​​ ⚡️ Изменения в 187-ФЗ | импортозамещение ЗОКИИ и категорирование

В ГосДуму внесен законопроект «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», касающиеся уже осуществляемых мероприятий по импортозамещению на ЗОКИИ, категорирования с учетом типовых отраслевых перечней ОКИИ, а также необходимости разработки отраслевых методических документов по категорированию.

🛡 Стандарт Банка России по обеспечению безопасности финансовых сервисов при удаленном подтверждении личности клиента

Представлен стандарт Банка России СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».


Документ носит рекомендательный характер и вступит в силу 01.07.2024.

​​🔒 Технические средства противодействия угрозам

Официально опубликован приказ Роскомнадзора от 19.02.2024 № 25 «Об утверждении технических условий установки технических средств противодействия угрозам, а также требований к сетям связи при использовании технических средств противодействия угрозам», отменяющий ранее действующий на эту тему приказ Роскомнадзора от 31.07.2019 № 228 «Об утверждении технических условий установки технических средств противодействия угрозам, а также требований к сетям связи при использовании технических средств противодействия угрозам».

⚡️Банк России опубликовал Методические рекомендации 7-МР от 21 марта 2024 года.

➡️Согласно документу кредитным организациям (КО) и некредитным финансовым организациям (НФО) следует унифицировать подходы к управлению риском информационной безопасности и обеспечению непрерывности оказания финансовых услуг за счет обеспечения требований новых стандартов серии «57580.хх»:

• ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения».

• ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».

➡️В 7-МР в части управления риском информационной безопасности рекомендуется:

1. Банкам с размерами активов более 500 млрд. рублей и банкам с универсальной лицензией и активами менее 500 млрд. рублей обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.3

2. Остальным КО обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.3.


➡️В 7-МР в части обеспечения операционной надежности рекомендуется:

1. Банкам с размерами активов более 500 млрд. рублей обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.4.

2. Остальным КО обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.4.

3. НФО, указанным в п.1.4.2 757-П, в числе которых:
• центральные контрагенты;
• центральный депозитарий;
• регистраторы финансовых транзакций

обеспечить реализацию усиленного уровня защиты согласно ГОСТ Р 57580.4.


4. НФО, указанным в п.1.4.3 757-П, в т.ч.:
• специализированным депозитариям инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов (НПФ);
• клиринговым организациям;
• организаторам торговли;
• страховым организациям;
• НПФ;
• операторам инвестиционной платформы;
• операторам финансовой платформы

обеспечить реализацию стандартного уровня защиты согласно ГОСТ Р 57580.4.


5. НФО, указанным в п.1.4.4 757-П, в т.ч.:
• управляющим компаниям инвестиционных фондов, паевых инвестиционных фондов и НПФ;
• форекс-дилерам;
• операторам информационных систем, в которых осуществляется выпуск цифровых финансовых активов;
• операторам обмена цифровых финансовых активов;
• обществам взаимного страхования;
• страховым брокерам

обеспечить реализацию минимального уровня защиты согласно ГОСТ Р 57580.4.


➡️Кроме того, в 7-МР приведены следующие рекомендации:

✅КО — разработать планы внедрения ГОСТ Р 57580.3; КО и НФО — разработать планы внедрения ГОСТ Р 57580.4.

✅Банкам с размерами активов более 500 млрд. рублей — осуществить внедрение ГОСТ Р 57580.3 и ГОСТ Р 57580.4 до 31.12.2025 года.

✅Остальным кредитным организациям — осуществить внедрение ГОСТ Р 57580.3 и ГОСТ Р 57580.4 до 31.12.2026 года.

✅НФО из пунктов 1.4.2 и 1.4.3 757-П — осуществить внедрение ГОСТ Р 57580.4 до 31.12.2026 года.

✅НФО из пункта 1.4.4 757-П — осуществить внедрение ГОСТ Р 57580.4 до 31.12.2027 года.


➡️Ознакомиться с документом


💬tg_AC

​​📖 Проекты ГОСТов от ТК 362

Технический комитет по стандартизации «Защита информации» (ТК 362) приступил к рассмотрению следующих проектов национальных стандартов:

• ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации».

• ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией».

• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке».

• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом».

​​📖 Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года

ФСТЭК России опубликовала Сведения о принятых национальных и международных стандартах за 1 квартал 2024 года.

​​🏛 Эксперимент по повышению уровня защищенности ГИС продолжается

Официально опубликовано постановление Правительства Российской Федерации от 18.03.2024 № 323
«О внесении изменения в постановление Правительства Российской Федерации от 13 мая 2022 г. № 860», продлевающее эксперимент по повышению уровня защищенности ГИС, который должен был завершиться сегодня (30.03.2024), до 31.12.2024.

​​ ⚙ ГОСТы по разработке безопасного ПО

Данные ГОСТы сегодня вводятся в действие.
Кстати, ознакомиться с официальными текстами можно здесь:

— ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».

— ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования».

💡 Об актуальности выполнения Инструкции 152 ФАПСИ

Споры о целесообразности выполнения (соблюдения) требований архаичной Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 № 152, не утихают по сей день.
Особенный виток в развитии этого спора мог наступить в пандемию. Тогда эта проблема и одновременно поднималась, и одновременно опускалась с отсылкой на риск-ориентированный подход.
Действительно, буквальное выполнение отдельных требований данной Инструкции делает невозможным использование СКЗИ при удаленной (дистанционной) работе, связанной с обработкой информации ограниченно доступа (например, персональных данных).
В суматохе пандемии выбор был очевиден: пренебречь отдельными формальными требованиями, но обеспечить безопасность информации. Тем более, что (как уверяли некоторые вендоры и интеграторы) риск проверки регулятора крайне мал.
Тогда же снова мелькали слухи об актуализации данного нормативного правового документа.
Время идет. Все меняется, но не Инструкция 152 ФАПСИ. И, судя по всему, на необходимость выполнения требований Инструкции 152 ФАПСИ обратила внимание Прокуратура. Под раздачу попало Саратовское ГАУ СО «МФЦ».

В связи с этим хотелось бы напомнить, что состав формальных мероприятий, которые необходимо выполнить по букве Инструкции 152 ФАПСИ, когда-то ранее разбирался на канале здесь.

📖 Программа повышения квалификации в области защиты ПДн

ФСТЭК России разработана и утверждена новая редакция примерной программы повышения квалификации «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных».

​​👱‍♂️ Виды биометрических ПДн, на которые распространяется 572-ФЗ

Официально опубликовано постановление Правительства Российской Федерации от 01.04.2024 № 408
«О видах биометрических персональных данных, на которые распространяется действие Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

Сверхъестественного там ничего нет.

​​​​📌 ПНСТ «Критическая информационная инфраструктура. Доверенные интегральные микросхемы и электронные модули. Общие положения»

Опубликован ПНСТ 911-2024 «Критическая информационная инфраструктура. Доверенные интегральные микросхемы и электронные модули. Общие положения», который был введен в действие 01.04.2024.

​​🗝 ГОСТ | Протокол защищенного обмена для индустриальных систем

Опубликован ГОСТ Р 71252-2024 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем».

Данный национальный стандарт введен в действие с 01.04.2024.

​​📁 Традиционная справка-доклад о ходе работ по плану ТК 362 (по состоянию на 28.03.2024).

​​🔒 Российские криптографические алгоритмы в протоколе получения актуальных статусов сертификатов (OCSP)

Техническим комитетом по стандартизации «Криптографическая защита информации» (ТК 26) представлены для общественного обсуждения рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе получения актуальных статусов сертификатов (OCSP)».

⭐️ФСТЭК России хочет упростить процедуру сертификации средств защиты информации при обновлении.

О новых изменениях регулятора пишут "Ведомости".

ФСТЭК России хочет реализовать данный план до конца 2024 года. Сейчас разработчики средств защиты информации, когда вносят изменения в функции безопасности сертифицированного программного обеспечения, должны проходить инспекционный контроль с привлечением испытательной лаборатории. Данный процесс занимает до 6 месяцев. Новая инициатива будет направлена не на сертификацию программного обеспечения, а на процесс разработки программного обеспечения, что позволит упразднить сертификацию при обновлении.

Решение очень правильное и будем ждать изменений. Но в данном посте я хочу затронуть тему не сертификации средств защиты информации (СрЗИ), а о том, что есть путаница в терминологии и многие до сих пор путают такие термины, как: аттестация ОИ, сертификация СрЗИ, лицензирование. Если уж "Ведомостям" это простительно, все же там работают не специалисты по ИБ, то другие информационные ресурсы и каналы в телеграмм по информационной безопасности тоже взяли эту ошибку.

Итак, что же все-таки такое аттестация ОИ, сертификация СрЗИ и лицензирование в мире ИБ.

✔️Аттестация ОИ- это процесс подтверждения того, что объект информатизации соответствует всем необходимым заявленным требованиям. Объект информатизации - это информационная система, например: государственная информационная система (ГИС). ГИС должна быть аттестована в обязательном порядке. При проведении аттестации мы должны подтвердить, что проверяемая ГИС соответствует требованиям "Приказа ФСТЭК России № 17". На выходе, если испытания прошли успешно и ГИС соответствует требованиям, мы получаем документ: "Аттестат соответствия". Порядок аттестации регламентирован "Приказом ФСТЭК России № 77".
Вместо аттестации, к примеру, для информационных систем персональных данных, допустима процедура оценки соответствия. Между аттестацией и оценкой соответствия есть отличия, тема для отдельного поста, поэтому раскроем её позже😊.

✔️Сертификация СрЗИ - это процесс подтверждения того, что средство защиты информации соответствует заявленным требованиям безопасности. Для СрЗИ этим документом может являться техническое условие или задание по безопасности с профилем защиты. После завершения процесса сертификации мы получим красивый документ: "Сертификат соответствия". Процесс сертификации регламентируется "Приказом ФСТЭК России № 55".

✔️Лицензирование - это процесс получения лицензии. Лицензия - документ, который разрешает нам заниматься определенными видами деятельности. Например, деятельность по технической защите конфиденциальной информации подлежит лицензированию и регламентируется "Постановлением Правительства № 79".

Поэтому, когда мы говорим, что информационная система соответствует всем требованиям информационной безопасности - ее аттестовали, если СрЗИ соответствует требованиям безопасности информации - оно сертифицировано, а если мы говорим про лицензию - это означает, что у нас есть лицензия и мы можем заниматься определенной коммерческой деятельностью на законных основаниях, в нашем случае оказывать услуги по информационной безопасности.

Все на самом деле просто, читаем, запоминаем и больше не путаем❗️
И не забываем оставлять реакции❤️

📺 Вебинар «Автоматизация и постановка процесса комплаенса»

Ассоциация АБИСС совместно с Академией Информационных Систем продолжает серию бесплатных вебинаров, посвященных регуляторике в сфере ИБ. 18 апреля эксперты рассмотрят, как автоматизировать процесс ИБ-комплаенса, чтобы снять нагрузку со специалистов по информационной безопасности и повысить качество их работы.

❗️Ключевые темы вебинара:

• Организация и автоматизация контроля защитных мер.
• Автоматизация внутреннего комплаенса.
• Проблематика ситуационного моделирования ИБ.
• Опыт постановки процесса комплаенса в организациях, который может помочь компаниям и их сотрудникам стать лучше с точки зрения ИБ.

🪙Участие в вебинаре бесплатное.
‼️Необходима предварительная регистрация.

⏱Вебинар состоится 18 апреля в 11:00.

❓Узнать подробнее и зарегистрироваться: http://abisswebinar.ru