🌐 На сайте ИСО доступен стандарт ISO/IEC 27561:2024 «Модель и метод реализации защиты персональных данных в ходе проектирования»
🔸Стандарт ISO/IEC 27561:2024 «Information security, cybersecurity and privacy protection - Privacy operationalisation model and method for engineering (POMME)» описывает модель и метод практической реализации установленных стандартом ISO/IEC 29100 принципов защиты персональных данных в виде набора мер и средств контроля и управления и функциональных возможностей. Метод описан как процесс, опирающийся на положения стандарта ISO/IEC/IEEE 24774:2021 «Системная и программная инженерия - Управление жизненным циклом - Спецификация для описания процесса».
🔸Стандарт ISO/IEC 27561:2024 «Information security, cybersecurity and privacy protection - Privacy operationalisation model and method for engineering (POMME)» описывает модель и метод практической реализации установленных стандартом ISO/IEC 29100 принципов защиты персональных данных в виде набора мер и средств контроля и управления и функциональных возможностей. Метод описан как процесс, опирающийся на положения стандарта ISO/IEC/IEEE 24774:2021 «Системная и программная инженерия - Управление жизненным циклом - Спецификация для описания процесса».
ISO
ISO/IEC 27561:2024
Information security, cybersecurity and privacy protection — Privacy operationalisation model and method for engineering (POMME)
➡️ Информация ФСТЭК о порядке представления сведений о результатах присвоения ОКИИ одной из категорий значимости в случае их актуализации
ФСТЭК России информирует о порядке представления сведений о результатах присвоения ОКИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий в случае изменения сведений о результатах категорирования такого ОКИИ.
Источник: Информационное сообщение ФСТЭК России от 27.05.2024 № 240/82/1376 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
ФСТЭК России информирует о порядке представления сведений о результатах присвоения ОКИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий в случае изменения сведений о результатах категорирования такого ОКИИ.
Источник: Информационное сообщение ФСТЭК России от 27.05.2024 № 240/82/1376 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий».
🔒 Рекомендации по стандартизации в области криптографической защиты информации
Техническим комитетом по стандартизации «Криптографическая защита информации» (ТК 26) представлены для обсуждения Рекомендации по стандартизации:
• «Информационная технология. Криптографическая защита информации. Ключевая система сети шифрованной связи с использованием ККСВ ВРК с сетевой топологией «звезда».
• «Информационная технология. Криптографическая защита информации. Ключевая система полносвязной многоарендаторной сети шифрованной связи на базе ККС ВРК с ДПУ».
Техническим комитетом по стандартизации «Криптографическая защита информации» (ТК 26) представлены для обсуждения Рекомендации по стандартизации:
• «Информационная технология. Криптографическая защита информации. Ключевая система сети шифрованной связи с использованием ККСВ ВРК с сетевой топологией «звезда».
• «Информационная технология. Криптографическая защита информации. Ключевая система полносвязной многоарендаторной сети шифрованной связи на базе ККС ВРК с ДПУ».
Справка-доклад ТК 362 на 31.05.2024.pdf
140.4 KB
📁 Традиционная справка-доклад о ходе работ по плану ТК 362 (по состоянию на 31.05.2024).
Проект ГОСТ Р 56939.pdf
604.6 KB
🔊 Пересмотренный проект ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»
На сайте ФСТЭК России можно ознакомиться с доработанным (пересмотренным) проектом национального стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
На сайте ФСТЭК России можно ознакомиться с доработанным (пересмотренным) проектом национального стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
ГОСТ Управление УЗ.pdf
846.2 KB
🔊 Проект ГОСТ Р «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования»
На сайте ФСТЭК России можно ознакомиться с проектом национального стандарта ГОСТ Р «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования».
На сайте ФСТЭК России можно ознакомиться с проектом национального стандарта ГОСТ Р «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования».
📣 Указ 250 | Изменения
Официально опубликован Указ Президента Российской Федерации от 13.06.2024 № 500
«О внесении изменений в Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Официально опубликован Указ Президента Российской Федерации от 13.06.2024 № 500
«О внесении изменений в Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Нейро-СКЛАД 🔞
📣 Указ 250 | Изменения Официально опубликован Указ Президента Российской Федерации от 13.06.2024 № 500 «О внесении изменений в Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности…
💭 В связи с внесением изменений в Указ Президента № 250 возобновляется ведение чек-листа по обеспечению его исполнения.
▶️ Вебинар «Регуляторика биометрических технологий».
Ассоциация АБИСС совместно с Академией Информационных Систем продолжает серию бесплатных вебинаров, посвященных регуляторике в сфере ИБ. 19 июня эксперты рассмотрят ошибки при защите биометрии, а также сделают краткий обзор биометрических технологий с точки зрения применения в регуляторике.
⭐️ На вебинаре вы узнаете о:
• правильном трактовании понятий аутентификации и идентификации;
• возможности использования биометрического фактора как единственного;
• выборе биометрических модальностей;
• подводных камнях при биометрическом распознавании и установлении личности;
• типовых ошибках при защите биометрии и способах их избежать.
ℹ️ Участие в вебинаре бесплатное.
❗️ Необходима предварительная регистрация.
🗓 Вебинар состоится 19 июня в 11:00.
➡️ Узнать подробнее и зарегистрироваться: http://abisswebinar.ru
Ассоциация АБИСС совместно с Академией Информационных Систем продолжает серию бесплатных вебинаров, посвященных регуляторике в сфере ИБ. 19 июня эксперты рассмотрят ошибки при защите биометрии, а также сделают краткий обзор биометрических технологий с точки зрения применения в регуляторике.
⭐️ На вебинаре вы узнаете о:
• правильном трактовании понятий аутентификации и идентификации;
• возможности использования биометрического фактора как единственного;
• выборе биометрических модальностей;
• подводных камнях при биометрическом распознавании и установлении личности;
• типовых ошибках при защите биометрии и способах их избежать.
ℹ️ Участие в вебинаре бесплатное.
❗️ Необходима предварительная регистрация.
🗓 Вебинар состоится 19 июня в 11:00.
➡️ Узнать подробнее и зарегистрироваться: http://abisswebinar.ru
💡 Перечень важнейших наукоемких технологий
Официально опубликован Указ Президента Российской Федерации от 18.06.2024 № 529
«Об утверждении приоритетных направлений научно-технологического развития и перечня важнейших наукоемких технологий», в соответствии с которым к важнейшим наукоемким технологиям, например, отнесены:
• технологии микроэлектроники и фотоники для систем защиты информации;
• технологии защищенных квантовых систем передачи данных;
• технологии создания доверенного и защищенного прикладного и системного программного обеспечения.
Официально опубликован Указ Президента Российской Федерации от 18.06.2024 № 529
«Об утверждении приоритетных направлений научно-технологического развития и перечня важнейших наукоемких технологий», в соответствии с которым к важнейшим наукоемким технологиям, например, отнесены:
• технологии микроэлектроники и фотоники для систем защиты информации;
• технологии защищенных квантовых систем передачи данных;
• технологии создания доверенного и защищенного прикладного и системного программного обеспечения.
По оценкам экспертов RPPA отрасль приватности стремительно развивается, расширяются компетенции, появляются новые роли.
Вот, например, инженер по приватности, про эту специальность есть уже не только выпуск подкаста Не для Галочки, но и полноценный образовательный продукт.
Также в формулировке своих навыков поможет Перечень компетенций DPO, а для оформления резюме вполне пригодится методичка от участников RPPA.pro
Вот, например, инженер по приватности, про эту специальность есть уже не только выпуск подкаста Не для Галочки, но и полноценный образовательный продукт.
Также в формулировке своих навыков поможет Перечень компетенций DPO, а для оформления резюме вполне пригодится методичка от участников RPPA.pro
Всем-всем-всем 👋
Вы оператор или обработчик? Чем докажете?
Как оформить обмен данными внутри группы компаний?
Тех, кто хочет уверенно отвечать на эти и другие вопросы, коллеги из Б-152 приглашают на платный мастер-класс на тему «Операторы персональных данных и обработчики: проблемы, роли, инструменты (Мастер-класс «для продвинутых»).
Максим Лагутин, основатель и ведущий эксперт о защите ПДн в Б-152, и Кирилл Зюбанов, Руководитель Personal Data Privacy Team в Wildberries, раскроют все секреты, лайфхаки и нюансы в части операторов, обработчиков и поручений на обработку, а именно:
✈️ Как определить оператора и обработчика персональных данных
✈️ Что такое поручение оператора? Основы смыслов
✈️ Поручение оператора - как определить, когда его заключать?
✈️ В чем смысл поручения? Чем оно полезно? И кому?
✈️ Может ли оператор сам решить, поручать ли обработку?
✈️ Как подписать поручение с контрагентом, когда он против?
✈️ Цена ошибки. Переквалификация в поручение реальна?
✈️ Аудит обработчика - все тонкос...
Вы оператор или обработчик? Чем докажете?
Как оформить обмен данными внутри группы компаний?
Тех, кто хочет уверенно отвечать на эти и другие вопросы, коллеги из Б-152 приглашают на платный мастер-класс на тему «Операторы персональных данных и обработчики: проблемы, роли, инструменты (Мастер-класс «для продвинутых»).
Максим Лагутин, основатель и ведущий эксперт о защите ПДн в Б-152, и Кирилл Зюбанов, Руководитель Personal Data Privacy Team в Wildberries, раскроют все секреты, лайфхаки и нюансы в части операторов, обработчиков и поручений на обработку, а именно:
✈️ Как определить оператора и обработчика персональных данных
✈️ Что такое поручение оператора? Основы смыслов
✈️ Поручение оператора - как определить, когда его заключать?
✈️ В чем смысл поручения? Чем оно полезно? И кому?
✈️ Может ли оператор сам решить, поручать ли обработку?
✈️ Как подписать поручение с контрагентом, когда он против?
✈️ Цена ошибки. Переквалификация в поручение реальна?
✈️ Аудит обработчика - все тонкос...
Калькулятор_показатель_защищенности.xlsx
19.2 KB
🧮 Обновленная версия калькулятор расчета показателя защищенности
Немного обновленная версия калькулятора расчета показателя защищенности и его сравнения с нормированным значением.
Обновления затронули:
• исправление опечаток;
• добавление инструкции по работе с калькулятором;
• корректировка количества защищенных ячеек.
🔖 Напомню, что данный калькулятор предназначен для автоматизации и ускорения процесса расчета показателя защищенности и его сравнения с нормированным значением в соотвествии с Методикой оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации.
Немного обновленная версия калькулятора расчета показателя защищенности и его сравнения с нормированным значением.
Обновления затронули:
• исправление опечаток;
• добавление инструкции по работе с калькулятором;
• корректировка количества защищенных ячеек.
🔖 Напомню, что данный калькулятор предназначен для автоматизации и ускорения процесса расчета показателя защищенности и его сравнения с нормированным значением в соотвествии с Методикой оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации.
🔴 Международная конференция по безопасности платежей #PAYMENTSECURITY
Конференция состоится 26 и 27 сентября 2024 года в Сочи и будет посвящена актуальным вопросам соблюдения требований международных и российских стандартов и положений в области ИБ, а также реализации различных технических решений и процессов ИБ в современных реалиях.
Мероприятие включает два дня актуального контента и общения с единомышленниками среди величественных горных вершин у Черного моря ⛰
Что в программе?
1. Воркшоп по практической информационной безопасности Practical Security Village от команды пентестеров Deiteriy Lab.
2. PCI DSS Training - авторский семинар от команды Deiteriy Compliance.
3. Обсуждение актуальных вопросов с экспертами ИБ и ИТ.
4. Полезные доклады на тему информационной безопасности в финтехе.
🎙Если есть желание заявить о себе и поделиться опытом в формате доклада, необходимо направить тему и тезисы на электронную почту: cfp.ru.
Заявки принимаются до 31 августа 2024 года. Спикерам, чьи доклады получат одо...
Конференция состоится 26 и 27 сентября 2024 года в Сочи и будет посвящена актуальным вопросам соблюдения требований международных и российских стандартов и положений в области ИБ, а также реализации различных технических решений и процессов ИБ в современных реалиях.
Мероприятие включает два дня актуального контента и общения с единомышленниками среди величественных горных вершин у Черного моря ⛰
Что в программе?
1. Воркшоп по практической информационной безопасности Practical Security Village от команды пентестеров Deiteriy Lab.
2. PCI DSS Training - авторский семинар от команды Deiteriy Compliance.
3. Обсуждение актуальных вопросов с экспертами ИБ и ИТ.
4. Полезные доклады на тему информационной безопасности в финтехе.
🎙Если есть желание заявить о себе и поделиться опытом в формате доклада, необходимо направить тему и тезисы на электронную почту: cfp.ru.
Заявки принимаются до 31 августа 2024 года. Спикерам, чьи доклады получат одо...
📑 ИСПДн — ОКИИ
ФСТЭК России разъясняет относительно отнесения сайтов в сети «Интернет» и информационных систем персональных данных (ИСПДн) субъектов КИИ к объектам КИИ.
Видимо, вопрос подписчика был обусловлен следующим.
В соответствии с 187-ФЗ к объектам КИИ относятся информационные системы (ИС), информационно-телекоммуникационные сети (ИТС) и (или) автоматизированные системы управления (АСУ) субъектов КИИ.
Как видно, данное определение не содержит упоминания ни сайтов в сети «Интернет», ни ИСПДн.
При этом термины ИС, ИТС и сайт в сети «Интернет» раскрываются по отдельности в 149-ФЗ. Термин АСУ – в 187-ФЗ, а термин ИСПДн – в 152-ФЗ.
Стоит отметить, что термины ИС и ИСПДн, если взглянуть на их определения из Федеральных законов, никак не связаны между собой (т.е. формально по букве закона ИСПДн не является частной разновидность ИС).
Как следствие, вполне закономерный вопрос, если термины сайт в сети «Интернет» и ИСПДн не упоминаются в определении объектов КИИ и никак не связаны с терминами ИС, ИТС и (ил...
ФСТЭК России разъясняет относительно отнесения сайтов в сети «Интернет» и информационных систем персональных данных (ИСПДн) субъектов КИИ к объектам КИИ.
Видимо, вопрос подписчика был обусловлен следующим.
В соответствии с 187-ФЗ к объектам КИИ относятся информационные системы (ИС), информационно-телекоммуникационные сети (ИТС) и (или) автоматизированные системы управления (АСУ) субъектов КИИ.
Как видно, данное определение не содержит упоминания ни сайтов в сети «Интернет», ни ИСПДн.
При этом термины ИС, ИТС и сайт в сети «Интернет» раскрываются по отдельности в 149-ФЗ. Термин АСУ – в 187-ФЗ, а термин ИСПДн – в 152-ФЗ.
Стоит отметить, что термины ИС и ИСПДн, если взглянуть на их определения из Федеральных законов, никак не связаны между собой (т.е. формально по букве закона ИСПДн не является частной разновидность ИС).
Как следствие, вполне закономерный вопрос, если термины сайт в сети «Интернет» и ИСПДн не упоминаются в определении объектов КИИ и никак не связаны с терминами ИС, ИТС и (ил...
➡️ Изменения в 17-й и 239-й приказы ФСТЭК
Для общественного обсуждения представлен проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».
Проект направлен на установление требования о защите информации от угроз типа «отказ в обслуживании».
Для общественного обсуждения представлен проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».
Проект направлен на установление требования о защите информации от угроз типа «отказ в обслуживании».
🟡 Управление рисками и непрерывностью функционирования платформы цифрового рубля
Для общественного обсуждения представлен проект положения Банка России «О порядке управления рисками и непрерывностью функционирования платформы цифрового рубля».
Для общественного обсуждения представлен проект положения Банка России «О порядке управления рисками и непрерывностью функционирования платформы цифрового рубля».
Нейро-СКЛАД 🔞
➡️ Изменения в 17-й и 239-й приказы ФСТЭК Для общественного обсуждения представлен проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных…
📎 Обзор на предлагаемые изменения:
Справка-доклад_ТК362_28.06.2024.pdf
142 KB
📁 Традиционная справка-доклад о ходе работ по плану ТК 362 (по состоянию на 28.06.2024).
Результаты работы ТК 362 за 2 кв 2024.pdf
346.3 KB
📈 Анализ работы технического комитета по стандартизации «Защита информации» (ТК 362)
Опубликованы результаты анализа работы технического комитета по стандартизации «Защита информации» (ТК 362) и активности организаций-членов ТК 362 во 2 квартале 2024 года.
Опубликованы результаты анализа работы технического комитета по стандартизации «Защита информации» (ТК 362) и активности организаций-членов ТК 362 во 2 квартале 2024 года.