Как стать автором
Обновить
Сначала показывать

Нам нужно честно поговорить про аттестованные ЦОД

Блог компании Информационный центр Информационная безопасность *Законодательство в IT Облачные сервисы

Дисклеймер

1.   Я не собираюсь заниматься луддизмом и призывать всех не переезжать в аттестованные облака. Облачные технологии это, несомненно, часть нашего будущего.

2.   Конечно же, не все аттестованные облака являются «аттестованными» в кавычках. Но если вы потенциальный клиент, есть нюансы, на которые необходимо обратить внимание.

3.   Если при переезде в аттестованное облако вас интересует не фактическая защищенность передаваемых в облако данных, а формальное выполнение требований, то тут один короткий совет – проверьте, что предъявляемый провайдером аттестат классом защищенности (или уровнем защищенности) не ниже вашей системы. Далее, если с аттестацией что-то не так, то по идее должны разбираться регуляторы с провайдером. По идее... (но об этом ниже).

Если все же вас заботит не только наличие у провайдера заветной бумаги, но и реальная защищенность информации, тогда эта статья для вас.

Читать далее
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 5.8K
Комментарии 1

Почему все порталы с персональными данными вне закона с 2008 года и как получилось, что всем плевать, в том числе ФСБ

Блог компании Информационный центр Информационная безопасность *Законодательство в IT

Доброго времени суток, Хабр! Сегодня мы поговорим о том, к чему приводят невыполнимые требования законодательства. Понятно, что глобально это приводит к невыполнению этих самых требований, но здесь мы рассмотрим конкретный пример.

Речь пойдет о требовании ФСБ России шифровать любые персональные данные, передающиеся по сетям связи общего пользования (в народе – просто Интернет), только сертифицированными криптографическими средствами.

Читать далее
Всего голосов 71: ↑69 и ↓2 +67
Просмотры 29K
Комментарии 92

Теперь каждую ИСПДн нужно подключать к SOC?

Блог компании Информационный центр Информационная безопасность *Законодательство в IT

Наверное, многие из вас видели в конце декабря 2020 года в СМИ заголовки вроде «Подписано около 100 новых законов» и возможно даже читали подборки изменений новых правил из различных сфер жизни, вступающих в силу с 1 января 2021 года.

Одним из таких подписанных документов был Федеральный закон от 30.12.2020 №515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности». Казалось бы – как связаны оперативно-розыскная деятельность, любая ИСПДн (информационная система персональных данных) и SOC (Security Operation Center)?

Читать далее
Всего голосов 19: ↑18 и ↓1 +17
Просмотры 6.6K
Комментарии 9

Россертификация, Росконтроль – мошенничество в сфере оказания услуг по защите ПДн или нет?

Блог компании Информационный центр Информационная безопасность *Законодательство в IT

Всем привет, в 2020 году прокатилась новая волна спама от так называемого Федерального центра по защите персональных данных СДС «Росконтроль». Там все по классике – пугают операторов персональных данных миллионными штрафами и обещают решить все проблемы всего за каких-то 40 тысяч рублей. Но история эта началась гораздо раньше, и я бы хотел сначала провести небольшую ретроспективу.

Читать далее
Всего голосов 51: ↑51 и ↓0 +51
Просмотры 40K
Комментарии 16

Как не нужно составлять согласие на обработку персональных данных

Блог компании Информационный центр Информационная безопасность *Законодательство в IT
И какие согласия не стоит подписывать.



Доброго времени суток, Хабр!

Эта статья родилась совершенно спонтанно из такой вот истории.

Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы работаем, то берем кредит, то нужно обеспечить заявку на торгах и так далее. Обычная жизнь обычного ООО.

И вот, вчера мне приносят на подпись очередной документ — согласие на обработку персональных данных от одного локального банка. Я сначала на автомате его подписал, а потом все-таки решил прочитать. Яжпрограммист Я же все-таки специалист в том числе по защите персональных данных. Прочитанное повергло меня в нехилый шок.

Под катом разберемся, что с согласием не так и почему оно незаконно.
Читать дальше →
Всего голосов 123: ↑121 и ↓2 +119
Просмотры 66K
Комментарии 115

Обзор изменений в 17-м приказе ФСТЭК

Блог компании Информационный центр Информационная безопасность *Законодательство в IT


Привет, Хабр! 13 сентября Минюст утвердил документ, вносящий изменения в 17 приказ. Это тот самый, который про защиту информации в государственных информационных системах (далее – ГИС). На самом деле изменений много и некоторые из них существенные. Есть как минимум одно очень приятное для операторов ГИС. Подробности под катом.
Читать дальше →
Всего голосов 18: ↑16 и ↓2 +14
Просмотры 23K
Комментарии 21

Astra Linux 1.6 (Смоленск). Готова ли система к работе с простыми пользователями? Примеры костылей

Блог компании Информационный центр Информационная безопасность *Законодательство в IT

Нейтрализация пользователя и процесс установки новой ОС

Привет, Хабр. Сегодня хотим поделиться опытом миграции одной организации (далее – Заказчик) на отечественную ОС в рамках выполнения требований по импортозамещению. Сразу нужно обозначить, что Заказчик выбрал и закупил эту ОС самостоятельно. Нам же досталось удовольствие развертывания, оптимизации этой ОС и выполнение требований по защите информации.
Читать дальше →
Всего голосов 27: ↑24 и ↓3 +21
Просмотры 55K
Комментарии 60

Провинциальная ИБ – стагнация или развитие?

Блог компании Информационный центр Информационная безопасность *Законодательство в IT Конференции


Всем доброго времени суток. Сегодня нам хотелось бы обсудить информационную безопасность в регионах, и рассказать о прошедшем 19-20 июня восьмом ежегодном Форуме «Актуальные вопросы информационной безопасности», который мы традиционно с 2009 года проводим на базе Администрации Приморского края во Владивостоке.

Я не зря сказал, что здесь будет обсуждение насущных проблем ИБ, сухой пресс-релиз о мероприятии на Хабре публиковать не хочется, а кому он все-таки нужен, можно почитать здесь. Там же можно скачать и презентации докладчиков, среди которых были как представители регуляторов, так и вендоры и интеграторы.

Под катом много фото, нытья и лучик оптимизма.

Читать дальше →
Всего голосов 12: ↑9 и ↓3 +6
Просмотры 7.3K
Комментарии 4

Пишем модель угроз

Блог компании Информационный центр Информационная безопасность *Законодательство в IT
Tutorial


Всем привет, мы продолжаем свой цикл статей по «бумажной безопасности». Сегодня поговорим о разработке модели угроз. Если цель прочтения этой статьи в получении практических навыков, то лучше сразу скачать наши шаблоны документов, в котором есть и шаблон модели угроз. Но и без шаблона под рукой со статьей тоже можно ознакомиться в общеобразовательных целях.

Читать дальше →
Всего голосов 27: ↑26 и ↓1 +25
Просмотры 141K
Комментарии 8

Гайд по внутренней документации по информационной безопасности. Что, как и зачем

Блог компании Информационный центр Информационная безопасность *Законодательство в IT
Tutorial


В одной из наших предыдущих статей мы затронули вопрос формирования комплекта документов для проверяющих по вопросам защиты персональных данных. Мы дали ссылку на наши шаблоны документов, но остановились на теме документации по информационной безопасности весьма поверхностно.

В этой статье хотелось бы раскрыть эту тему подробнее как в контексте персональных данных в частности, так и защиты информации в целом. Какие документы должны быть у оператора, какие опциональны. Откуда берется требование того или иного документа. Что писать в документах, а чего не стоит. Под катом очень много букв на эту тему.
Читать дальше →
Всего голосов 15: ↑14 и ↓1 +13
Просмотры 86K
Комментарии 2

Руководство по заполнению уведомления оператора персональных данных

Блог компании Информационный центр Информационная безопасность *Законодательство в IT
Tutorial


В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали подробнее рассказать о том, как заполнять каждое поле уведомления.

Казалось бы, по наименованиям многих полей интуитивно должно быть понятно, что именно в них писать. Но практика показывает, что у многих операторов персональных данных возникает уйма вопросов, а некоторые впадают в самый настоящий ступор при попытке заполнить все поля.

Мы решили здесь написать подробную инструкцию, чтобы много раз не рассказывать одно и то же нашим клиентам, а также, чтобы она просто была всегда доступна для всех желающих.
Читать дальше →
Всего голосов 20: ↑19 и ↓1 +18
Просмотры 30K
Комментарии 11

Проблемы действующей методики определения актуальных угроз от ФСТЭК

Блог компании Информационный центр Информационная безопасность *Законодательство в IT


Доброго времени суток, Хабр! Сегодня мы бы хотели покритиковать документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный ФСТЭК России 14 февраля 2008г. (далее – Методика).

Эта Методика является единственным утвержденным документом по определению актуальных угроз безопасности, а в соответствии с действующим законодательством «Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России...».

Как видно из даты утверждения Методики, ей уже более 10 лет и с ней действительно много проблем. Какие именно — рассмотрим далее.

Читать дальше →
Всего голосов 15: ↑15 и ↓0 +15
Просмотры 19K
Комментарии 6

Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность

Блог компании Информационный центр Информационная безопасность *Законодательство в IT


Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию.

Мифов надо сказать относительно этого циркулирует немало и часто они противоречат друг другу. Например, есть мнение, что по принципу типовых сегментов можно аттестовать все ИСПДн страны (хотя для ИСПДн аттестация не обязательна), а с другой стороны — есть мнение, что аттестовывать информационные системы нужно только по старинке, а все эти ваши «типовые сегменты» от лукавого.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 28K
Комментарии 19

Как подготовиться к проверке РКН по персональным данным: полное руководство

Блог компании Информационный центр Информационная безопасность *Законодательство в IT


О нас


Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем. Поскольку мы базируемся во Владивостоке, изначально мы работали больше в Приморском крае и в дальневосточных регионах страны, но в последнее время география наших проектов все дальше раздвигает немыслимые нами в момент основания границы.

В первой своей статье мы хотели бы рассмотреть такую сторону ИБ, как комплаенс (англ. complience – соблюдение, соответствие). И поговорим мы о том, что нужно сделать, чтобы полностью соответствовать российскому законодательству о персональных данных.
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Просмотры 40K
Комментарии 17

Информация

Дата основания
Местоположение
Россия
Сайт
ic-dv.ru
Численность
51–100 человек
Дата регистрации
Представитель
Андрей Березов