Сообщения

Сообщения за февраль, 2017

ИБ. НПА. Новые требования к лицензиатам ФСТЭК - мониторинг

Изображение
В предыдущей статье мы рассмотрели общие изменения требований к лицензиатам, а также требования Перечню оборудования пентестеров. В этой статье посмотрим на требования в рамках деятельности “в) услуги по мониторингу информационной безопасности средств и систем информатизации” Рассмотрение самого термина вынес в приложение. А в начале мы рассмотрим варианты мониторинга на практике: 1 вариант. SOC . Тут у нас комплекс средств, персонала и процессов, которые собирают информацию, анализируют и реагируют. Как правило для автоматизации и формализации процессов SOC , а также для красивого представления этой информации заказчику – используется дополнительное web приложение, BI .  Видимо регулятор думал только про этот вариант мониторинга ИБ, когда готовил Перечень оборудования необходимого лицензиатам.  2 вариант. SIEM .   В данном случае тоже оказывается услуга мониторинга и реагирования, но не применяется никаких надстроек, только коробочный SIEM , в который поставщик усл

ИБ. НПА. Новые требования к лицензиатам ФСТЭК - пентестеры

Изображение
Постановления Правительства РФ от15.06.2016 N 541 внесло изменения в Постановление Правительства РФ от 3 февраля 2012 г. N 79 «о лицензировании деятельности по технической защите конфиденциальной информации» Изменения вступают в силу 17.06.2017 . Давайте вспомним что изменилось: 1) виды работ и услуг: В ряде случаев вместо “работ и услуг” стало применяться только “услуг по”. Убрали сертификационные испытания и добавили услуги по мониторингу - в) сертификационные испытания на соответствие требованиям по безопасности информации продукции …; + в) услуги по мониторингу информационной безопасности средств и систем информатизации ; В область лицензирования попала наладка СЗИ.  В СКЗИ-шном лицензировании “наладка” всегда упоминалась. Теперь вот и в ТЗКИ. Когда мы говорится про наладку программного обеспечения очевидно имеется в ввиду его настройка. - е) установка, монтаж, испытания, ремонт средств защиты информации (технических средств защиты информации, защищен

СЗПДн. Анализ. Уточнение и повышение штрафов за нарушения в области ПДн

Не смог пройти мимо, раз уж поправки в КоАП были утверждены и опубликованы . Пункт статьи 13.11 КоАП РФ Штраф до Гражданин Должностное лицо Юр. лицо 1. Обработка ПДн без оснований или несовместимая с целями сбора ПДн 3 тыс. руб. 10 тыс. руб. 50 тыс. руб. 2. Обработка ПДн без согласия (или неверное согласие) в письменной форме, когда оно необходимо 5 тыс. руб. 20 тыс. руб. 75 тыс. руб. 3. Не опубликование политики обработки и требований защиты 1 тыс. руб. 6 тыс. руб. 30 тыс. руб. 4. Не предоставление информации субъекту ПДн 2 тыс. руб. 6 тыс. руб. 40 тыс. руб. 5. Невыполнение законных требований субъекта ПДн по уточнению, блокированию или удалению 2 тыс. руб. 10 тыс. руб. 45 тыс. руб. 6. Невыполнение требований к безопасному хранению при неавтоматизир