• Анализ нормативных документов по защите информации в российской кредитно-финансовой сфере

      В предыдущих публикациях мы рассмотрели основы информационной безопасности, обсудили законодательство в области защиты персональных данных и критической информационной инфраструктуры, а также затронули тему защиты информации в финансовых учреждениях с применением стандарта ГОСТ Р 57580.

      Настала очередь более детально рассмотреть нормы действующего российского законодательства в финансовой сфере. Ключевым регулятором в данной отрасли является Центральный Банк Российской Федерации, который регулярно выпускает актуализированные документы по защите информации в финансовых учреждениях, отвечающие современным кибер-вызовам. Кроме этого, ЦБ РФ ведет активную работу с гражданами и организациями: проводятся конференции с участием представителей Центробанка, публикуются отчеты и предупреждения ФинЦЕРТ, даются разъяснения по выполнению нормативных требований. Анализу актуальных документов по защите информации в кредитно-финансовой сфере и будет посвящена данная публикация. Итак, приступим.

      image
      Читать дальше →
    • ГОСТ Р 57580. От тенденций к действенной автоматизации

        После введения в действие ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» и ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» участники рынка ИБ оперативно сформировали пакет сопутствующих услуг по аудиту и приведению в соответствие мер. В многочисленных публикациях экспертов по ИБ можно ознакомиться с подробным анализом данных стандартов, узнать о неоднозначных требованиях и их трактовке, в том числе ЦБ РФ. Данная активность получила дополнительное развитие вместе с выпуском главным регулятором российской кредитно-финансовой сферы нормативных правовых актов, где выполнение определенных мер ГОСТа является уже требованием. Рассмотрим эти документы подробнее…

        image
        Читать дальше →
        • +13
        • 2,7k
        • 4
      • Обзор российского законодательства по защите критической информационной инфраструктуры

          Друзья, в предыдущей публикации мы рассмотрели вопросы защиты персональных данных с точки зрения российского и международного законодательства. Однако существует и еще одна актуальная тема, касающаяся большого количества российских компаний и организаций — мы говорим о защите критической информационной инфраструктуры. Защищенность и устойчивость ИТ-систем как отдельных крупных компаний, так и целых отраслей промышленности в современных условиях играют решающую роль. Во всем мире фиксируются попытки осуществления целенаправленных и изощренных кибератак на объекты инфраструктуры, и не обращать внимания на такие факты было бы весьма недальновидно. Создание ГосСОПКА (государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации), а также подписание Федерального Закона от 26 июля 2017 г. № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и разработка соответствующих подзаконных актов послужили логичным ответом на вызовы текущих реалий.

          Рассмотрим этот аспект информационной безопасности подробнее. Вперёд!

          image
          Читать дальше →
        • Российское и международное законодательство в области защиты персональных данных

            В предыдущей публикации мы рассмотрели основные понятия и парадигму информационной безопасности, а сейчас перейдем к анализу российского и международного законодательства, регулирующего различные аспекты защиты данных, поскольку без знания законодательных норм, регулирующих соответствующие области деятельности компании, корректно выстроить систему управления риск- и бизнес-ориентированной информационной безопасностью невозможно. Штрафные санкции, а также репутационный ущерб от несоответствия законодательным нормам могут внести существенную коррективу в планы функционирования и развития организации: мы знаем, что, например, невыполнение норм защиты информации в национальной платежной системе может обернуться отзывом лицензии у финансовой организации, а несоответствие требованиям по месту первичного сбора и обработки персональных данных может привести к блокировке доступа к веб-сайту компании. Невыполнение же норм безопасности критической информационной инфраструктуры вообще может обернуться лишением свободы на срок до 10 лет. Разумеется, применимых законов и норм – огромное количество, поэтому в этой и двух последующих статьях сосредоточимся на защите персональных данных, защите объектов критической информационной инфраструктуры и информационной безопасности финансовых организаций.

            Итак, в сегодняшней серии – персональные данные, поехали!

            image
            Читать дальше →
          • Основы риск- и бизнес-ориентированной информационной безопасности: основные понятия и парадигма

              В данной публикации читателям предлагается ознакомиться с основными терминами и определениями в области информационной безопасности, а также будут рассмотрены концепция и парадигма информационной безопасности. Информация в данной и последующих публикациях основывается на общепринятых российских и мировых подходах к информационной безопасности.
              Читать дальше →