Сообщения

Сообщения за апрель, 2019

КИИ. Планирующиеся штрафы за нарушение требований в области КИИ

Изображение
В РФ планируется установить административную ответственность за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры. По всей видимости регуляторы уже наблюдают низкую активность субъектов КИИ по выполнению своих обязанностей либо ожидают что без этих штрафов, стимулов выполнять законодательство в области безопасности КИИ будет недостаточно. Поэтому был подготовлен и выложен на публичное обсуждение законопроект, вносящий 2 новые статьи в КОАП РФ . В пояснительной записке указывается что авторы считают, что имеющаяся статья 274.1 УК РФ слишком суровая для обычного нарушения требований, поэтому предлагают дифференцированный подход: часть новых пунктов распространяется на всех субъектов КИИ, а другая – только на владельцев значимых объектов КИИ. Ниже все штрафы на одной картинке Крайний срок вынесения постановлении о нарушении планируют установить не позднее 1 года со дня совершения правонарушения (по сравнению с ПДн –

ИБ. Лучшие практики CIS. 20 ключевых мер защиты

Изображение
Недавно международное ИТ сообщество CIS (Center for Internet Security) обновили свой документ с лучшими практиками (20 CIS Controls ) мер защиты от актуальных угроз ИБ.   В обновлении немного поменялись формулировки мер защиты, угроз которым они противостоят, а также добавлен новый подход к приоритизации мер, под названием – группы реализации Implementation Group , о которых надо рассказать подробнее: Изначально TOP 20 CIS Critical control – это был набор групп мер приоритезированных по критичности и рекомендованному порядку их применения. Причем первые B asic меры считались основами кибер гигиены, которые должны внедрить все компании ( подробнее в моих предыдущих заметках ) Но оказалось, что для некоторых малых и ограниченных в ресурсах компаний не по силам даже B asic группы меры. К тому же раньше не учитывалась разная степень риска в разных организациях.   Поэтому решено было разделить меры на группы реализации IG1, IG2, IG3 :  •          Implementation group

Юмор. Единое встроенное СЗИ

Изображение
Сегодня Ассоциация российских разработчиков единого встроенного СЗИ, включающая Россети, Газпром, Лукойл, Сбербанк, опубликовала пресс релиз о выпуске Единого встроенного средства защиты информации (далее - ЕВС), разработанного при участи ФСБ России, ФСТЭК России и Минкомсвязи. Архитектура решения представлена ниже Основные компоненты решения: ·          Единое встроенное СЗИ нижнего уровня – встраивается в исполнительные устройства, банкоматы, датчики, счетчики, иные аппаратные и технологические устройства ·          Единое встроенное СЗИ среднего уровня – встраивается в телекоммуникационное оборудование, программируемые логические контроллеры, оборудование промышленных сетей передачи данных ·          Единое встроенное СЗИ верхнего уровня – встраивается в АРМ пользователей и операторов, серверы, промышленные серверы ·          Серверы управления ( C & C ) – иерархическая структура серверов управления любой сложности Основные функции решения: управление до