Листок бюрократической защиты информации
12.1K subscribers
384 photos
27 videos
209 files
1.32K links
Нормативно-новостной и иногда субъективно-аналитический канал-записная книжка по теме организационной и правовой защите информации в РФ.

Подробнее: https://telegra.ph/Beinsecurity-12-12

Для обратной связи: https://telegra.ph/Obratnaya-svyaz-04-02-2
Download Telegram
📺 Вебинар «Автоматизация и постановка процесса комплаенса»

Ассоциация АБИСС совместно с Академией Информационных Систем продолжает серию бесплатных вебинаров, посвященных регуляторике в сфере ИБ. 18 апреля эксперты рассмотрят, как автоматизировать процесс ИБ-комплаенса, чтобы снять нагрузку со специалистов по информационной безопасности и повысить качество их работы.

❗️Ключевые темы вебинара:

• Организация и автоматизация контроля защитных мер.
• Автоматизация внутреннего комплаенса.
• Проблематика ситуационного моделирования ИБ.
• Опыт постановки процесса комплаенса в организациях, который может помочь компаниям и их сотрудникам стать лучше с точки зрения ИБ.

🪙Участие в вебинаре бесплатное.
‼️Необходима предварительная регистрация.

Вебинар состоится 18 апреля в 11:00.

Узнать подробнее и зарегистрироваться: http://abisswebinar.ru
Please open Telegram to view this post
VIEW IN TELEGRAM
​​📣 Порядок сертификации процессов безопасной разработки ПО СрЗИ

Официально опубликован приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».

Порядок вступает в силу с 01.06.2024.
Please open Telegram to view this post
VIEW IN TELEGRAM
Результаты работы ТК 362 за 1 кв 2024.pdf
283.4 KB
📈 Анализ работы технического комитета по стандартизации «Защита информации» (ТК 362)

Опубликованы результаты анализа работы технического комитета по стандартизации «Защита информации» (ТК 362) и активности организаций-членов ТК 362 в 1 квартале 2024 года.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Мнение Интегратора (Еni)
Коллеги, по случаю официальной публикации приказа ФСТЭК России № 240 от 01.12.2023 "Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации" мы подготовили подробный разбор документа.
​​🏛 149-ФЗ и ГИС: будет ясность?

Минцифры представило для общественного обсуждения очередной проект Федерального закона «Об информации, информационных технологиях и о защите информации», а также в статью 15 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд», касающийся терминологии информационных систем.

Законопроектом, например, предлагается:
1. Скорректировать термин «информационная система».
2. Установить разновидности ИС:
➡️федеральные государственные информационные системы;
➡️региональные государственные информационные системы;
➡️муниципальные информационные системы;
➡️иные информационные системы.
3. Ввести термины «цифровая платформа», «государственные цифровые платформы», «электронный сервис», «облачные услуги по предоставлению вычислительных ресурсов» и «облачные услуги по предоставлению программного обеспечения».

Напомню, что это не первая подобная попытка Минцифры. С ранними аналогичными инициативами Министерства можно ознакомиться здесь и здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
Методика_оценки_показателя_состояния_ЗИ_и_безопасности_КИИ.pdf
178.2 KB
📣 Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов КИИ

Опубликована Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации, предназначенная для определения показателя, характеризующего текущее состояние технической защиты информации, не составляющей государственную тайну, и (или) обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, его нормированное значение, а также порядок его расчета.

UPD: документ пока не обязателен к выполнению.
Please open Telegram to view this post
VIEW IN TELEGRAM
✈️ В дополнение к данному обзору хотел бы добавить, что от организаций, которые попадут на обязанность выполнения данного методического документа, также потребуется:
• издать внутренний регламент, который будет регламентировать периодичность, точные сроки проведения рассматриваемой оценки и порядок определения специалистов организации, которые будут осуществлять оценку;
• учитывать, что при продолжительном невыполнении мер, рассматриваемых при проведении оценки, показатель защищенности будет снижаться.

Ну а пока стоит дождаться нормативного правового акта, который определит, для кого исполнение данного методического документа станет обязательным. По косвенным признакам и используемым текстовым конструкциям создается впечатление, что обязательным документ станет для субъектов КИИ с ЗОКИИ и для тех, кто попал под действие Указа Президента № 250.

P.S.: поучаствовать в обсуждении вопросов, связанных с рассматриваемым методическим документом, можно здесь.
Please open Telegram to view this post
VIEW IN TELEGRAM
​​🔊 Условия по защите информации для участников платформы цифрового рубля

Банк России опубликовал Условия по защите информации для участников платформы цифрового рубля, которые будут применяться с 01.01.2025.
Please open Telegram to view this post
VIEW IN TELEGRAM
Калькулятор_показатель_защищенности.xlsx
18.9 KB
🧮 Калькулятор расчета показателя защищенности

В продолжение темы недавно опубликованной Методики оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации предлагается инструмент для автоматизации и ускорения процесса расчета этого самого показателя защищенности — калькулятор расчета показателя защищенности и его сравнения с нормированным значением.
Please open Telegram to view this post
VIEW IN TELEGRAM
​​ ➡️ Информация ФСТЭК по Порядку сертификации процессов безопасной разработки ПО

Спустя почти месяц после даты официального опубликования ФСТЭК России информирует об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации.

Регулятор указывает, что вышеуказанный Порядок предназначен для изготовителей сертифицированных средств защиты информации, содержащей сведения, составляющие государственную тайну или относимые к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, а также для органов по сертификации, выполняющих работы по сертификации процессов безопасной разработки программного обеспечения средств защиты информации.

Указывается, что данный Порядок определяет порядок сертификации процессов безопасной разработки программного обеспечения средств защиты информации на соответствие требованиям национального стандарта Российской Федерации ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» в рамках действующей системы сертификации ФСТЭК России.

Регулятор обращает внимание, что наличие действующего сертификата соответствия процессов безопасной разработки программного обеспечения средств защиты информации требованиям по безопасной разработке, установленным в ГОСТ Р 56939-2016, позволяет изготовителям сертифицированных средств защиты информации самостоятельно проводить испытания в случае внесения в сертифицированное средство защиты информации изменений, в том числе изменений, связанных с добавлением новых функций безопасности информации, или изменений в имеющиеся функции безопасности информации, с обновлением версий программного обеспечения, включая совершенствование функций его безопасности или добавление новых функций безопасности, а также с добавлением новых или изменением существующих аппаратных платформ.

Источник: Информационное сообщение ФСТЭК России от 26.04.2024 № 240/24/1958 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
Please open Telegram to view this post
VIEW IN TELEGRAM
​​ ⚡️ Дополнительные требования по безопасности ЗОКИИ при удаленном управлении в сфере электроэнергетики

Официально опубликован приказ Минэнерго от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».
Please open Telegram to view this post
VIEW IN TELEGRAM
Справка-доклад ТК 362 на 26.04.2024.pdf
138 KB
​​📁 Традиционная справка-доклад о ходе работ по плану ТК 362 (по состоянию на 26.04.2024).
Please open Telegram to view this post
VIEW IN TELEGRAM
​​🟡 Импортонезависимость ЗОКИИ финансовых организаций

Представлены указания Банка России, устанавливающие порядок осуществления контроля и мониторинга за соблюдением финансовыми организациями реализации планов мероприятий по переходу на преимущественное использование российского программного обеспечения на ЗОКИИ:

Указание Банка России от 05.02.2024 № 6679-У «О порядке осуществления Банком России контроля и мониторинга за соблюдением кредитными организациями реализации планов мероприятий кредитных организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на таких объектах».

Указание Банка России от 05.02.2024 № 6680-У «О порядке осуществления Банком России контроля и мониторинга за соблюдением некредитными финансовыми организациями реализации планов мероприятий некредитных финансовых организаций по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации и осуществления закупок иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупок услуг, необходимых для их использования на таких объектах».
Please open Telegram to view this post
VIEW IN TELEGRAM