Рупор бумажной безопасности

2022-05-17 17:08:56 #КИИ Нефтеюганск (ХМАО) расширяет географию применения ч.4 ст.274.1 УК РФ "обвиняемый, с целью получения материального вознаграждения за предоставление информации о телефонных переговорах и сообщениях, 26 августа 2021 года, воспользовавшись поддельной нотариальной доверенностью, предпринял попытку получения у оператора мобильной связи детализации переговоров по номеру телефона, зарегистрированному на одно из обществ с ограниченной ответственностью, которая является компьютерной информацией, составляющей коммерческую тайну, с целью последующей передачи заинтересованному лицу за вознаграждение. Однако довести преступные действия до конца не смог в связи с невозможностью выгрузки данных по техническим причинам.

Кроме того, 24 августа и 08 сентября 2021 года обвиняемый, с целью незаконного получения материального вознаграждения, воспользовавшись поддельными нотариальными доверенностями, обратился в офис продаж одного из операторов мобильной связи, где произвел замену СИМ карт, привязанных к номерам телефонов доверителей, тем самым совершил посягательство на интерфейс обслуживания абонентов, внесенный в реестр значимых объектов критической информационной инфраструктуры Российской Федерации, а также получил доступ к зарегистрированным на номера телефонов социальным сетям, мобильным приложениям и иным данным владельцев." Открыть/Комментировать

2022-05-17 10:19:31 Ввели понятие ГИС через Постановление Правительства Российской Федерации от 13.05.2022 № 860 "О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений" http://publication.pravo.gov.ru/Document/View/0001202205160024 Открыть/Комментировать

2022-05-16 15:27:03 #КИИ Пермь. ч.1 ст. 274.1 УК РФ. СКУД как объект КИИ ."«Установлено, что весной 2021 года обвиняемый, преследуя личную заинтересованность, выраженную в карьеризме, желании предотвратить негативную оценку своих профессиональных качеств со стороны руководства… Открыть/Комментировать

2022-05-16 07:30:28 #суд https://valerykomarov.blogspot.com/2022/05/2.html Открыть/Комментировать

2022-05-13 16:32:21 Как думаете, про какое компьютерное преступление идет речь при обвинении в "действуя умышленно, из корыстных побуждений, осознавая общественную опасность и преступный характер своих действий, направленных против собственности, предвидя неизбежность наступления общественно-опасных последствий в виде нарушения нормальной управленческой деятельности государственного органа, подрыва его авторитета и желая их наступления, преследуя цель незаконного корыстного обогащения и реализации своего преступного умысла, для совершения ряда тяжких преступлений, создал организованную преступную группу,"? И как строго был наказан за несколько десятков эпизодов такой преступной деятельности (тяжкие, с особо крупным ущербом, в составе группы)? Открыть/Комментировать

2022-05-13 15:31:12 #КИИ Карачаево-Черкесия. Медработник за "липовую" вакцинацию обвиняется по ст.274.1 ч.4 "в августе 2021 года подозреваемая, являясь медицинским работником одной из районных больниц, действуя в группе лиц с четырьмя местными жителями, за денежное вознаграждение вносила заведомо ложные сведения в Федеральный регистр вакцинированных от COVID-19 о проведенной вакцинации граждан." Расследовало МВД. Открыть/Комментировать

2022-05-13 07:56:30 #КИИ https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/kaliningradskii-morskoi-torgovyi-port-oao-kmtp-kak-subekt-kii-627d556437af4e736383e45a Открыть/Комментировать

2022-05-12 12:18:31 Результаты проведения плановых выездных проверок на предмет соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных в 1 квартале 2022 года. Типовые нарушения: По результатам проведенных в 1 квартале 2022 г. выездных проверок типовым является нарушение:

п. 8 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687: несоблюдение оператором установленных требований при ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях.

Рекомендации по исполнению требований п. 8 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства РФ от 15.09.2008 № 687:

При ведении журналов (реестров, книг), содержащих персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях, должны соблюдаться следующие условия:

а) необходимость ведения такого журнала (реестра, книги) должна быть предусмотрена актом оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги), сроки обработки персональных данных, а также сведения о порядке пропуска субъекта персональных данных на территорию, на которой находится оператор, без подтверждения подлинности персональных данных, сообщенных субъектом персональных данных;

б) копирование содержащейся в таких журналах (реестрах, книгах) информации не допускается;

в) персональные данные каждого субъекта персональных данных могут заноситься в такой журнал (книгу, реестр) не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится оператор. https://61.rkn.gov.ru/news/news323156.htm Открыть/Комментировать

2022-05-11 22:02:51 #КИИ Комментарий от СПС Гарант по Указу Президента №250, часть выводов совпадает с моей заметкой по анализу Указа. "В медучреждениях необходимо создать должность зама по информационной безопасности и соответствующее подразделение" В связи с текущими внешнеполитическими событиями на всех без исключения юридических лиц, являющихся субъектами критической информационной инфраструктуры РФ (КИИ), – а в числе таковых найдут себя большинство медицинских организаций, – наложен ряд обязанностей:
руководителю такой медорганизации необходимо создать отдельное структурное подразделение, осуществляющее функции по обеспечению информационной безопасности (ИБ), в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты. Разрешается не создавать такое подразделение, а возложить данные функции на уже существующие. Типовое положение о таком отделе разработает Кабмин России. Где брать бюджеты и квалификационные требования – не уточняется;
руководителю такой медорганизации нужно определить своего зама (или нанять нового), который будет обеспечивать ИБ, в том числе обнаруживать, предупреждать и ликвидировать последствия компьютерных атак, а также реагировать на компьютерные инциденты. Типовое положение о таком заме также разработает Кабмин России;
руководителю такой медорганизации нужно будет принимать (если потребуется) непростые решения о привлечении к осуществлению мероприятий по ИБ сторонних организаций (строго с лицензией на осуществление деятельности по технической защите конфиденциальной информации / аккредитованных пока в ГосСОПКА, затем – в ФСБ России, либо рекомендованных ФСБ России);
наконец, руководителю такой медорганизации нужно будет обеспечить для ФСБ круглосуточный (если нужно – удаленный) доступ ко всем информресурсам, доступ к которым организуется через Интернет (как именно – будет, скорее всего, разъяснено позднее), и незамедлительно исполнять все указания ФСБ России и ФСТЭК, если таковые рассылаются, касательно обеспечения ИБ.
Ответственность за исполнение данных положений – персональная для руководителя (но не для зама по ИБ).
Отметим, что юридическая сила данного указа Президента РФ вызывает ряд вопросов (в частности, ни Федеральный закон от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", ни Федеральный закон от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" не наделяют главу государства полномочиями требовать таких мер, а поправок в эти законы пока нет), однако за неисполнение положений виновные рискуют составлением протокола по ч. 6 ст. 13.12 или 13.12.1 КоАП РФ (нарушение правил защиты информации или требований безопасности КИИ РФ), или даже уголовным делом по ч. 3 или ч. 4 ст. 274.1 УК РФ (неправомерное воздействие на КИИ РФ). Но и к упомянутой административной ответственности тоже есть вопросы – она наступает за нарушение исключительно требований, установленных именно федеральным законом, а указ главы государства и сам таковым не является, и не содержит в себе пояснений, что принят в соответствии с каким-либо федеральным законом (Указ Президента РФ от 1 мая 2022 г. № 250). https://www.garant.ru/news/1543038/?utm_source=yxnews&utm_medium=desktop&utm_referrer=https%3A%2F%2Fyandex.ru%2Fnews%2Fsearch%3Ftext%3D Открыть/Комментировать

2022-05-11 07:43:07 #суд https://valerykomarov.blogspot.com/2022/05/1.html Открыть/Комментировать