Нам нужно честно поговорить про аттестованные ЦОД
Дисклеймер 1. Я не собираюсь заниматься луддизмом и призывать всех не переезжать в аттестованные облака. Облачные технологии это, несомненно, часть нашего будущего. 2. Конечно же, не все аттестованные облака являются «аттестованными» в кавычках. Но если вы потенциальный клиент, есть нюансы, на...
Почему все порталы с персональными данными вне закона с 2008 года и как получилось, что всем плевать, в том числе ФСБ
Доброго времени суток, Хабр! Сегодня мы поговорим о том, к чему приводят невыполнимые требования законодательства. Понятно, что глобально это приводит к невыполнению этих самых требований, но здесь мы рассмотрим конкретный пример. Речь пойдет о требовании ФСБ России шифровать любые персональные...
Теперь каждую ИСПДн нужно подключать к SOC?
Наверное, многие из вас видели в конце декабря 2020 года в СМИ заголовки вроде «Подписано около 100 новых законов» и возможно даже читали подборки изменений новых правил из различных сфер жизни, вступающих в силу с 1 января 2021 года. Одним из таких подписанных документов был Федеральный закон от...
Россертификация, Росконтроль – мошенничество в сфере оказания услуг по защите ПДн или нет?
Всем привет, в 2020 году прокатилась новая волна спама от так называемого Федерального центра по защите персональных данных СДС «Росконтроль». Там все по классике – пугают операторов персональных данных миллионными штрафами и обещают решить все проблемы всего за каких-то 40 тысяч рублей. Но история...
Как не нужно составлять согласие на обработку персональных данных
И какие согласия не стоит подписывать. Доброго времени суток, Хабр! Эта статья родилась совершенно спонтанно из такой вот истории. Поскольку я являюсь в том числе соучредителем организации, в которой работаю, мне время от времени приходится подписывать различные документы от банков с которыми мы...
Обзор изменений в 17-м приказе ФСТЭК
Привет, Хабр! 13 сентября Минюст утвердил документ, вносящий изменения в 17 приказ. Это тот самый, который про защиту информации в государственных информационных системах (далее – ГИС). На самом деле изменений много и некоторые из них существенные. Есть как минимум одно очень приятное для...
Astra Linux 1.6 (Смоленск). Готова ли система к работе с простыми пользователями? Примеры костылей
Нейтрализация пользователя и процесс установки новой ОС Привет, Хабр. Сегодня хотим поделиться опытом миграции одной организации (далее – Заказчик) на отечественную ОС в рамках выполнения требований по импортозамещению. Сразу нужно обозначить, что Заказчик выбрал и закупил эту ОС самостоятельно....
Провинциальная ИБ – стагнация или развитие?
Всем доброго времени суток. Сегодня нам хотелось бы обсудить информационную безопасность в регионах, и рассказать о прошедшем 19-20 июня восьмом ежегодном Форуме «Актуальные вопросы информационной безопасности», который мы традиционно с 2009 года проводим на базе Администрации Приморского края во...
Пишем модель угроз
Всем привет, мы продолжаем свой цикл статей по «бумажной безопасности». Сегодня поговорим о разработке модели угроз. Если цель прочтения этой статьи в получении практических навыков, то лучше сразу скачать наши шаблоны документов, в котором есть и шаблон модели угроз. Но и без шаблона под рукой со...
Гайд по внутренней документации по информационной безопасности. Что, как и зачем
В одной из наших предыдущих статей мы затронули вопрос формирования комплекта документов для проверяющих по вопросам защиты персональных данных. Мы дали ссылку на наши шаблоны документов, но остановились на теме документации по информационной безопасности весьма поверхностно. В этой статье хотелось...
Руководство по заполнению уведомления оператора персональных данных
В одной из наших предыдущих статей, которая была посвящена подготовке к проверкам Роскомнадзора по выполнению требований законодательства «О персональных данных» мы рассказывали о важности правильного заполнения уведомления, о случаях, когда уведомление нужно заполнять и там же мы пообещали...
Проблемы действующей методики определения актуальных угроз от ФСТЭК
Доброго времени суток, Хабр! Сегодня мы бы хотели покритиковать документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный ФСТЭК России 14 февраля 2008г. (далее – Методика). Эта Методика является...
Аттестация информационных систем по принципу типовых сегментов. Мифы и реальность
Доброго времени суток, Хабр! Сегодня мы хотели бы рассмотреть различные мифы, связанные с аттестацией объектов информатизации (ОИ) по требованиям безопасности информации по принципу типовых сегментов. А также разберемся, как все-таки правильно делать такую аттестацию. Мифов надо сказать...
Как подготовиться к проверке РКН по персональным данным: полное руководство
О нас Доброго времени суток, Хабр! Мы компания «Информационный центр». Наше основное направление – информационная безопасность (она же – ИБ). В ИБ мы занимаемся практически всем: аудитом, проектированием систем защиты, аттестацией, комплаенсом, пентестами, есть свой SOC, даже с гостайной работаем....