среда, 27 сентября 2017 г.

Изменённый перечень оборудования для лицензиатов ФСТЭК по ТЗКИ

Давно я не уделял время своему блогу. За прошедшее время многие посты утратили свою актуальность.
Вот и пришло время обновить часть своих постов.
Вот например писал пост про обновленный перечень оборудования необходимого для лицензиатов ФСТЭК на деятельность по ТЗКИ.
Что изменилось?
Изменился перечень необходимого оборудования на виды деятельности и формулировки видов работ и услуг.
 Удалены следующие виды оборудования:
 1. Средства контроля эффективности применения средств защиты информации
 2. Средства, предназначенные для осуществления тестирования на проникновение
 3. Межсетевой экран уровня веб-сервера
 4. Межсетевой экран уровня сети
 5. Средство (средства) антивирусной защиты, предназначенное (предназначенные) для применения на серверах и автоматизированных рабочих местах информационных систем, и средство (средства) их централизованного администрирования
 6. Система обнаружения вторжений
 7. Средство автоматизированного реагирования на инциденты информационной безопасности

Добавлены следующие виды оборудования:
 1. Средства поиска остаточной информации на машинных носителях информации
 2. Средства контроля подключения устройств

Так же изменились формулировки видов услуг и работ, что отразилось на самой лицензии. (К нам например уже были претензии и пришлось менять, так как формулировки не соответствуют Постановлению Правительства Российской Федерации от 3 февраля 2012 г. N 79).

Конечно  явно перечень сократился, с 33 до 28 единиц,  но по факту он только расширился.

ДА! И я конечно обновил тот самый файл Excel c перечнем оборудования, для удобства, брать ТУТ.

Возможно этот перечень опять обновится в ближайшее время, так как поменялись формулировки видов деятельности, а перечень оборудования, который лежит на сайте ФСТЭК сейчас со старыми формулировками видов деятельности.

Ещё обновил свою страничку "ответственность за нарушение безопасности информации".
Поскольку меня часто спрашивают об ответственности в области защиты информации, решил
выделить страничку со штрафами, чтоб всегда была под рукой и удобно было пользоваться.
Туда же внёс обновленный перечень штрафов в области персональных данных, который вступил в силу с 1 илюя 2017г.

 Всем спасибо! Пока ВСЁ.

пятница, 28 июля 2017 г.

BlackBox Scanner мой опыт

Решили с коллегами тоже проверить, как работает сканер BlackBox Scanner от Positive Technologies.
И вот я выбрал время в свой выходной и сел за проверку. Целью проверки выбрал свой блог и сайт компании)) Да простят меня  руководители)).Скачал утилиту и запустил проверку. Осталось дело за малым, дождаться когда сканер завершит свою работ. Сканирование завершилось относительно быстро, как показано на рисунке, длилось примерно 2.5 часа.
Сканер показал, что "уязвимостей не найдено", но я всё равно сомневаюсь в этом.

понедельник, 3 апреля 2017 г.

Attacker рotential

Просматривая изменения в приказе ФСТЭК №17 возникли вопросы по поводу потенциала нарушителей.

В старом варианте приказа было только три варианта потенциала нарушителей (низкий, средний, высокий), что подтверждается банком угроз...



Даже в списке терминов того же банка угроз написано следующее...
Потенциал нарушителя (Attacker рotential)
мера усилий, затрачиваемых нарушителем при реализации угроз безопасности информации в информационной системе. 
Примечание. Различают высокий, средний и низкий потенциалы нарушителя.
Высокий потенциал подразумевает наличие возможностей уровня предприятия/группы предприятий/государства по разработке и использованию специальных средств эксплуатации уязвимостей.
Средний потенциал подразумевает наличие возможностей уровня группы лиц/организации по разработке и использованию специальных средств эксплуатации уязвимостей.
Низкий потенциал подразумевает наличие возможностей уровня одного человека по приобретению (в свободном доступе на бесплатной или платной основе) и использованию специальных средств эксплуатации уязвимостей

Теперь в новом варианте приказа появились варианты потенциалов нарушителей (базовый, усиленный базовый ) ...Может это ошибка? а под базовым подразумевался низкий потенциал, а усиленный базовый -это средний...? В общем остаются вопросы.

И ещё об одном моменте  хотелось бы написать, а именно про анализ уязвимостей..Что теперь после опытной эксплуатации необходимо провести анализ уязвимостей по результатам которых необходимо подтверждение, что в ИС отсутствуют уязвимости содержащиеся в банке данных угроз безопасности информации ФСТЭК России...По какой форме делать это подтверждение опять не обозначено


воскресенье, 19 февраля 2017 г.

Новый перечень оборудования для лицензиатов ФСТЭК в области технической защиты конфиденциальной информации

   В связи с новым перечнем контрольно-измерительного и испытательного оборудования, средств контроля защищенности, необходимых для выполнения работ и оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79,  решил поудобней оформить таблицы с оборудованием, чтоб наглядней было. Кому понадобиться можете взять здесь



   PS: Информационная система, предназначенная для мониторинга информационной безопасности в которой приняты меры по защите информации для первого класса защищенности государственных информационных систем в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17.
 Это сильно!!!))) Нет слов---.

понедельник, 23 января 2017 г.

Планируемые штрафы за нарушение закона о персональных данных

   Не так давно в новостях прошло сообщение о новых штрафах в области безопасности персональных данных. В этом сообщении говорилось, что Госдума утвердила во втором чтении законопроект ужесточении административной ответственности за нарушение положений закона о персональных данных. Согласно проекту закона, предлагается существенно расширить статью 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» Кодекса Российской Федерации об административных правонарушениях (КоАП).
Условно статью 13.11 можно разделить на несколько частей:
Часть первая. Обработка персональных данных
1. Если автономное учреждение, как и любой другой оператор ПДн, нарушит требования к содержанию письменного согласия субъекта ПДн, в будущем ему может грозить штраф в размере от 3000 до 8000 руб. (для должностных лиц) либо в размере от 15 000 до 50 000 руб. (для юридических лиц).
2. Обработка ПДн без согласия субъекта и в отсутствие иных условий обработки, предусмотренных законодательством о ПДн, в будущем повлечет штрафы в размере от 5000 до 15 000 руб. (для должностных лиц) и от 30 000 до 50 000 руб. (для юрлиц).
3. Незаконная обработка специальных категорий ПДн в будущем может повлечь еще более значительные санкции, чем первые два нарушения. За это должностных лиц предлагается штрафовать на сумму от 10 000 до 25 000 руб., а юридических лиц - на сумму от 150 000 до 300 000 руб.
4. За невыполнение обязанности по обезличиванию ПДн, а также за несоблюдение установленных требований и методов по такому обезличиванию планируется наказывать только органы власти, а точнее, их должностных лиц. Согласно рассматриваемому законопроекту им будет грозить предупреждение либо штраф от 3000 до 6000 руб.
Часть вторая. Взаимодействие с субъектом персональных данных
1. За неопубликование политики в области ПДн операторов планируется штрафовать в размере от 3000 до 6000 руб. (для должностных лиц) и от 15 000 до 30 000 руб. (для юрлиц).
2. Непредставление гражданину информации об обработке его ПДн в будущем также станет основанием для привлечения оператора к административной ответственности. Законопроект содержит следующие суммы штрафов: 4000 - 6000 руб. для должностных лиц и 20 000 - 40 000 руб. для юридических лиц.
3. Еще одним нарушением, за которое предполагается установить административную ответственность, станет несвоевременное выполнение требований гражданина об уточнении, блокировании или уничтожении его ПДн в случае, если личные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Мерой ответственности здесь будут штрафы в размере от 4000 до 10 000 руб. (для должностных лиц) и от 25 000 до 45 000 руб. (для юрлиц).
Часть третья. Несанкционированный доступ к ПДн
Если оператор все-таки не обеспечит сохранность ПДн и произойдет их утечка, уничтожение, изменение, блокирование, копирование, распространение или иные неправомерные действия, в будущем оператору может грозить штраф в размере от 4000 до 10 000 руб. (для должностных лиц) и от 25 000 до 50 000 руб. (для юрлиц).
Правда, эти штрафы планируется ввести в отношении тех юридических лиц, которые обрабатывают ПД без использования средств автоматизации и хранят их на материальных носителях. Наказания за утечки ПД, обрабатываемых автоматизированным способом, пока не предусмотрены и это довольно таки странно!!!
Ну и ещё немного штрафов за нарушение ПДн указаны в таблице ниже.

Статья Нормативно-правовой акт Нарушение Мера наказания
137 УК
Нарушение неприкосновенности 
частной жизни
1. наказываются штрафом в размере до 200 000 р. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо обязательными работами на срок до 360 часов, либо исправительными работами на срок до 1 года, либо принудительными работами на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо арестом на срок до 4 месяцев, либо лишением свободы на срок до 2 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.
2. наказываются штрафом в размере от 100 000 до 300 000 р. или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо принудительными работами на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового, либо арестом на срок до 6 месяцев, либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.
3. наказывается штрафом в размере от 150 000 до 350 000 р. или в размере заработной платы или иного дохода осужденного за период от 18 месяцев до 3 лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 3 до 5 лет, либо принудительными работами на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 6 лет или без такового, либо арестом на срок до 6 месяцев, либо лишением свободы на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 6 лет.
140
УК
Отказ в предоставлении гражданину информации о его ПД, обрабатываемых организацией
наказываются штрафом в размере до 200 000 рублей или в размере заработной платы или иного дохода осужденного за период до 18 месяцев либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет.
272
УК
Неправомерный доступ к компьютерной информации
1. наказывается штрафом в размере до 200 000 р. или в размере заработной платы или иного дохода осужденного за период до 18 месяцев, либо исправительными работами на срок до 1 года, либо ограничением свободы на срок до 2 лет, либо принудительными работами на срок до 2 лет, либо лишением свободы на тот же срок.
2. наказывается штрафом в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 2 лет, либо исправительными работами на срок от 1 года до 2 лет, либо ограничением свободы на срок до 4 лет, либо принудительными работами на срок до 4 лет, либо лишением свободы на тот же срок.
3. наказываются штрафом в размере до 500 000 рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет, либо ограничением свободы на срок до 4 лет, либо принудительными работами на срок до 5 лет, либо лишением свободы на тот же срок.
4. наказываются лишением свободы на срок до 7 лет.
5.39
КоАП
Отказ в предоставлении информации

влечет наложение административного штрафа на должностных лиц в размере от 1000 до 3000 рублей.
13.11
КоАП
Нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц - от 500 до 1000; на юридических лиц - от 5000 до 10000 рублей.

13.12
КоАП
Нарушение правил защиты информации
Максимальное наказание до 25 000 руб. или административное приостановление деятельности на срок до 90 суток
13.13
КоАП
Незаконная деятельность в области защиты информации
1. влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от 2000 до 3000 рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от 10 000 до 20 000 рублей с конфискацией средств защиты информации или без таковой.
2. влечет наложение административного штрафа на должностных лиц в размере от 4000 до 5000 рублей; на юридических лиц - от 30 000 до 40 000 рублей с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.
13.14
КоАП
Разглашение информации с ограниченным доступом (например, ПД)
влечет наложение административного штрафа на граждан в размере от 500 до 1000 рублей; на должностных лиц - от 4000 до 5000 тысяч рублей.
19.5
КоАП
Невыполнение в срок требований надзорного органа или ФСТЭК РФ (при повторной проверке)
влечет наложение административного штрафа на должностных лиц в размере от 5000 до 10000 рублей или дисквалификацию на срок до 3 лет; на юридических лиц - от 200 000 до 500 000 рублей.
19.7
КоАП
Непредставление сведений (информации)
влечет предупреждение или наложение административного штрафа на граждан в размере от 100 до 300 рублей; на должностных лиц - от 300 до 500 рублей; на юридических лиц - от 3000 до 5000 рублей.
81
ТК
разглашения охраняемой законом тайны , ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника;
Расторжение трудового договора по инициативе работодателя.
90
ТК
Нарушение норм, регулирующих получение, обработку и защиту персональных данных работника
Дисциплинарная, материальная, гражданско-правовая, административная, уголовная ответственность в порядке, установленном федеральными законами.

четверг, 29 декабря 2016 г.

Новогодний пост!!! Всех с наступающим 2017 годом!!!

За прошедший 2016 год было много чего сделано, но одним из главных событий для меня:
- направление в области безопасности АСУ ТП;
- проведённая Нашей компанией конференция;
- начал вести блог и успеть написать несколько статей;
- в конце года от ФСТЭК пришли документы по КСИИ. Прям можно сказать подарок к Новому году)))

  

Ну и хочу поздравить всех с наступающим Новым 2017 годом.

Согласно китайскому (восточному) календарю, у каждого года есть свой покровитель – одно из двенадцати животных имеющих один из пяти цветов и одну из пяти стихий. Покровителем 2017 года будет Красный Огненный Петух. Астрологи предсказывают, что "будущий год в особенно благоприятно для тех, кто выбирает прямые пути и не стремится усложнять события,
настроен добросовестно трудиться и вкладывать в своё будущее. Останется верным себе в словах и поступках  и будет честным с окружающими. Стихия Огня, осветит темные стороны собственной жизни, освободит от них и устроит яркий костер из давних проблем, которые мешают двигаться к успеху и процветанию"

От себя хочу ещё добавить чтоб в будущем 2017 году у вас было поменьше событий с красной отметкой в области ИБ, всё происходило плавно и спокойно без инцидентов. Ещё раз поздравляю вас мои друзья с Наступающим Новым 2017 годом, будьте счастливы!!!



четверг, 15 декабря 2016 г.

Упс! Межсетевые...

Помнится, что с 1 декабря 2016 года вступили в силу новые требования к межсетевым экранам утверждённые приказом ФСТЭК России от 9 февраля 2016 г. N 9.
Чуть позже вышло информационное сообщение ФСТЭК поясняющее ввод новых требований.

"Таким образом, с 1 декабря 2016 г. разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать Требованиям."

Как видно из сообщения, что  поставить межсетевые экраны по старым требованиям нельзя. 
Но просматривая конкурсную документацию, многие по-прежнему указывают в требованиях к МЭ старую классификацию...интересно, как собираются выполнять требования те, кто выиграет данные конкурсы?
Если такие найдутся конечно))