SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных

Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
23.06.2019

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  | 


Руслан Рахметов, Security Vision


Наряду с рассмотренными в предыдущих публикациях нормативными документами, регламентирующими защиту информации в банковской сфере, неизменно актуальными на протяжении последних 10 лет являются законодательные и подзаконные акты по теме защиты персональных данных. Данный вопрос, поднимающийся в самых высоких кабинетах как в России, так и за рубежом, является животрепещущим по очевидной причине - он касается каждого из нас, вне зависимости от гражданства и должности.


Защита персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран - например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками. С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась "Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных", подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году. Уже на тот момент были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина - обладателя личных данных. В этом же документе дано и само определение персональных данных, которое затем "перекочует" в первую редакцию отечественного Федеральный закон №152 "О персональных данных" от 27.07.2006: "персональные данные" означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.


Совместная работа стран-участников Конвенции продолжается и по сей день. Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала "Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных", который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.


Итак, в 2006 году был принят 152-ФЗ "О персональных данных", который не только во многом соответствовал и повторял требования Конвенции, но и вносил дополнительные определения и требования, касающиеся обработки персональных данных (далее - ПДн). Со временем в Федеральный Закон вносились изменения, основные из которых были введены 261-ФЗ от 25.07.2011 и 242-ФЗ от 21.07.2014. Первый закон внес существенные изменения в базовые постулаты защиты ПДн, а второй запретил первичную обработку ПДн за пределами территории РФ.


Далее будут рассматриваться самые актуальные на настоящий момент версии документов. Следует отметить, что уполномоченным государственным органом по защите прав субъектов ПДн является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), подчиняющаяся Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации.


Здесь стоит сделать небольшое отступление от темы ПДн и рассказать об основополагающем документе, на который ссылается 152-ФЗ и который регламентирует порядок работы с различной информацией, в т.ч. и с ПДн - речь идет о Федеральном Законе №149 "Об информации, информационных технологиях и о защите информации" от 27.07.2006. Данный документ содержит в себе базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации, а также, помимо прочего, вводит понятие категории информации (общедоступная информация и информация ограниченного распространения) и типа информации (свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с Законодательством, информация ограниченного доступа/распространения и запрещенная к распространению). В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает нормы и правила обработки ПДн, обязательные к выполнению. К сожалению, не со всеми видами информации ограниченного распространения есть подобная определенность - например, по сей день отсутствует законодательный классификатор видов тайн, можно выделить лишь некоторые из них: государственная, коммерческая, налоговая, банковская, аудиторская, врачебная, нотариальная, адвокатская тайна, тайна связи, следствия, судопроизводства, инсайдерская информация и т.д.


Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также и классификатор видов информации, доступ к которой, напротив, не может быть ограничен - например, к нормативным правовым актам, информации о деятельности государственных органов, состоянии окружающей среды и т.д. К сожалению, не все организации, выполняющие работы по защите коммерческой тайны в соответствии с 98-ФЗ "О коммерческой тайне", учитывают данный аспект, зачастую неправомерно ограничивая доступ к такой информации.


Кроме этого, в 149-ФЗ (ст.13. п.1) содержится важное определение государственных информационных систем (далее - ГосИС) как федеральных информационных систем и региональных информационных систем, созданных на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.


Ст. 14 п.8 данного Федерального Закона гласит, что все технические средства и средства защиты информации, применяемые в ГосИС, должны соответствовать Федеральному Закону №184-ФЗ "О техническом регулировании" от 27.12.2002, где в статье 20 описаны три допустимые формы подтверждения соответствия: добровольная сертификация, декларирование соответствия, обязательная сертификация.


ГОСТы и документы ИБ Стандарты ИБ Защита персональных данных (ИСПДН) Отчеты ИБ Импортозамещение Подкасты ИБ

Рекомендуем

Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Интернет вещей и его применение
Интернет вещей и его применение
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Пентесты
Пентесты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Что за зверь Security Champion?
Что за зверь Security Champion?
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных

Рекомендуем

Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Интернет вещей и его применение
Интернет вещей и его применение
Повышение осведомленности по вопросам ИБ
Повышение осведомленности по вопросам ИБ
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Каналы утечки информации. Часть 2
Каналы утечки информации. Часть 2
Пентесты
Пентесты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Что за зверь Security Champion?
Что за зверь Security Champion?
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных

Похожие статьи

Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Управление мобильными устройствами
Управление мобильными устройствами
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Сертификация ФСТЭК
Сертификация ФСТЭК
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Метрики: их очарование и коварство
Метрики: их очарование и коварство

Похожие статьи

Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Политика информационной безопасности предприятия – пример и советы по разработке
Политика информационной безопасности предприятия – пример и советы по разработке
Управление мобильными устройствами
Управление мобильными устройствами
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только
Сертификация ФСТЭК
Сертификация ФСТЭК
Сетевая форензика с помощью ZUI
Сетевая форензика с помощью ZUI
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Метрики: их очарование и коварство
Метрики: их очарование и коварство