ФСТЭК

Я уже писал, что затеял курс «Построение модели угроз». Учитывая обязательное требование наличия модели в документах по персданным, вопрос ее построения не праздный. А оценив сколько стоит разработка такой модели — вопрос не праздный вдвойне. На выходных читал этот курс и теперь могу описать программу более детально, чем это было сделано в июле. Основная цель […

Я уже писал про Концепцию развития безопасных информационных технологий: обеспечение защиты информации в проектах информатизации России, датированную 92-м годом. И вот, разгребая библиотеку, наткнулся на очередное описание того, как все должно было быть. Статья Игоря Алексеевича Калайды датирована 2005-м годом. На тот момент он был зам.

Компания Яндекс любезно поделилась тремя документами, описывающими различные аспекты ФЗ-152: О трудностях исполнения ФЗ-152 Справка по европейскому опыту технической защиты ПДн Справка по ФЗ о лицензировании применительно к ПДн. О трудностях исполнения 152-ФЗ Справка по европейскому опыту технической защиты ПД Справка по ФЗ О лицензировании применительно к ПД ЗЫ.

Произошедшая 17-го августа трагедия на Саяно-Шушенской ГЭС и требование премьер-министра Путина проверить все критически важные объекты (КВО) страны случайно совпали с выходом 19-го августа проекта нового федерального закона США S.773 («Cybersecurity Act of 2009»). Преамбула этого документа, планируемого к принятию в сентябре этого года, показывает

26 августа прошло (и еще на сайте Минсвязи) заседание Научно-технического совета при Минсвязи, посвященное проблематике ПДн (и еще один комментарий). Итог неутешительны ;-( Все признают, что ФЗ-152 не соответствует Евроконвенции, что его выполнить невозможно, что регуляторы создали очередной коруппциогенный нормативный акт. Но делать ничего не хотят ;

Новые мифы: Сертификат ФСТЭК гарантирует защищенность В России запрещено использовать несертифицированные средства шифрования В нашем шифраторе мы используем ГОСТ 28147-89 и поэтому чисты перед законом

Наверное многие из вас читали про, как минимум, два факта, когда Роскомнадзор запрещал эксплуатацию генераторов шума (требуются для ИСПДн 1-го и 2-го класса по требованиям ФСТЭК). Позиция Роскомнадзора, который давно уже нелестно отзывался о требованиях ФСТЭК, понятна: генератор шума — это радиочастотное устройство.

Все помнят Радужную серию, отдельные книги которых описывали, как оценивать защищенность отдельных компьютеров и даже сетей. На их основе родились наши руководящие документы ФСТЭК. Потом появились «Общие критерии». Пожалуй, это все формализованные методы оценки распределенных информационных систем, которые мы знаем.

Я уже как-то писал, что я читаю курс по персданным в Институте банковского дела АРБ. Ближайший курс — 21-го июля. Учитывая появление новых сведений по данной тематике, я обновил программу курса и добавил в нее следующие темы: расширен список примеров претензий со стороны регуляторов для разных отраслей (банки, операторы связи, ЖКХ, страховые компании и т.д.) […

18 мая Правительство приняло Постановление №424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям». Суть простая — операторы федеральных государственных информационных систем, созданных или используемых в целях реализации полномочий федеральных органов исполнительной