Блог Сергея Борисова про ИБ

Как вы, наверное, знаете в РФ фактически нет наказания за утечку персональных данных (если не считать 13.14 со штафом в 5 тыс. руб.). В то же время в Евросоюзе за утечки персональных данных предусмотрены GDPR штрафы до 20 млн. евро или 4% от оборота компании. В Минкомсвязи решили исправить этот недочет и подготовили законопроект предусматривающий административное наказание за 2 новых состава правонарушений:   ·          8) за хранение баз данных с ПДн граждан РФ за границами РФ ·          9) за несоблюдение требований по конфиденциальности ПДн, за незаконное раскрытие или распространение ПДн – по сути, утечки персональных данных как раз попадают под этот состав Для сравнения привожу таблицу с действующими и новыми составами правонарушений в области ПДн. Есть правда одна проблема - штраф за утечку ПДн должен быть на порядок выше. Иначе, это не стоит внимания бизнеса.   А ест...

В РФ создается все больше информационных систем, которые требуют от пользователей – сотрудников коммерческих и гос. организаций наличия электронной подписи. Появляется всё больше возможностей для взаимодействия граждан, организаций и государства в электронной форме. В той же отрасли здравоохранения чуть ли не всему медицинскому персоналу нужно обзавестись ЭП: электронные больничные (ПП РФ   от 16.12.2017 N 1567), рецепты, мед. справки и заключения, согласие на мед. вмешательство, документирование телемедицинских услуг в электронном виде (N 242-ФЗ от 29.07.2017), маркировка обращения лекарственных средств (№ 425-ФЗ от 28 декабря 2017 г.), проект Минздрава “Электронное здравоохранение” до 2025 г. – не менее 99% рабочих мест мед. работников оборудовано ЭП. При этом вопросы применения, эксплуатации и обеспечения безопасности ЭП регламентируются либо документами 17-ти летней давности либо не регламентируются вовсе. Например, не определено, должны ли ЭП быть выданы на фи...

Год с небольшим назад Агенство по безопасности сетей и информации Евросоюза (European Union Agency for Network and Information Security) выпустили руководства для малых и средних компаний ( SME ) по защите персональных данных. Во вступлении написано, что крупные компании при обеспечении безопасности персональных данных в рамках GDPR могут использовать риск ориентированный подход, придумывать собственные методики анализа, рассматривать сотни угроз и самостоятельно подбирать контрмеры для каждой угрозы. Но малые и средние компании как правило не имеют достаточной экспертизы и ресурсов, чтобы провести такой подробный анализ, а ведь SME составляет 99% от общего количества операторов персональных данных. Для того чтобы помочь малым и средним компаниям выполнить требования GDPR по безопасности по упрощенной схеме и при этом сохранить риск-ориентированный подход и адаптацию мер защиты под особенности обработки данных, ENISA и выпустила данное руководства ( guidelines ). Давайте...

Когда только появилась информация о ГосСОПКА у многих специалистов, в том числе и у меня создалось впечатление, что весь основной интеллектуальный анализ атак будет происходить в центрах ГосСОПКА (главном, ведомственных, корпоративных), а на стороне защищаемых ресурсов только некие “сенсоры”, собирающие информацию. Но недавно опубликованный проект приказа ФСБ России «Об утверждении Требований к средствам, предназначенным для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты» наконец разъяснил, что мы должны увидеть на значимых объектах КИИ для подключения к ГосСОПКА. Если не учитывать средства поиска атак на сетях электросвязи (которые требуются только для операторов сетей) то для остальных значимых субъектов КИИ необходимы следующие средства (я разделил их на 5 типа, хотя некоторые могут сочетаться в одном решении): ·          средства обнаружения компьютерных атак ·  ...