Вдохновлённый подписчик создал канал, в котором каждый день постится интересная информация об ИБ-терминах. К этому каналу также прикручен интересный бот (@ib_dict_bot), представляющий из себя интерактивный словарь ИБ-терминов.
Утро начинается не с кофе.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
ИБ Терминология
Новые официальные и не очень термины из ИТ и ИБ от @ib_dict_bot и новости о работе @ib_dict_bot
📣 Методика оценки показателя состояния защиты информации и обеспечения безопасности ОКИИ
ФСТЭК России информирует о начале разработки проекта Методики оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации.
Регулятор сообщает, что заинтересованные специалисты в области защиты информации могут поделиться своими предложениями по разрабатываемому проекту.
Источник: информационное сообщение ФСТЭК России от 12.02.2024 № 240/91/688 «О разработке методического документа ФСТЭК России «Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации».
🖥 Проект Методики для ознакомления здесь.
ФСТЭК России информирует о начале разработки проекта Методики оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации.
Регулятор сообщает, что заинтересованные специалисты в области защиты информации могут поделиться своими предложениями по разрабатываемому проекту.
Источник: информационное сообщение ФСТЭК России от 12.02.2024 № 240/91/688 «О разработке методического документа ФСТЭК России «Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации».
Please open Telegram to view this post
VIEW IN TELEGRAM
📣 ТБ-Форум 2024 | Конференция «Актуальные вопросы защиты информации», В. Лютиков (ФСТЭК России).
Анонсы от ФСТЭК России на 2024 год:
➕ Разработать Требования по обеспечению защищенности государственных информационных систем и значимых объектов критической информационной инфраструктуры Российской Федерации от несанкционированных воздействий типа «отказ в обслуживании».
➕ Обновить (актуализировать) Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (приказ ФСТЭК России от 11.022013 № 17).
➕ Разработать Требования о защите информации, содержащейся в государственных и иных информационных системах, обладателями которых являются Российская Федерация, субъект Российской Федерации, муниципальное образование.
Анонсы от ФСТЭК России на 2024 год:
Please open Telegram to view this post
VIEW IN TELEGRAM
Типовые недостатки, создающие предпосылки для успешной реализации компьютерных атак, и первоочередные меры защиты информации.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Проект Методики оценки зрелости деятельности в области защиты информации и беспечения безопасности критической информационной инфраструктуры Российской Федерации.
Скоро (1~2 месяца) на сайте ФСТЭК России.
Please open Telegram to view this post
VIEW IN TELEGRAM
Листок бюрократической защиты информации
📣 Методика оценки показателя состояния защиты информации и обеспечения безопасности ОКИИ ФСТЭК России информирует о начале разработки проекта Методики оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной…
Показатель состояния защиты информации и обеспечения безопасности ОКИИ и формула его расчета.
Please open Telegram to view this post
VIEW IN TELEGRAM
Листок бюрократической защиты информации
Частные показатели состояния защиты информации и обеспечения безопасности ОКИИ, учитываемые в формуле его расчета.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Листок бюрократической защиты информации
Уровни зрелости деятельности в области защиты информации и беспечения безопасности критической информационной инфраструктуры Российской Федерации.
Please open Telegram to view this post
VIEW IN TELEGRAM
🎓 Профстандарт «Специалист в области информационных технологий на атомных станциях (разработка и сопровождение программного обеспечения)»
Официально опубликован приказ Минтруда от 15.01.2024 № 6н
«Об утверждении профессионального стандарта «Специалист в области информационных технологий на атомных станциях (разработка и сопровождение программного обеспечения)», предусматривающий ряд трудовых функций, связанных с ИБ:
• Защита информации ИТ-систем и сервисов АЭС.
• Контроль уровня информационной безопасности ИТ-систем и сервисов АЭС.
Официально опубликован приказ Минтруда от 15.01.2024 № 6н
«Об утверждении профессионального стандарта «Специалист в области информационных технологий на атомных станциях (разработка и сопровождение программного обеспечения)», предусматривающий ряд трудовых функций, связанных с ИБ:
• Защита информации ИТ-систем и сервисов АЭС.
• Контроль уровня информационной безопасности ИТ-систем и сервисов АЭС.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from РСпектр: связь, ИТ, кибербезопасность
Роскомнадзор: важно предусмотреть ответственность операторов персданных, выполняющих требования по защите информации
В рассматриваемых Госдумой законопроектах, повышающих ответственность операторов при утечках персональных данных (ПД) важно предусмотреть ответственность тех компаний, которые выполняли мероприятия по защите информации, проводили аудит безопасности, предоставляли технические средства по защите информации и согласовывали модели угроз и нарушителей.
Об этом на прошедшем 14 февраля в Совете Федерации круглом столе «Противодействие утечкам персональных данных граждан» заявил заместитель руководителя Роскомнадзора Милош Вагнер.
«Мы поддерживаем повышение административной ответственности за утечки персональных данных. Сегодня размер административного наказания для юридических лиц составляет до 100 тыс. рублей – по сути не понуждает к соблюдениям мер безопасности», – сказал он. В 2023 году было зафиксировано 168 утечек личной информации, напомнил представитель Роскомнадзора.
Право на обработку персональных данных должны иметь те операторы, которые прошли у уполномоченных органов процедуру подтверждения соответствия всем требованиям безопасности, отметил Милош Вагнер.
«Такими требованиями могло бы быть, например, наличие в организации офицеров по безопасности [ПД], имеющих образование в области защиты информации. В организации должно быть финансовое обеспечение на покрытие всех возможных рисков, в том числе административной ответственности, [ответственности] перед гражданами и моральной компенсации. Также организация обязана использовать базы [данных] расположенные на территории РФ», – сказал он.
Но самое главное – подтвердить у компетентных организаций, в том числе у уполномоченных органов, что защита данных осуществляется с учетом данных по безопасности, а модели угроз составлены адекватно бизнес-процессам, подчеркнул представитель Роскомнадзора.
В рассматриваемых Госдумой законопроектах, повышающих ответственность операторов при утечках персональных данных (ПД) важно предусмотреть ответственность тех компаний, которые выполняли мероприятия по защите информации, проводили аудит безопасности, предоставляли технические средства по защите информации и согласовывали модели угроз и нарушителей.
Об этом на прошедшем 14 февраля в Совете Федерации круглом столе «Противодействие утечкам персональных данных граждан» заявил заместитель руководителя Роскомнадзора Милош Вагнер.
«Мы поддерживаем повышение административной ответственности за утечки персональных данных. Сегодня размер административного наказания для юридических лиц составляет до 100 тыс. рублей – по сути не понуждает к соблюдениям мер безопасности», – сказал он. В 2023 году было зафиксировано 168 утечек личной информации, напомнил представитель Роскомнадзора.
Право на обработку персональных данных должны иметь те операторы, которые прошли у уполномоченных органов процедуру подтверждения соответствия всем требованиям безопасности, отметил Милош Вагнер.
«Такими требованиями могло бы быть, например, наличие в организации офицеров по безопасности [ПД], имеющих образование в области защиты информации. В организации должно быть финансовое обеспечение на покрытие всех возможных рисков, в том числе административной ответственности, [ответственности] перед гражданами и моральной компенсации. Также организация обязана использовать базы [данных] расположенные на территории РФ», – сказал он.
Но самое главное – подтвердить у компетентных организаций, в том числе у уполномоченных органов, что защита данных осуществляется с учетом данных по безопасности, а модели угроз составлены адекватно бизнес-процессам, подчеркнул представитель Роскомнадзора.
Media is too big
VIEW IN TELEGRAM
В период с 27 по 29 февраля 2024 года пройдет форум «Цифровая устойчивость и информационная безопасность России» («Магнитка»), где эксперты разберутся в этом и других вопросах.
Далее эксперты обсудят ожидания от отраслевых регуляторов и рассмотрят, как отраслевые центры компетенции могут повысить уровень информационной безопасности.
Также организаторы обещают поднять тему о том, почему российское регулирование иногда остаётся в тени международного, и как можно изменить эту ситуацию.
Please open Telegram to view this post
VIEW IN TELEGRAM
Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) информирует о получении от ФСБ России разъяснений порядка использования национальных стандартов ГОСТ Р 34.12-2015 и ГОСТ Р 34.13-2015 и межгосударственных стандартов ГОСТ 34.12-2018 и ГОСТ 34.13-2018 в СКЗИ и при подготовке технических заданий и конкурсной документации на разрабатываемые СКЗИ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Итого, ФСТЭК сейчас создает/разрабатывает (из публично озвученного на конференции в день Трифона-Мышегона):
1️⃣ Требования по обеспечению защищенности государственных информационных систем и значимых объектов критической информационной инфраструктуры Российской Федерации от несанкционированных воздействий типа «отказ в обслуживании»
2️⃣ Типовая программа и методики аттестационных испытаний
3️⃣ Методика анализа уязвимостей
4️⃣ Методика тестирования функций безопасности
5️⃣ Методика испытания системы защиты информации с использованием средств тестирования
6️⃣ Методика тестирования производительности NGFW
7️⃣ Центр компетенций по тестированию производительности, устойчивости функционирования и функциональных возможностей МЭ и иных сетевых устройств
8️⃣ Полигон для тестирования СрЗИ путем эмуляции действий нарушителей
9️⃣ Центр исследований в области обеспечения информационной безопасности при использовании технологий искусственного интеллекта
1️⃣ 0️⃣ Методика выявления уязвимостей и НДВ в ПО
1️⃣ 1️⃣ 5 ГОСТов по безопасной разработке, из которых парочка уже принята, но на слайдах не было отражено (руководство по оценке безопасности разработки, руководство по проведению статического анализа, руководство по разработке безопасного ПО, доверенный компилятор C/C++ и управление безопасностью ПО при использовании заимствованных и привлеченных компонентов)
1️⃣ 2️⃣ Показатель (и методика его определения) состояния защиты информации и обеспечения безопасности объектов КИИ в ОГВ и(или) организации
1️⃣ 3️⃣ Показатель (и методика его определения) зрелости деятельности ОГВ и организаций по защите информации и обеспечению безопасности объектов КИИ
1️⃣ 4️⃣ Требования о защите информации, содержащейся в государственных и иных информационных системах, обладателями которых являются РФ, субъект РФ, муниципальное образование
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from RAD COP
🧐 Почти 2 года назад мы обещали выпустить в публичный доступ Вики по ГОСТ 57580. Много воды утекло с той поры. Проектная загрузка и внешние обстоятельства все время сдвигали сроки публикации.
🥳 Но мы сделали это! Спасибо Елене 🐬, Ивану Горбачеву, Егору Чинилину, Даниле Хамцову, Александру Осипову, Дмитрию Кисельникову и всем тем, кто прямо или косвенно участвовал в создании этой базы знаний. Мы осознаем неполноту и несовершенство нашей Вики. Прекрасно понимаем, что ей есть куда расти. Но сейчас наша задача как зачинателей проекта - запустить полноценный MVP и инициировать целенаправленную работу по сбору лучших практик и опыта на базе удобного движка. Нам кажется, что это облегчит работу специалистов отрасли, мир станет лучше, а дискуссии в чатиках Телеграм - спокойнее 😌 Тем более, что нас ждут новые серии 57580, а значит новые пространства требований для освоения.
☑️ Желающие просто пользоваться Вики могут делать это анонимно на её публичном сайте. Желающие вносить правки, предложения и участвовать в редактировании должны будут вступить в чат: https://news.1rj.ru/str/GOST57580club и подтвердить свою квалификацию.
❗️Проект является некоммерческим с точки зрения возможности применения этой информации непосредственно специалистами (независимо от их места и формата работы). При этом использование этих материалов в продуктах, программном обеспечении или их непосредственная продажа будут ограничиваться во избежание недобросовестных практик и должна быть согласована с авторами. В связи с этим нами начата процедура защиты актива через авторское право🛡
P.S. Сегодня презентуем её на уральском форуме по Кибербезопасности, кто на месте - ждем в 14:00 в Зале № 1 на мастер-классе RAD COP 🤝
🥳 Но мы сделали это! Спасибо Елене 🐬, Ивану Горбачеву, Егору Чинилину, Даниле Хамцову, Александру Осипову, Дмитрию Кисельникову и всем тем, кто прямо или косвенно участвовал в создании этой базы знаний. Мы осознаем неполноту и несовершенство нашей Вики. Прекрасно понимаем, что ей есть куда расти. Но сейчас наша задача как зачинателей проекта - запустить полноценный MVP и инициировать целенаправленную работу по сбору лучших практик и опыта на базе удобного движка. Нам кажется, что это облегчит работу специалистов отрасли, мир станет лучше, а дискуссии в чатиках Телеграм - спокойнее 😌 Тем более, что нас ждут новые серии 57580, а значит новые пространства требований для освоения.
☑️ Желающие просто пользоваться Вики могут делать это анонимно на её публичном сайте. Желающие вносить правки, предложения и участвовать в редактировании должны будут вступить в чат: https://news.1rj.ru/str/GOST57580club и подтвердить свою квалификацию.
❗️Проект является некоммерческим с точки зрения возможности применения этой информации непосредственно специалистами (независимо от их места и формата работы). При этом использование этих материалов в продуктах, программном обеспечении или их непосредственная продажа будут ограничиваться во избежание недобросовестных практик и должна быть согласована с авторами. В связи с этим нами начата процедура защиты актива через авторское право🛡
P.S. Сегодня презентуем её на уральском форуме по Кибербезопасности, кто на месте - ждем в 14:00 в Зале № 1 на мастер-классе RAD COP 🤝
📖 ГОСТ | Системы с конструктивной информационной безопасностью
Технический комитет по стандартизации «Защита информации» (ТК 362) приступил к рассмотрению проекта национального стандарта «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки».
Технический комитет по стандартизации «Защита информации» (ТК 362) приступил к рассмотрению проекта национального стандарта «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки».
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
ВЕБИНАР: «О технических мерах защиты ПДн простыми словами»
Основные темы вебинара:
🔵 Что на самом деле обязан выполнить оператор ПДн?
🔵 Что такое технические меры защиты ПДн? Как их выполнить?
🔵 Требования к составу мер защиты ПДн от Правительства РФ, ФСТЭК и ФСБ.
🔵 Как подтвердить, что требования выполняются?
Спикер с опытом работы в органах власти, аттестации и в лицензиате ФСТЭК/ФСБ.
📆 Вебинар состоится 29 февраля в 11.00 по МСК.
⚠️ Участие бесплатное, но необходима предварительная регистрация.
🗝 Бонусы для зарегистрированных участников:
+ запись и презентация вебинара;
+ чек-лист «Как выполнить требования ФЗ-152»;
+ гайд: всё о проверках Роскомнадзора, ФСТЭК, ФСБ.
✅ ЗАРЕГИСТРИРОВАТЬСЯ
Основные темы вебинара:
Спикер с опытом работы в органах власти, аттестации и в лицензиате ФСТЭК/ФСБ.
+ запись и презентация вебинара;
+ чек-лист «Как выполнить требования ФЗ-152»;
+ гайд: всё о проверках Роскомнадзора, ФСТЭК, ФСБ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Об ЭП и УЦ
Требования к "облачной" электронной подписи
8 Центр ФСБ России сообщает, что требования к средствам "облачной" (удаленной, дистанционной) электронной подписи планируется утвердить во втором полугодии 2024 года.
Нормативные правовые акты, устанавливающие обязательные требования, вступают в силу с 1 марта или с 1 сентября соответствующего года, но не ранее чем по истечении девяноста дней после дня официального опубликования соответствующего нормативного правового акта. Получаем, если требования должны вступить в силу с 1 сентября текущего года, то утвердить их должны до 1 июня (а до этого должна пройти процедура общественного обсуждения и регистрация в Минюсте), если этого не произойдет, то следующей датой вступления в силу является 01.03.2025.
Приказ ФСБ России «Об утверждении требований к средствам электронной подписи и средствам удостоверяющего центра, применяемым для реализации функций, предусмотренных частью 2.2 статьи 15 Федерального закона «Об электронной подписи» является единственным документом, который из перечня нормативных правовых актов для реализации норм Федерального закона 476-ФЗ ещё не принят. В мае 2022 года проект данного приказа направлялся на согласование в государственные органы.
🚀 Об ЭП и УЦ
8 Центр ФСБ России сообщает, что требования к средствам "облачной" (удаленной, дистанционной) электронной подписи планируется утвердить во втором полугодии 2024 года.
Нормативные правовые акты, устанавливающие обязательные требования, вступают в силу с 1 марта или с 1 сентября соответствующего года, но не ранее чем по истечении девяноста дней после дня официального опубликования соответствующего нормативного правового акта. Получаем, если требования должны вступить в силу с 1 сентября текущего года, то утвердить их должны до 1 июня (а до этого должна пройти процедура общественного обсуждения и регистрация в Минюсте), если этого не произойдет, то следующей датой вступления в силу является 01.03.2025.
Приказ ФСБ России «Об утверждении требований к средствам электронной подписи и средствам удостоверяющего центра, применяемым для реализации функций, предусмотренных частью 2.2 статьи 15 Федерального закона «Об электронной подписи» является единственным документом, который из перечня нормативных правовых актов для реализации норм Федерального закона 476-ФЗ ещё не принят. В мае 2022 года проект данного приказа направлялся на согласование в государственные органы.
Please open Telegram to view this post
VIEW IN TELEGRAM