Сфера безопасности дорожного движения это сфера транспорта? Видимо нет.

 

Получается, что ФИС ГИБДД-М это не объект КИИ, а ГИБДД не субъект КИИ. Явно прописана ГИС и ИСПДн, но не КИИ.

«ФИС ГИБДД-М состоит из подсистем: «транспортные средства», «водительские удостоверения», «получение и предоставление сведений» и «административные правонарушения» со сведениями о совершенных административных правонарушениях, административных наказаниях и лицах, совершивших административные правонарушения; ФИС ГИБДД-М является информационной системой класса защищенности К1, обеспечивающий 2 уровень защищенности обрабатываемых персональных данных».

ГосСОПКА v3.0

  

  Первомай 2022 года ознаменовался выходом Указа Президента РФ от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", который сразу вызвал бурное обсуждение на всех медийных площадках. Чем же документ привлек такое внимание?

Корректировка применения порядка аттестации от ФСТЭК

  Порядок аттестации действует уже полгода, пришло время ФСТЭК уточнить применение приказа 77 на местах. Информационное сообщение более направлено на лицензиатов ТЗКИ ФСТЭК с видом работы по аттестации, чем на владельцев объектов информатизации.

  Учитывая последние требования законодательства по письменному уведомлению ФСТЭК о каждом изменении состава любого объекта КИИ - https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-obnovliaem-svedeniia-ob-okii-61df1d5f40e40b385ffd96c9

 , возникает ощущение что кто то решил повысить востребованность Почты России в стране. Все по старинке, бандеролью носитель электронных документов направлять потребно. С учетом предстоящей переаттестации, вызванной прекращением действия сертификатов СрЗИ и требованиями по обеспечению технологической независимости, почтальонам придется тяжко.

ТБ-Форум 2022

 

     Программа форума в этом году очень насыщенная и многодневная. Для нас традиционно интересны две секции: "Актуальные вопросы защиты информации" и «Защита информации в АСУ ТП. Безопасность критической информационной инфраструктуры»

Изменения в Положение о системе сертификации ФСТЭК

 

   Опубликован Приказ ФСТЭК России от 05.08.2021 N 121 "О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. N 55". Вступит в силу 07.11.2021 года.

Публичная активность регуляторов ИБ

 

  Третий квартал 2021 года выдался богатым на выступления представителей ФСТЭК/ФСБ/НКЦКИ в рамках различных конференций и форумов. Сделал небольшую видеоподборку + презентации докладчиков.

О чем нельзя сообщать иностранным агентам!

 

     Приказ Федеральной службы безопасности Российской Федерации от 28.09.2021 № 379                "Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранным государством, его государственными органами, международной или иностранной организацией, иностранными гражданами или лицами без гражданства могут быть использованы против безопасности Российской Федерации (Зарегистрирован 30.09.2021 № 65202) вызвал бурное оживление в интернет, но на мой взгляд - совершенно не заслуженное.

Защищать ЦОД как ГИС. Инициатива ФСТЭК по изменению 149-ФЗ. Проект НПА.

  ФСТЭК разместила для общественного обсуждения законопроект по внесению изменений в ст.16 149-ФЗ. Замечания и предложения можем подать до 2 сентября 2021 года. Что же ФСТЭК предлагает "починить в текущей редакции 149-ФЗ и с какой целью?

Организация аттестационных испытаний ФСТЭК. Итог.

  

 Со второй попытки ФСТЭК утвердила Приказ Федеральной службы по техническому и экспортному контролю от 29.04.2021 № 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" (Зарегистрирован 10.08.2021 № 64589). Странно, что на сайте ФСТЭК приказ не опубликован  да настоящего момента.

Защищать ЦОД как ГИС. Инициатива ФСТЭК по изменению 149-ФЗ. Часть 2.

 

   Начало - https://valerykomarov.blogspot.com/2021/08/149.html

  Что же такое ЦОД и кто будет исполнителем проектных требований от ФСТЭК?

   Проблемы определения ЦОД в законодательстве разбирал ранее - https://valerykomarov.blogspot.com/2020/07/v2.html

Защищать ЦОД как ГИС. Инициатива ФСТЭК по изменению 149-ФЗ.

   ПЛАН разработки Федеральной службой по техническому и экспортному контролю нормативных правовых актов на 2021 год - https://fstec.ru/normotvorcheskaya/akty/54-inye/2140-vypiska-iz-plana-razrabotki-fstek-rossii-normativnykh-pravovykh-aktov-na-2021-god вроде как есть, но ФСТЭК разместила уже три проекта НПА, которых в этом плане нет. Целесообразность таких внеплановых изменений законодательства вызывает вопросы.

   Сегодня рассмотрим инициативу ФСТЭК по изменению ст.16 в 149-ФЗ, которые должны вступить в силу с 2023 года.

В продолжение о ситуации с лицензиатами ФСТЭК на ТЗКИ

   

    Судя по отчетам ФСТЭК, ситуация с лицензиатами ТЗКИ находится с 2017 года на очень печальном уровне. Почти у половины проверенных в плановом режиме (то есть - лицензиат заранее знает что к нему придут) выявляют существенные нарушения установленных требований! Как результат видим усиление бюрократизма при аттестации, когда вводят требования к дополнительной отчетности и все. Вопросов с целью и эффективностью лицензирования деятельности по ТЗКИ возникает все больше, но за 4 отчетных года не видно никаких попыток регулятора изменить подход и системно подойти к решению проблемы. Видимо всех все устраивает. Ждем отчет за 2021 год, ФСТЭК за первое полугодие уже проверило в два раза больше лицензиатов, чем в прошлом году.

Организация аттестационных испытаний ФСТЭК. Попытка № 2

 

 ФСТЭК опубликовала ответы на поступившие замечания к первой версии Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну. И выложила обновленную версию.

"Кибербезопасность цифрового предприятия" 16.03.2021

 

Компания "Гротек" последний год радует новым форматом и количеством качественных онлайн-конференций из цикла "Кибербезопасность цифрового предприятия". Так, 16.03.2021 на очередной конференции прозвучал доклад директора Научно-образовательного центра новых информационно-аналитических технологий РГУ нефти и газа (НИУ) имени И.М. Губкина, в котором он отразил свой взгляд на утвержденную 05.02.2021 Методику оценки угроз от ФСТЭК России

СКЗИ в ГИС. Проект приказа ФСБ. Итог обсуждения.

 

Завершился этап общественных обсуждений проекта Приказа ФСБ "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации". Проект разбирал  - https://valerykomarov.blogspot.com/2020/11/blog-post_26.htm

Позиция ФСБ озвучена емко и кратко - "ФСБ России и ФСТЭК России в пределах своих полномочий предъявлены самостоятельные требования о защите информации, содержащейся в государственных информационных системах. В этой связи полагаем, что наличие схожих положений в указанных документах допускается для целей регулирования соответствующих правоотношений.". 

Учтенных замечаний нет.

Проект Требований согласован со ФСТЭК России. Предложений и замечаний от ФСТЭК России в ходе согласования не поступило.

"КИБЕРБЕЗОПАСНОСТЬ - НАШИ ДНИ. ПРОМЫШЛЕННЫЕ ТЕХНОЛОГИИ" 2021

 

Пандемия повлияла на традиционный банковский форум по безопасности банков. Февральский форум в Магнитогорске прошел для промышленности.

МЕТОДИКА ОЦЕНКИ УГРОЗ БЕЗОПАСНОСТИ ИНФОРМАЦИИ - 2021

  Мы долго ждали и вот случилось. ФСТЭК утвердила новую методику оценки угроз безопасности. https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/2170-metodicheskij-dokument-utverzhden-fstek-rossii-5-fevralya-2021-g

Инфофорум-2021

 

   Традиционно год открывает Инфофорум. Мероприятие достаточно пафосное и высокоуровневое, тем интереснее, что в этот раз получались вполне познавательные секции форума и для специалистов на местах.

Взлом электронного дневника. Квалификация преступления.

 

   С момента появления электронных дневников и журналов не редкостью стали и хакерские попытки по модификации данных в нем, в основном оценок за учебу. И правоохранительные органы столкнулись  с проблемой квалификации таких компьютерных преступлений. Даже, если следственные органы МВД возбуждали уголовные дела, органы прокуратуры прекращали такие дела.

Организация аттестационных испытаний ФСТЭК

   Опубликован для общественного обсуждения проект приказа ФСТЭК России «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну». У нас есть возможность повлиять на формулировки приказа до 29 декабря 2020 года.

   Ранее я уже касался этого вопроса https://valerykomarov.blogspot.com/2020/03/blog-post_9.html