоруме я пытался узнать дальнейшую судьбу данного проекта ПП у представителей ФСБ и Ростелекома, но не очень результативно
https://valerykomarov.blogspot.com/2018/03/blog-post_66.html

    Но работа по устранению замечаний в Минкомсвязи продолжилась.В мае 2018 года была подготовлена очередная версия ПП, которая так же получила отрицательное заключение Минэкономразвития.

четверг, 19 июля 2018 г.

Риски повышения квалификации специалиста ИБ


     Государственные регуляторы ужесточают требования к уровню образования (профильное или переквалификация) и к поддержанию компетенции в актуальном состоянии (повышение квалификации, мероприятия по повышению осведомленности) персонала, отвечающего за защиту информации в организациях и за выполнение лицензируемых видов работ. И специалисту по ИБ приходится обучаться в различных учебных центрах, включая ведомственные (корпоративные). А  при увольнении работника возможен конфликт интересов работодателя и работника. Стандартно работодатель пытается снизить риски от увольнения квалифицированного сотрудника путем заключения с ним ученического договора, с указанием обязательного периода отработки затрат на обучение.

понедельник, 16 июля 2018 г.

Ваша информация гармонизирована? Тогда МКС идет к вам.

    Последние два года регулярно приходится сталкиваться с результатами активного законотворческого процесса Минкомсвязи. Впечатление от ознакомления с проектами документов стандартно печальное. И вот очередной проект федерального закона "О систематизации и гармонизации информации в Российской Федерации" размещен для публичного обсуждения.
http://regulation.gov.ru/projects#npa=80844

среда, 11 июля 2018 г.

Как поживаете, ОРИ ?


      Вступление в силу с 01.07.2018 Постановления Правительства РФ от 26.06.2018 N 728 «Об утверждении Правил хранения организатором распространения информации в информационно-телекоммуникационной сети «Интернет» текстовых сообщений пользователей информационно-телекоммуникационной сети «Интернет», голосовой информации, изображений, звуков, видео-, иных электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет», вызвало интерес к анализу правоприменительной практики с участием «организаторов распространения информации в сети Интернет» (далее - ОРИ),  стало интересно – а что изменилось в жизни ОРИ с момента фиксации новой сущности в 149-ФЗ?