Сообщения

Сообщения за сентябрь, 2020

Лучшие практики. Обзор изменений NIST 800-53

Изображение
Недавно  National Institute of Standards and Technology в США (NIST)  обновили свой документ  “ Security and Privacy Controls for Information Systems and Organizations ”  до версии  5. Предыдущая версия была опубликована достаточно давно – почти 6 лет назад и за это время её скачали несколько миллионов раз, в том числе разработчики приказов ФСТЭК России брали за основу набор мер из 800-53. Давайте посмотрим на интересные изменения: ·         Правила выбора мер, базовые наборы мер защиты, правила оценки соответствия, правила управления рисками были отделены от основного документа в отдельные документы: 800-53 A , 800-53 B и SP 800-37. Область применения этих документов не такая широкая как у основного документа ·         В основном документе 800-53 был оставлен только каталог мер защиты и комментарии по их применению. Сам каталог может использоваться самыми различными организациями для каких-то своих целей и внутренних требований именно как удобный, детальный каталог мер защиты.

Отключение объекта КИИ от Интернет за несоблюдение требований ФСТЭК? (UPDATE)

Изображение
15 сентября в Минюсте был зарегистрирован (26 сентября 2020 г. вступает в силу) приказ ФСТЭК Росссии  от 28.05.2020 № 75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования" В отличие от предыдущих вариантов (проектов приказа), документ достаточно простой и сам не вносит дополнительных требований к защите ЗО КИИ.   Давайте немного взглянем на новый порядок жизни объекта КИИ, с учетом недавних комментариев представителя ФСТЭК России на онлайн конференции "Кибербезопасность АСУ ТП критически важных объектов". Теперь при необходимости подключения объекта КИИ к сети Интернет, необходимо до ввода в действие нового/модернизации объекта КИИ согласовать такую возможность с ФСТЭК России. Приказ устанавливает перечень сведений,

Изменения в требованиях безопасности значимых объектов критической инфраструктуры (приказ 239)

Изображение
11 сентября 2020 г. в Минюсте были зарегистрированы изменения в приказ ФСТЭКРоссии №239 "Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации" Я подготовил для вас небольшой видео обзор основных изменений. Но рекомендую также и самостоятельно ознакомится с измененным документом

СКЗИ в финансовых организациях

Изображение
  Хотя в общем виде использование сертифицированных СКЗИ в явном виде в высокоуровневых документах не требуется, но именно для финансовых организаций есть достаточно большое количество новых отдельных НПА, требующих применения таких СКЗИ: ·         Указание Банка России №3889-У – Про угрозы специальным ПДн ·         Указание Банка России №4859-У – Про угрозы биометрическим ПДн (ЕБС) ·         382-П ·         672-П ·         683-П ·         684-П ·         ГОСТ 57580 ·         Требования к предоставлению информации с использованием СКЗИ o    ФНС России (440-П) o    ФТС России (390-П) o    РосФинМониторинг (655-П) o    Фонд социального страхования (562-П) ·         Требования к СКЗИ в информационной инфраструктуре ПС (ФТ-56-3/32) Требования разные. Но как правило необходимо выполнять какие-то дополнительные условия из документации на СКЗИ о которых почему-то забывают или не воспринимают серьезно. Но теперь с появлением этих требований в документах Банка Росси