Листок бюрократической защиты информации

2021-02-15 18:45:51 ​​Образовательные стандарты в сфере ИБ

Официально опубликованы образовательные стандарты:
по специальности Компьютерная безопасность - приказ Министерства науки и высшего образования Российской Федерации от 26.11.2020 № 1459 «Об утверждении федерального государственного образовательного стандарта высшего образования-специалитет по специальности 10.05.01 Компьютерная безопасность».

по специальности Информационная безопасность телекоммуникационных систем - приказ Министерства науки и высшего образования Российской Федерации от 26.11.2020 № 1458 «Об утверждении федерального государственного образовательного стандарта высшего образования - специалитет по специальности 10.05.02 Информационная безопасность телекоммуникационных систем». Открыть/Комментировать

2021-02-10 11:40:00 ​​Конференция «Актуальные вопросы защиты информации». Д. Шевцов (ФСТЭК России). Основные тезисы выступления:

ФСТЭК России было поручено разработать Требования к средствам обеспечения безопасной дистанционной работы, результатом чего стал проект Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах. Документ ограниченного доступа и ориентирован на применение разработчиками.
Готовятся изменения в приказ ФСТЭК России № 17 и методический документ «Меры защиты в государственных информационных системах» в части применения средств, обеспечивающих безопасную дистанционную работу в информационной системе с использованием средств вычислительной техники, не входящих в ее состав.
—————————————————————
Продвигается идея использования LiveUSB. Открыть/Комментировать

2021-02-10 11:00:41 ​​Конференция «Актуальные вопросы защиты информации». В. Лютиков (ФСТЭК России) тезисы выступления:

Перспективных планов рассказываться больше не будет, так как много упреков, что обещания не выполняются.
И снова о порядке аттестации (вспоминаем недавний Инфофорум-2021). Заявлено:
- включение ИСПДн в сферу регулирования данного документа;
- усиление контроля за лицензиатами ФСТЭК России, осуществляющих аттестацию объектов информатизации.
Усиление требований к уровню доверия.
Утверждена новая методика выявления уязвимостей и НДВ в программном коде (название может отличаться, но скоро будет официальное информационное сообщение по этому поводу).
И снова о Методике моделирования угроз безопасности (вспоминаем недавний Инфофорум-2021).
«Полноценная оценка рисков в организациях не приживается». (разъяснение одного из высказываний на недавнем Инфофоруме-2021).
И снова напоминание о перспективных административных штрафах за нарушения в области КИИ (вспоминаем недавний Инфофорум-2021).
О проблемах, что нет достоверной информации о внесении изменений в действующие модели угроз в связи с массовым переходом на дистанционный режим работы. Открыть/Комментировать

2021-02-10 10:01:31 ​​Ссылка на трансляцию конференции «Актуальные вопросы защиты информации», проходящей в рамках ТБ форума. Открыть/Комментировать

2021-02-09 10:15:06 Всем добрый день,

меня часто спрашивают, где посмотреть майнд-карту по промышленной кибербезопасности, которую мы вместе с экспертами составляли в эфире нашей Безопасной среды.

Мы выкладывали ее в нашем канале Код ИБ. Так что заглядывайте и пользуйтесь: https://t.me/codeibnews/84 Открыть/Комментировать

2021-02-04 14:10:00 ​​​​Инфофорум-2021. Н. Мурашов (НКЦКИ) в развитие высказывания В. Лютикова (ФСТЭК России) о том, что риск-ориентированный подход не работает в Российской Федерации и никакое увеличение размера наказания не поможет: «Риск-ориентированный подход изживает себя. .... существует и другой подход: «Подход гарантированной безопасности». Защищённая система должна строиться как защищённая с самого начала.» Открыть/Комментировать

2021-02-04 11:30:02 ​​​​Инфофорум-2021. В. Лютиков (ФСТЭК России) тезисы выступления в ходе пленарного заседания

Продолжается (сохраняется) тенденция ухода организаций (субъектов КИИ или потенциальных субъектов КИИ) из под действия Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Отмечено, что механическое (аналоговое) дублирование ОКИИ не является гарантированной мерой защиты, позволяющей нивелировать наступление негативных последствий в ходе проведения компьютерных атак.
Судя по всему, ФСТЭК против незначимых ОКИИ, так как было отмечено, что у таковых должна быть категория.
Анонсировано представление в этом году для общественного рассмотрения неких документов по категорированию ОКИИ. Первым заявлен документ по определению экономического показателя критерия значимости. Хотя при этом также было замечено, что разумные сроки категорирования уже прошли.
—————————————————————
Какой тогда смысл в этих документах?
—————————————————————
Прозвучало напоминание о перспективной административной ответственности за нарушения в области КИИ. Отмечено, что планируемый размер штрафов считается обоснованным и достаточным, хотя даже возможно рассмотрение их в сторону увеличения.
Отмечено, что госконтроль КИИ идёт.
Анонсировано два документа по аттестации объектов информатизации:
- «закрытый», вероятно, речь идёт о государственной тайне, который, как было указано, уже находится государственной регистрации
- для ГИС, который находится в стадии доработки по результатам общественных обсуждений.
Вспомнили и про проект методики моделирования угроз, которая дорабатывается с учётом проступивших замечаний и предложений.
Проводятся работы по повышению уровня доверия к применяемым информационным технологиям. Заявлено о возможности организации соответствующих курсов под эгидой регулятора. Открыть/Комментировать

2021-02-03 15:10:00 ​​Пирамида цифровых угроз от РКН

Роскомнадзором представлена пирамида современных взаимосвязанных сетевых угроз, вызванных применением цифровых технологий на семи уровнях информационного пространства.
В основании пирамиды притаилось импортозамещение. Открыть/Комментировать

2021-02-02 17:45:00 ​​ КИИ и импортозамещение: попытка номер N-цать

Минцифры вновь представило для общественного обсуждения проект постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядок перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции». Открыть/Комментировать

2021-01-29 13:10:00 ​​Изменения в Правила субсидирования на создание центров ГосСОПКА

Утверждены изменения в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах.
Официально опубликовано постановление Правительства Российской Федерации от 26.01.2021 № 50 «О внесении изменений в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах». Открыть/Комментировать