Ликбез по Compliance: разбираемся в требованиях регуляторов в области ИБ

    Привет, Хабр!

    И у карантина есть плюсы — у нас появилось время подготовить еще несколько учебных вебинаров по информационной безопасности (вебинары по основам ИБ смотрите тут). Хакеры и сетевые атаки — это, конечно, захватывающе, но почти любой безопасник сталкивается и с другой стороной ИБ — требованиями регуляторов. Поэтому этот цикл вебинаров мы сделали по теме Compliance ИБ. Полезно будет и студенту, и опытному безопаснику, который хочет освежить память и узнать о последних изменениях в нормативке.

    Мы уже провели два ликбеза и планируем еще как минимум два онлайн-мероприятия. Под катом — подробности предстоящих онлайн-встреч и записи прошедших вебинаров.



    О чем пойдет речь?


    Практические советы по категорированию объектов КИИ


    После выхода в июле 2017 года 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» регулярно актуализируются подзаконные акты, а в последнее время обсуждается ужесточение штрафных санкций за невыполнение требований по обеспечению безопасности КИИ. Все говорит о том, что нужно «держать руку на пульсе» для своевременного и корректного выполнения требований регуляторов.



    В первой части ликбеза мы поможем разобраться со структурой нормативных документов в части КИИ, поделимся практическим опытом по категорированию объектов и заполнению форм по Приказу ФСТЭК России №236. Во второй части мы расскажем про дальнейшие шаги после категорирования – создание систем безопасности. Онлайн-мероприятие будет интересно тем, кто только планирует приступить к категорированию объектов КИИ или уже занимается этим вопросом и столкнулся с рядом сложностей. Итак, что мы обсудим:

    • Требования к безопасности КИИ: на кого распространяются, какими нормативными документами регулируются
    • Как определить объекты КИИ: что такое значимые и незначимые ОКИИ
    • Как категорировать объекты КИИ: ключевые особенности, основные показатели категорирования
    • Как заполнять формы по Приказу ФСТЭК России №236, как избежать ошибок при отправке таких форм регулятору
    • Создание систем безопасности: составные части, распределение ролей, ОРД, средства защиты

    Участвовать>>

    Как учесть все требования ЦБ РФ и пройти аудит


    За последнее время Банк России разработал большое количество нормативных требований в области ИБ (672-П, 683-П и не только), «ядром» которых является стандарт ГОСТ Р 57580. Плюс со стороны регулятора сейчас планируется ряд изменений в Положении 382-П, которые также будут ссылаться на «ГОСТовый» стандарт. Ликбез будет посвящен как раз всем изменениям в области информационной безопасности, связанным с этими требованиями. Расскажем и о том, на какие информационные системы распространяются положения регулятора.

    Разберем типовые нарушения, которые выявляются при проведении аудитов, и подскажем, как их избежать. Структура встречи будет примерно такой:

    • В чем заключаются ключевые особенности нормативных документов Банка России: 382-П, ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018, 672-П, 683-П/684
    • Как определить, какие информационные системы входят в область действия перечисленных нормативных документов
    • Как проходит внешний аудит в части оценки соответствия требованиям Банка России в области ИБ
    • Как правильно оценивать показатели по 382-П и ГОСТ Р 57580
    • Какие типовые нарушения выявляются по результатам аудита



    UPD: запись вебинара>>

    Анализ уязвимостей по требованиям к ОУД4


    Недавно мы провели ликбез, где обсуждали новые требования Банка России к проверке программного обеспечения на уязвимости по оценочному уровню доверия (ОУД 4) в рамках ГОСТ Р ИСО/МЭК 15408-3-2013. Запись вебинара>>


    Разбирали также практические рекомендации о том, как оптимально подойти к выполнению проекта по анализу уязвимостей ПО, а именно:

    • В каких случаях организации нужно проводить оценку соответствия требованиям ОУД 4
    • Что представляет собой типовой проект по анализу уязвимостей ПО в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013
    • Как подойти к проекту, если нет необходимых исходных данных
    • Как оптимизировать затраты финансовой организации для достижения необходимого уровня оценки


    Готовимся к проверке Роскомнадзора




    Еще один ликбез касался актуальных нормативно-правовых актов в области ИБ, защиты персональных данных и всех этапов подготовки к проверке Роскомнадзора:

    • Общие нормативные требования в области ИБ
    • Ключевые требования 152-ФЗ «О персональных данных»
    • Подготовка до прихода регулятора
    • Подготовка к документарной проверке (какие документы необходимы, в каком виде их нужно предоставлять и каким образом)
    • Какие подразделения будут вовлечены в проверку
    • Как осуществляется выездная проверка
    • Что происходит по завершении проверки

    Подробно можно послушать в записи вебинара>>

    Если вам интересны другие темы в области Compliance, пишите в комментариях. Если интересующихся наберется, сделаем!
    Инфосистемы Джет
    Системный интегратор

    Комментарии 1

      0
      Запись вебинара «Как учесть все требования ЦБ РФ и пройти аудит» можно посмотреть тут.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое