Вчера я проводил онлайн-семинар по обзору требований по защите информации в Национальной платежной системе. Ну и как часто бывает, презентация делалась в ночь перед семинаром. Так что получилось может быть коротковато и поверхностно, но зато позволяет быстро вникнуть в проблематику, основные определения и требования. Глубокого анализа ФЗ-161 не ждите, но вопросы защиты информации раскрыты 😉
Зашел у меня тут разговор с коллегами, которые работают
Тут в одном закрытом клубе по ИБ зашла речь о регуляторах
Думаю, многие из вас если не знакомы с законом Гудхарта
Практическая безопасность, описанная в прошлой заметке, —
На портале правовой информации приказ ФСБ от 11.
На Магнитке традиционно проводилась закрытая сессия
На прошлой неделе в Екатеринбурге прошел «
Алексей, мне кажется на 2 слайде было бы не плохо добавить ТК-26 "Криптографическая защита информации" https://www.tc26.ru/
По презентации ещё, слайд 59:
1. опечатка: заменить ФЗ-66 на 63-ФЗ
2. По 63-ФЗ могут быть использованы не квалифицированные средства подписи а в этом случае их сертификация на соответствие требований не производится, другими словами формально в рамках 63-ФЗ можно использовать средства подписи и иностранного производства.
И буквально в догонку, все наверное и так это знают, но полезно напомнить.
Контроль встраивания криптосредств в информационную систему в ФСБ обязателен:
1. Если криптосредства класса КС3, КВ1, КВ2 и КА1 применяются в информационной системе для защиты персональных данных
2. Если криптосредства в информационной системе используются для защиты информации конфиденциального характера, подлежащей защите в соответствии с законодательством Российской Федерации;
3. Если криптосредства используются для организации криптографической защиты информации конфиденциального характера в федеральных органах исполнительной власти, органах исполнительной власти субъектов Российской Федерации;
4. Если криптосредства используются для организации криптографической защиты информации конфиденциального характера в организациях независимо от их организационно-правовой формы и формы собственности при выполнении ими заказов на поставку товаров, выполнение работ или оказание услуг для государственных нужд;
5. Заказчик прямо указал необходимость контроля встраивания в техническом задании на разработку (модернизацию) информационной системы.
[b]msm:[/b] 1. Мы не входим в ТК26. Поэтому его в списке и нет 😉
2. Опечатку поправлю.
3. По ЭП и 63-ФЗ понимаю, но я ссылаюсь на нормативку по НПС. Там говорится, что по 63-ФЗ СКЗИ должны быть сертифицированными. Но это я буду уточнять. ЭП все-таки не та тема, где я хорошо себя чувствую.
4. По контролю встраивания тоже не так просто. Надо понимать ЧТО и КУДА. Встраивание того же КриптоПро всегда под ТЗ 8-ки (из формуляра на КриптоПро). А если речь идет о встраивании в VPN, то контроль нужен и для КС.
Алексей, а как быть с п.2.6.2, который гласит что должны применяться не криптографические средства от НСД прошедшие оценку соответствия?
Там написано "в том числе". Т.е. можно и не только их применять. Я всегда рекомендую по возможности применять сертифицированные решения, но их не всегда есть на рынке. Поэтому разрешено и несертифицированные