⚡️ Изменения в 187-ФЗ | импортозамещение ЗОКИИ и категорирование
В ГосДуму внесен законопроект «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», касающиеся уже осуществляемых мероприятий по импортозамещению на ЗОКИИ, категорирования с учетом типовых отраслевых перечней ОКИИ, а также необходимости разработки отраслевых методических документов по категорированию.
В ГосДуму внесен законопроект «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», касающиеся уже осуществляемых мероприятий по импортозамещению на ЗОКИИ, категорирования с учетом типовых отраслевых перечней ОКИИ, а также необходимости разработки отраслевых методических документов по категорированию.
🛡 Стандарт Банка России по обеспечению безопасности финансовых сервисов при удаленном подтверждении личности клиента
Представлен стандарт Банка России СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».
Документ носит рекомендательный характер и вступит в силу 01.07.2024.
Представлен стандарт Банка России СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».
Документ носит рекомендательный характер и вступит в силу 01.07.2024.
Нейро-СКЛАД 🔞
⚡️ Изменения в 187-ФЗ | импортозамещение ЗОКИИ и категорирование В ГосДуму внесен законопроект «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», касающиеся уже осуществляемых мероприятий…
Подробнее о предложенных изменениях:
📖 Проекты ГОСТов от ТК 362
Технический комитет по стандартизации «Защита информации» (ТК 362) приступил к рассмотрению следующих проектов национальных стандартов:
• ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации».
• ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией».
• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке».
• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом».
Технический комитет по стандартизации «Защита информации» (ТК 362) приступил к рассмотрению следующих проектов национальных стандартов:
• ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации».
• ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией».
• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке».
• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом».
Сведения_о_принятых_стандартах_1_кв_2024.pdf
593.8 KB
📖 Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года
ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года.
ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года.
Instruktsiya_po_podklyucheniyu_organizatsiy_k_servisu_rasprostraneniya.docx
1.9 MB
Инструкция по подключению организаций к сервису распространения дистрибутивов информационной системы "Автоматизация органов криптографической защиты"
🏛 Эксперимент по повышению уровня защищенности ГИС продолжается
Официально опубликовано постановление Правительства Российской Федерации от 18.03.2024 № 323
«О внесении изменения в постановление Правительства Российской Федерации от 13 мая 2022 г. № 860», продлевающее эксперимент по повышению уровня защищенности ГИС, который должен был завершиться сегодня (30.03.2024), до 31.12.2024.
Официально опубликовано постановление Правительства Российской Федерации от 18.03.2024 № 323
«О внесении изменения в постановление Правительства Российской Федерации от 13 мая 2022 г. № 860», продлевающее эксперимент по повышению уровня защищенности ГИС, который должен был завершиться сегодня (30.03.2024), до 31.12.2024.
⚙ ГОСТы по разработке безопасного ПО
Данные ГОСТы сегодня вводятся в действие.
Кстати, ознакомиться с официальными текстами можно здесь:
— ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».
— ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».
Данные ГОСТы сегодня вводятся в действие.
Кстати, ознакомиться с официальными текстами можно здесь:
— ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».
— ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».
Программа_защита ПДн.pdf
251.2 KB
📖 Программа повышения квалификации в области защиты ПДн
ФСТЭК России разработана и утверждена новая редакция примерной программы повышения квалификации «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных».
ФСТЭК России разработана и утверждена новая редакция примерной программы повышения квалификации «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных».
📌 ПНСТ «Критическая информационная инфраструктура. Доверенные интегральные микросхемы и электронные модули. Общие положения»
Опубликован ПНСТ 911-2024 «Критическая информационная инфраструктура. Доверенные интегральные микросхемы и электронные модули. Общие положения», который был введен в действие 01.04.2024.
Опубликован ПНСТ 911-2024 «Критическая информационная инфраструктура. Доверенные интегральные микросхемы и электронные модули. Общие положения», который был введен в действие 01.04.2024.
🗝 ГОСТ | Протокол защищенного обмена для индустриальных систем
Опубликован ГОСТ Р 71252-2024 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем».
Данный национальный стандарт введен в действие с 01.04.2024.
Опубликован ГОСТ Р 71252-2024 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем».
Данный национальный стандарт введен в действие с 01.04.2024.
Результаты работы ТК 362 за 1 кв 2024.pdf
283.4 KB
📈 Анализ работы технического комитета по стандартизации «Защита информации» (ТК 362)
Опубликованы результаты анализа работы технического комитета по стандартизации «Защита информации» (ТК 362) и активности организаций-членов ТК 362 в 1 квартале 2024 года.
Опубликованы результаты анализа работы технического комитета по стандартизации «Защита информации» (ТК 362) и активности организаций-членов ТК 362 в 1 квартале 2024 года.
Коллеги, по случаю официальной публикации приказа ФСТЭК России № 240 от 01.12.2023 "Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации" мы подготовили подробный разбор документа.
Telegraph
Приказ ФСТЭК России № 240. Подробный разбор
👨⚖️ До принятия приказа ФСТЭК России № 240 у нас в стране сертификация касалась непосредственно самих средств защиты информации в 4-х различных системах сертификации: Минобороны России, СВР России, ФСБ России и ФСТЭК России. Сейчас с введением приказа №…
🏛 149-ФЗ и ГИС: будет ясность?
Минцифры представило для общественного обсуждения очередной проект Федерального закона «Об информации, информационных технологиях и о защите информации», а также в статью 15 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», касающийся терминологии информационных систем.
Законопроектом, например, предлагается:
1. Скорректировать термин «информационная система».
2. Установить разновидности ИС:
➡️федеральные государственные информационные системы;
➡️региональные государственные информационные системы;
➡️муниципальные информационные системы;
➡️иные информационные системы.
3. Ввести термины «цифровая платформа», «государственные цифровые платформы», «электронный сервис», «облачные услуги по предоставлению вычислительных ресурсов» и «облачные услуги по предоставлению программного обеспечения».
Напомню, что это не первая подобная попытка Минцифры. С ранними аналогичными инициативами Министерства можно ознакомиться здесь и здесь.
Минцифры представило для общественного обсуждения очередной проект Федерального закона «Об информации, информационных технологиях и о защите информации», а также в статью 15 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», касающийся терминологии информационных систем.
Законопроектом, например, предлагается:
1. Скорректировать термин «информационная система».
2. Установить разновидности ИС:
➡️федеральные государственные информационные системы;
➡️региональные государственные информационные системы;
➡️муниципальные информационные системы;
➡️иные информационные системы.
3. Ввести термины «цифровая платформа», «государственные цифровые платформы», «электронный сервис», «облачные услуги по предоставлению вычислительных ресурсов» и «облачные услуги по предоставлению программного обеспечения».
Напомню, что это не первая подобная попытка Минцифры. С ранними аналогичными инициативами Министерства можно ознакомиться здесь и здесь.
📹 Запись вебинара «Информационные системы и ОКИИ в здравоохранении: актуальные вопросы и изменения в законодательстве».
Основные поднятые темы:
• Проект изменений 187-ФЗ;
• АСУ, ИС, ИТКС, как объекты КИИ в сфере здравоохранения;
• Типовые объекты КИИ в сфере здравоохранения.
P.S.: смотреть лучше с третьей минуты.
Основные поднятые темы:
• Проект изменений 187-ФЗ;
• АСУ, ИС, ИТКС, как объекты КИИ в сфере здравоохранения;
• Типовые объекты КИИ в сфере здравоохранения.
P.S.: смотреть лучше с третьей минуты.
YouTube
Информационные системы и ОКИИ в здравоохранении: актуальные вопросы и изменения в законодательстве
📺 Публикуем запись полезного вебинара от МедИнфоБез “Информационные системы и ОКИИ в здравоохранении: актуальные вопросы и изменения в законодательстве”, который провел Попов Алексей Юрьевич - преподаватель АИС, эксперт, автор методик по управлению проектами…
✈️ В дополнение к данному обзору хотел бы добавить, что от организаций, которые попадут на обязанность выполнения данного методического документа, также потребуется:
• издать внутренний регламент, который будет регламентировать периодичность, точные сроки проведения рассматриваемой оценки и порядок определения специалистов организации, которые будут осуществлять оценку;
• учитывать, что при продолжительном невыполнении мер, рассматриваемых при проведении оценки, показатель защищенности будет снижаться.
Ну а пока стоит дождаться нормативного правового акта, который определит, для кого исполнение данного методического документа станет обязательным. По косвенным признакам и используемым текстовым конструкциям создается впечатление, что обязательным документ станет для субъектов КИИ с ЗОКИИ и для тех, кто попал под действие Указа Президента № 250.
P.S.: поучаствовать в обсуждении вопросов, связанных с рассматриваемым методическим документом, можно здесь.
• издать внутренний регламент, который будет регламентировать периодичность, точные сроки проведения рассматриваемой оценки и порядок определения специалистов организации, которые будут осуществлять оценку;
• учитывать, что при продолжительном невыполнении мер, рассматриваемых при проведении оценки, показатель защищенности будет снижаться.
Ну а пока стоит дождаться нормативного правового акта, который определит, для кого исполнение данного методического документа станет обязательным. По косвенным признакам и используемым текстовым конструкциям создается впечатление, что обязательным документ станет для субъектов КИИ с ЗОКИИ и для тех, кто попал под действие Указа Президента № 250.
P.S.: поучаствовать в обсуждении вопросов, связанных с рассматриваемым методическим документом, можно здесь.
📕 Система нормативных правовых актов, методических и информационных документов в области обеспечения безопасности КИИ.
🔊 Условия по защите информации для участников платформы цифрового рубля
Банк России опубликовал Условия по защите информации для участников платформы цифрового рубля, которые будут применяться с 01.01.2025.
Банк России опубликовал Условия по защите информации для участников платформы цифрового рубля, которые будут применяться с 01.01.2025.
Калькулятор_показатель_защищенности.xlsx
18.9 KB
🧮 Калькулятор расчета показателя защищенности
В продолжение темы недавно опубликованной Методики оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации предлагается инструмент для автоматизации и ускорения процесса расчета этого самого показателя защищенности — калькулятор расчета показателя защищенности и его сравнения с нормированным значением.
В продолжение темы недавно опубликованной Методики оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации предлагается инструмент для автоматизации и ускорения процесса расчета этого самого показателя защищенности — калькулятор расчета показателя защищенности и его сравнения с нормированным значением.
➡️ Информация ФСТЭК по Порядку сертификации процессов безопасной разработки ПО
Спустя почти месяц после даты официального опубликования ФСТЭК России информирует об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации.
Регулятор указывает, что вышеуказанный Порядок предназначен для изготовителей сертифицированных средств защиты информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, а также для органов по сертификации, выполняющих работы по сертификации процессов безопасной разработки программного обеспечения средств защиты информации.
Указывается, что данный Порядок определяет порядок сертификации процессов безопасной разработки программного обеспечения средств защиты информации на соответствие требованиям национального стандарта Российской Федерации ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» в рамках действующей системы сертификации ФСТЭК России.
Регулятор обращает внимание, что наличие действующего сертификата соответствия процессов безопасной разработки программного обеспечения средств защиты информации требованиям по безопасной разработке, установленным в ГОСТ Р 56939-2016, позволяет изготовителям сертифицированных средств защиты информации самостоятельно проводить испытания в случае внесения в сертифицированное средство защиты информации изменений, в том числе изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации, с обновлением версий программного обеспечения, включая совершенствование функций его безопасности или добавление новых функций безопасности, а также с добавлением новых или изменением существующих аппаратных платформ.
Источник: Информационное сообщение ФСТЭК России от 26.04.2024 № 240/24/1958 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
Спустя почти месяц после даты официального опубликования ФСТЭК России информирует об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации.
Регулятор указывает, что вышеуказанный Порядок предназначен для изготовителей сертифицированных средств защиты информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, а также для органов по сертификации, выполняющих работы по сертификации процессов безопасной разработки программного обеспечения средств защиты информации.
Указывается, что данный Порядок определяет порядок сертификации процессов безопасной разработки программного обеспечения средств защиты информации на соответствие требованиям национального стандарта Российской Федерации ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» в рамках действующей системы сертификации ФСТЭК России.
Регулятор обращает внимание, что наличие действующего сертификата соответствия процессов безопасной разработки программного обеспечения средств защиты информации требованиям по безопасной разработке, установленным в ГОСТ Р 56939-2016, позволяет изготовителям сертифицированных средств защиты информации самостоятельно проводить испытания в случае внесения в сертифицированное средство защиты информации изменений, в том числе изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации, с обновлением версий программного обеспечения, включая совершенствование функций его безопасности или добавление новых функций безопасности, а также с добавлением новых или изменением существующих аппаратных платформ.
Источник: Информационное сообщение ФСТЭК России от 26.04.2024 № 240/24/1958 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
