SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на marketing@securituvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных

Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
23.06.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  Слушать на Podcast Addict  |   Слушать на Pocket cast  |  

Руслан Рахметов, Security Vision

Наряду с рассмотренными в предыдущих публикациях нормативными документами, регламентирующими защиту информации в банковской сфере, неизменно актуальными на протяжении последних 10 лет являются законодательные и подзаконные акты по теме защиты персональных данных. Данный вопрос, поднимающийся в самых высоких кабинетах как в России, так и за рубежом, является животрепещущим по очевидной причине - он касается каждого из нас, вне зависимости от гражданства и должности.

Защита персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран - например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками. С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась "Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных", подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году. Уже на тот момент были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина - обладателя личных данных. В этом же документе дано и само определение персональных данных, которое затем "перекочует" в первую редакцию отечественного Федеральный закон №152 "О персональных данных" от 27.07.2006: "персональные данные" означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.

Совместная работа стран-участников Конвенции продолжается и по сей день. Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала "Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных", который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.

Итак, в 2006 году был принят 152-ФЗ "О персональных данных", который не только во многом соответствовал и повторял требования Конвенции, но и вносил дополнительные определения и требования, касающиеся обработки персональных данных (далее - ПДн). Со временем в Федеральный Закон вносились изменения, основные из которых были введены 261-ФЗ от 25.07.2011 и 242-ФЗ от 21.07.2014. Первый закон внес существенные изменения в базовые постулаты защиты ПДн, а второй запретил первичную обработку ПДн за пределами территории РФ.

Далее будут рассматриваться самые актуальные на настоящий момент версии документов. Следует отметить, что уполномоченным государственным органом по защите прав субъектов ПДн является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), подчиняющаяся Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации.

Здесь стоит сделать небольшое отступление от темы ПДн и рассказать об основополагающем документе, на который ссылается 152-ФЗ и который регламентирует порядок работы с различной информацией, в т.ч. и с ПДн - речь идет о Федеральном Законе №149 "Об информации, информационных технологиях и о защите информации" от 27.07.2006. Данный документ содержит в себе базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации, а также, помимо прочего, вводит понятие категории информации (общедоступная информация и информация ограниченного распространения) и типа информации (свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с Законодательством, информация ограниченного доступа/распространения и запрещенная к распространению). В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает нормы и правила обработки ПДн, обязательные к выполнению. К сожалению, не со всеми видами информации ограниченного распространения есть подобная определенность - например, по сей день отсутствует законодательный классификатор видов тайн, можно выделить лишь некоторые из них: государственная, коммерческая, налоговая, банковская, аудиторская, врачебная, нотариальная, адвокатская тайна, тайна связи, следствия, судопроизводства, инсайдерская информация и т.д.

Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также и классификатор видов информации, доступ к которой, напротив, не может быть ограничен - например, к нормативным правовым актам, информации о деятельности государственных органов, состоянии окружающей среды и т.д. К сожалению, не все организации, выполняющие работы по защите коммерческой тайны в соответствии с 98-ФЗ "О коммерческой тайне", учитывают данный аспект, зачастую неправомерно ограничивая доступ к такой информации.

Кроме этого, в 149-ФЗ (ст.13. п.1) содержится важное определение государственных информационных систем (далее - ГосИС) как федеральных информационных систем и региональных информационных систем, созданных на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

Ст. 14 п.8 данного Федерального Закона гласит, что все технические средства и средства защиты информации, применяемые в ГосИС, должны соответствовать Федеральному Закону №184-ФЗ "О техническом регулировании" от 27.12.2002, где в статье 20 описаны три допустимые формы подтверждения соответствия: добровольная сертификация, декларирование соответствия, обязательная сертификация.


ГОСТы и документы ИБ Стандарты ИБ Защита персональных данных (ИСПДН) Отчеты ИБ Импортозамещение Подкасты ИБ

Рекомендуем

Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Практическая защита персональных данных
Практическая защита персональных данных
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
SOAR-системы
SOAR-системы
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности

Рекомендуем

Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Обзор стандартов Банка России. Безопасность финансовых (банковских) операций
Практическая защита персональных данных
Практическая защита персональных данных
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Нормативные документы по ИБ. Часть 16. Обзор российского законодательства в области ИБ финансовых организаций - окончание
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 1
SOAR-системы
SOAR-системы
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №8 «Используйте инструменты автоматизации для обеспечения работы аналитиков SOC»
Ситуационная осведомленность в кибербезопасности
Ситуационная осведомленность в кибербезопасности
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
Искусственный интеллект в информационной безопасности
Искусственный интеллект в информационной безопасности

Похожие статьи

Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1

Похожие статьи

Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Практическая защита персональных данных. Проводим оценку эффективности принимаемых мер по обеспечению безопасности ПДн
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Нормативные документы по ИБ. Часть 9. Обзор российского законодательства в области защиты критической информационной инфраструктуры - продолжение
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №4 «Нанимайте и удерживайте квалифицированных сотрудников»
Применение стандарта ISO 31000
Применение стандарта ISO 31000
Зачем нужен мониторинг пользователей и как он работает
Зачем нужен мониторинг пользователей и как он работает
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №11 «Повышайте эффективность путем расширения функционала SOC»
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор публикации NIST SP 1800-22 (Draft) "Mobile Device Security: Bring Your Own Device (BYOD)"
Обзор средств информационной безопасности: защита конечных точек
Обзор средств информационной безопасности: защита конечных точек
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1
Публикация MITRE «11 стратегий SOC-центра мирового уровня». Стратегия №3 «Выстраивайте структуру SOC в соответствии с потребностями компании». Часть 1