Как стать автором
Обновить

Компания Информационный центр временно не ведёт блог на Хабре

Сначала показывать

Нам нужно честно поговорить про аттестованные ЦОД

Время на прочтение14 мин
Количество просмотров10K

Дисклеймер

1.   Я не собираюсь заниматься луддизмом и призывать всех не переезжать в аттестованные облака. Облачные технологии это, несомненно, часть нашего будущего.

2.   Конечно же, не все аттестованные облака являются «аттестованными» в кавычках. Но если вы потенциальный клиент, есть нюансы, на которые необходимо обратить внимание.

3.   Если при переезде в аттестованное облако вас интересует не фактическая защищенность передаваемых в облако данных, а формальное выполнение требований, то тут один короткий совет – проверьте, что предъявляемый провайдером аттестат классом защищенности (или уровнем защищенности) не ниже вашей системы. Далее, если с аттестацией что-то не так, то по идее должны разбираться регуляторы с провайдером. По идее... (но об этом ниже).

Если все же вас заботит не только наличие у провайдера заветной бумаги, но и реальная защищенность информации, тогда эта статья для вас.

Читать далее
Всего голосов 10: ↑9 и ↓1+11
Комментарии2

Почему все порталы с персональными данными вне закона с 2008 года и как получилось, что всем плевать, в том числе ФСБ

Время на прочтение7 мин
Количество просмотров35K

Доброго времени суток, Хабр! Сегодня мы поговорим о том, к чему приводят невыполнимые требования законодательства. Понятно, что глобально это приводит к невыполнению этих самых требований, но здесь мы рассмотрим конкретный пример.

Речь пойдет о требовании ФСБ России шифровать любые персональные данные, передающиеся по сетям связи общего пользования (в народе – просто Интернет), только сертифицированными криптографическими средствами.

Читать далее
Всего голосов 53: ↑51 и ↓2+67
Комментарии92

Теперь каждую ИСПДн нужно подключать к SOC?

Время на прочтение5 мин
Количество просмотров9.1K

Наверное, многие из вас видели в конце декабря 2020 года в СМИ заголовки вроде «Подписано около 100 новых законов» и возможно даже читали подборки изменений новых правил из различных сфер жизни, вступающих в силу с 1 января 2021 года.

Одним из таких подписанных документов был Федеральный закон от 30.12.2020 №515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности». Казалось бы – как связаны оперативно-розыскная деятельность, любая ИСПДн (информационная система персональных данных) и SOC (Security Operation Center)?

Читать далее
Всего голосов 13: ↑12 и ↓1+17
Комментарии9

Россертификация, Росконтроль – мошенничество в сфере оказания услуг по защите ПДн или нет?

Время на прочтение11 мин
Количество просмотров53K

Всем привет, в 2020 году прокатилась новая волна спама от так называемого Федерального центра по защите персональных данных СДС «Росконтроль». Там все по классике – пугают операторов персональных данных миллионными штрафами и обещают решить все проблемы всего за каких-то 40 тысяч рублей. Но история эта началась гораздо раньше, и я бы хотел сначала провести небольшую ретроспективу.

Читать далее
Всего голосов 51: ↑51 и ↓0+51
Комментарии17

Как не нужно составлять согласие на обработку персональных данных

Время на прочтение5 мин
Количество просмотров71K
И какие согласия не стоит подписывать.



Доброго времени суток, Хабр!

Эта статья родилась совершенно спонтанно из такой вот истории.

Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы работаем, то берем кредит, то нужно обеспечить заявку на торгах и так далее. Обычная жизнь обычного ООО.

И вот, вчера мне приносят на подпись очередной документ — согласие на обработку персональных данных от одного локального банка. Я сначала на автомате его подписал, а потом все-таки решил прочитать. Яжпрограммист Я же все-таки специалист в том числе по защите персональных данных. Прочитанное повергло меня в нехилый шок.

Под катом разберемся, что с согласием не так и почему оно незаконно.
Читать дальше →
Всего голосов 123: ↑121 и ↓2+119
Комментарии115

Обзор изменений в 17-м приказе ФСТЭК

Время на прочтение5 мин
Количество просмотров26K


Привет, Хабр! 13 сентября Минюст утвердил документ, вносящий изменения в 17 приказ. Это тот самый, который про защиту информации в государственных информационных системах (далее – ГИС). На самом деле изменений много и некоторые из них существенные. Есть как минимум одно очень приятное для операторов ГИС. Подробности под катом.
Читать дальше →
Всего голосов 18: ↑16 и ↓2+14
Комментарии21

Astra Linux 1.6 (Смоленск). Готова ли система к работе с простыми пользователями? Примеры костылей

Время на прочтение15 мин
Количество просмотров66K

Нейтрализация пользователя и процесс установки новой ОС

Привет, Хабр. Сегодня хотим поделиться опытом миграции одной организации (далее – Заказчик) на отечественную ОС в рамках выполнения требований по импортозамещению. Сразу нужно обозначить, что Заказчик выбрал и закупил эту ОС самостоятельно. Нам же досталось удовольствие развертывания, оптимизации этой ОС и выполнение требований по защите информации.
Читать дальше →
Всего голосов 27: ↑24 и ↓3+21
Комментарии60

Провинциальная ИБ – стагнация или развитие?

Время на прочтение9 мин
Количество просмотров7.7K


Всем доброго времени суток. Сегодня нам хотелось бы обсудить информационную безопасность в регионах, и рассказать о прошедшем 19-20 июня восьмом ежегодном Форуме «Актуальные вопросы информационной безопасности», который мы традиционно с 2009 года проводим на базе Администрации Приморского края во Владивостоке.

Я не зря сказал, что здесь будет обсуждение насущных проблем ИБ, сухой пресс-релиз о мероприятии на Хабре публиковать не хочется, а кому он все-таки нужен, можно почитать здесь. Там же можно скачать и презентации докладчиков, среди которых были как представители регуляторов, так и вендоры и интеграторы.

Под катом много фото, нытья и лучик оптимизма.

Читать дальше →
Всего голосов 12: ↑9 и ↓3+6
Комментарии4

Пишем модель угроз

Время на прочтение19 мин
Количество просмотров225K


Всем привет, мы продолжаем свой цикл статей по «бумажной безопасности». Сегодня поговорим о разработке модели угроз. Если цель прочтения этой статьи в получении практических навыков, то лучше сразу скачать наши шаблоны документов, в котором есть и шаблон модели угроз. Но и без шаблона под рукой со статьей тоже можно ознакомиться в общеобразовательных целях.

Читать дальше →
Всего голосов 27: ↑26 и ↓1+25
Комментарии8

Гайд по внутренней документации по информационной безопасности. Что, как и зачем

Время на прочтение20 мин
Количество просмотров132K


В одной из наших предыдущих статей мы затронули вопрос формирования комплекта документов для проверяющих по вопросам защиты персональных данных. Мы дали ссылку на наши шаблоны документов, но остановились на теме документации по информационной безопасности весьма поверхностно.

В этой статье хотелось бы раскрыть эту тему подробнее как в контексте персональных данных в частности, так и защиты информации в целом. Какие документы должны быть у оператора, какие опциональны. Откуда берется требование того или иного документа. Что писать в документах, а чего не стоит. Под катом очень много букв на эту тему.
Читать дальше →
Всего голосов 15: ↑14 и ↓1+13
Комментарии2

Руководство по заполнению уведомления оператора персональных данных

Время на прочтение8 мин
Количество просмотров116K


В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.
Читать дальше →
Всего голосов 20: ↑19 и ↓1+18
Комментарии11

Проблемы действующей методики определения актуальных угроз от ФСТЭК

Время на прочтение10 мин
Количество просмотров23K


Доброго времени суток, Хабр! Сегодня мы бы хотели покритиковать документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный ФСТЭК России 14 февраля 2008г. (далее – Методика).

Эта Методика является единственным утвержденным документом по определению актуальных угроз безопасности, а в соответствии с действующим законодательством «Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России...».

Как видно из даты утверждения Методики, ей уже более 10 лет и с ней действительно много проблем. Какие именно — рассмотрим далее.

Читать дальше →
Всего голосов 15: ↑15 и ↓0+15
Комментарии6

Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность

Время на прочтение11 мин
Количество просмотров37K


Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию.

Мифов надо сказать относительно этого циркулирует немало и часто они противоречат друг другу. Например, есть мнение, что по принципу типовых сегментов можно аттестовать все ИСПДн страны (хотя для ИСПДн аттестация не обязательна), а с другой стороны — есть мнение, что аттестовывать информационные системы нужно только по старинке, а все эти ваши «типовые сегменты» от лукавого.
Читать дальше →
Всего голосов 9: ↑9 и ↓0+9
Комментарии19

Как подготовиться к проверке РКН по персональным данным: полное руководство

Время на прочтение16 мин
Количество просмотров51K


О нас


Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.

В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.
Читать дальше →
Всего голосов 12: ↑10 и ↓2+8
Комментарии17