вторник, 24 июня 2014 г.

Свежий ветер? Интервью заместителя руководителя Роскомнадзора

Добрый день, дорогие читатели! 17 июня на сайте Роскомнадзора появилось интервью заместителя руководителя Антонины Приезжевой (далее - А.П.) о новой стратегии ведомства- ссылка. В своем майском посте я уже писала об инициативах Роскомнадзора (ссылка).
Кратко укажу основные моменты, затронутые в интервью (вольный пересказ):
 
Об основных направлениях работы...
А.П. выделяет три основных направления работы ведомства:
  • усиление полномочий органа по защите прав субъектов ПД,
  • активное проведение работы по защите данных в сети Интернет,
  • информационно-образовательная деятельность.
 
Об основных видах нарушений...
  • Для банковской сферы характерна передача личной информации клиентов и их поручителей коллекторам без должных на то оснований.
  • Для образовательных учреждений характерно незаконное размещение списков учащихся в открытом доступе.
  • Для операторов связи - утечки персональных данных (разовые нарушения).
 
Об изменениях законодательства...
Для повышения оперативности реагирования на нарушения в сфере персональных данных Роскомнадзор инициировал ряд поправок в Федеральный закон № 294-ФЗ , а также в Кодекс РФ об административных правонарушениях. В настоящее время законопроекты проходят процедуру оценки, а по Плану законопроектной деятельности подлежат внесению в Правительство Российской Федерации в сентябре 2014 года.
 
О сотрудничестве...
В апреле Роскомнадзор, Федеральная служба судебных приставов и Центральная избирательная комиссия подписали соглашение о сотрудничестве в сфере защиты прав субъектов персональных данных. В настоящее время подтвердил свое намерение к нему подключиться Рособрнадзор. ФМС России выразила желание отразить особенности взаимодействия в двух стороннем порядке (по результатам переговоров будет составлено межведомственное соглашение).
 
Об образовании...
А.П. упоминает о проблеме дефицита квалифицированных профессионалов отрасли. Роскомнадзором ведутся переговоры с вузами о возможности подготовки образовательных программ в области персональных данных.
 
О сознательности граждан...
В рамках информационно-разъяснительной работы Роскомнадзор планирует ввести практику проведения дня открытых дверей для всех заинтересованных лиц (в том числе субъектов ПДн). Также готовится научно-практический комментарий к Федеральному закону «О персональных данных», рекомендованный не только для специалистов, но и для широкой публики.
 
Источник: http://pd.rkn.gov.ru/press-service/subject3/news4189.htm
 
 
Ну и в завершении поста - картина-впечатление - свежий ветер, девушка, лето:
 
В. Гусев "Свежий ветер". Источник
 
 

среда, 18 июня 2014 г.

10 блогов по информационной безопасности

Добрый вечер, дорогие читатели! Блогов по информационной безопасности в последнее время стало очень много, следить за их обновлениями довольно сложно, если Вы еще не решили, кого читать в первую очередь, могу порекомендовать свой хит-лист. Итак, 10 блогов, которые я читаю чаще всего:

http://anvolkov.blogspot.ru/ - Безопасность для понимающих и не очень.
http://emeliyannikov.blogspot.ru/ - Рецепты безопасности от Емельянникова.
http://www.tsarev.biz/ - Информационная безопасность по-русски.
http://www.lukatsky.blogspot.ru/ - Бизнес без опасности.
http://80na20.blogspot.ru/ - Жизнь 80 на 20.
http://rusrim.blogspot.ru/ - Кто не идет вперед, тот идет назад.
http://sborisov.blogspot.ru/ - Блог Сергея Борисова про ИБ.
http://xpomob.blogspot.ru/ - Ригельз дыбр.
http://secinsight.blogspot.ru/ - Security Insight - Блог Александра Бондаренко.
http://personal-data.livejournal.com/ -  Персональные данные. Правоприменение.

А кого читаете Вы? 

понедельник, 16 июня 2014 г.

Информационное сообщение ФСТЭК России по 17 и 21 приказам (часть 3)

Добрый день, дорогие читатели! Представляю Вашему вниманию третью и завершающую часть цикла постов об информационном сообщении ФСТЭК.
1 часть здесь.
2 часть здесь.


7 вопрос. Какие требования предъявляются к средствам защиты персональных данных? Каким образом отражается соответствие средств защиты информации?
В государственных информационных системах 1 и 2 классов защищенности и в информационных системах персональных данных 1, 2 уровней защищенности и 3 уровня защищенности, для которых к актуальным отнесены угрозы 2-го типа, применяются средства защиты информации, программное обеспечение которых прошло проверку не ниже чем по 4 уровню контроля отсутствия недекларированных возможностей.
Выбор классов защиты сертифицированных средств защиты информации осуществляется в соответствии с пунктом 26 Требований, утвержденных приказом ФСТЭК России N 17, и пунктом 12 Состава и содержания мер, утвержденных приказом ФСТЭК N 21.
Соответствие уровню контроля отсутствия недекларированных возможностей указывается в сертификатах соответствия требованиям по безопасности информации на эти средства защиты информации.
Возможность применения в государственных информационных системах соответствующего класса защищенности средств защиты информации, сертифицированных на соответствие требованиям безопасности информации, установленным в технических условиях (заданиях по безопасности), указывается заявителем (разработчиком, производителем) в эксплуатационной и конструкторской документации на эти средства (формулярах и технических условиях).
8 вопрос. Необходимо ли применять дополнительные меры защиты для нейтрализации угроз безопасности персональных данных 1-го и 2-го типов?
В соответствии с пунктом 11 Приказа 21 операторами могут применяться дополнительные меры, связанные с тестированием информационной системы на проникновения и использованием в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования. Указанные меры не являются обязательными и применяются по решению оператора, к тому же до разработки и утверждения ФСТЭК России методических документов по реализации указанных мер порядок их применения определяется оператором самостоятельно.
9 вопрос. Планируется ли разработка нормативных документов в целях реализации Требований, утвержденных приказом ФСТЭК N 17?
Приказ N 21 издан во исполнение части 4 статьи 19 Федерального закона «О персональных данных». Указанным Федеральным законом разработка ФСТЭК России иных документов по обеспечению безопасности персональных данных, в том числе по моделированию угроз безопасности персональных данных, не предусмотрена. Определение типов угроз безопасности персональных данных осуществляется оператором в соответствии остановлением Правительства N 1119.
ФСТЭК России завершается разработка методических документов по описанию содержания мер защиты информации в информационных системах и порядку моделирования угроз безопасности информации в информационных системах. Ориентировочный срок утверждения документов – IVквартал 2013 г. Так как рекомендации ФСТЭК написаны в 2013 году, об утвержденном документе говорится в будущем времени: ссылка.
Планируется разработка методических документов, определяющих порядок обновления программного обеспечения в аттестованных информационных системах, порядок выявления и устранения уязвимостей в информационных системах, порядок реагирования на инциденты, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации, а также ряда других методических документов, направленных на реализацию требований, утвержденных приказом N 17. 


воскресенье, 1 июня 2014 г.

Информационное сообщение ФСТЭК России по 17 и 21 приказам (часть 2)

Добрый вечер, дорогие читатели! Предлагаю Вашему вниманию продолжение моего поста Информационном сообщении ФСТЭК России, первую часть можно прочитать здесь.

4 вопрос. Каковы границы применимости требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 № 17 в отношении муниципальных информационных систем?
Требования, утвержденные приказом ФСТЭК России N 17, распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством Российской Федерации о местном самоуправлении (в частности, Федеральным законом от 6 октября 2003 г. N 131-ФЗ «Об общих принципах местного самоуправления в Российской Федерации» и принятыми в соответствии с ним иными нормативными правовыми актами Российской Федерации).

5 вопрос. Отменяет ли Приказ ФСТЭК № 17 требования СТРК-К?
СТР-К применяется в качестве методического документа при реализации мер по защите государственных информационных систем в целях нейтрализации угроз безопасности информации, связанных с защитой от утечки по техническим каналам. Иные положения СТР-К могут применяться по решению обладателей информации, заказчиков и операторов государственных информационных систем в части, не противоречащей Требованиям.
 Кроме того, положения СТР-К и РД АС по решению обладателя информации могут применяться для защиты сведений конфиденциального характера, обрабатываемых в негосударственных информационных системах.

6 вопрос. Допустимо ли применять понятие «информационная система», если в национальных стандартах в области защиты информации используется понятие «автоматизированная система»?
В Приказах ФСТЭК России N 17 и 21 используется понятие «информационная система», в иных методических документах и национальных стандартах в области защиты информации используется понятие «автоматизированная система», определенное национальным стандартом ГОСТ 34.003-90.

Исходя из родственных определений понятия «информационная система» и понятия «автоматизированная система», установленного национальным стандартом ГОСТ 34.003-90, использование в нормативных правовых актах ФСТЭК России понятия «информационная система» не влияет на конечную цель защиты информации.