• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

Опубликована новая версия международного стандарта ISO 27001:2022

image_pdfimage_print

Опубликована новая версия международного стандарта ISO 27001:2022

image_pdfimage_print

В октябре 2022 года Международной организацией по стандартизации (ISO) была опубликована обновленная редакция международного стандарта ISO/IEC 27001:2013 ‒ ISO/IEC 27001:2022 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».

Переходный период для сертифицированных организаций продлится до 31 октября 2025 года, а первоначальные сертификации систем менеджмента информационной безопасности на соответствие требованиям уже новой версии документа начнут проводиться не позднее 31 октября 2023 года.

По сравнению с предыдущей версией, число контролей уменьшается со 114 элементов в 14 пунктах до 93 элементов в 4 пунктах. Среди регулирующих мер 11 являются новыми (24 элемента которых вытекают из существующих), а 58 ‒ откорректированными.

Новые категории контролей включают в себя:

  • Кадровые (8 элементов управления) — если они применяются к отдельным лицам, например, удаленная работа, контроль, конфиденциальность или соглашения о конфиденциальности.
  • Организационные (37 элементов управления) — если они касаются организации, например, информационная политика, возврат активов, информационная безопасность при использовании облачных сервисов.
  • Технологические (34 элемента управления) — если они относятся к таким технологиям, как безопасная аутентификация, удаление информации, предотвращение утечки данных или сторонняя разработка.
  • Физические (14 элементов управления) — если они относятся к физическим объектам, таким как носители информации, техническое обслуживание оборудования, мониторинг физической безопасности или обеспечение безопасности офисов, помещений и помещений.

Структура контролей была пересмотрена, вводятся понятия «атрибут» и «цель» для каждого контроля и более не используется термин «цель» для группы контролей. Помимо прочего, среди основных изменений:

  • в Приложении А содержатся ссылки на контроли, предусмотренные в стандарте ISO/IEC 27002:2022, содержащем информацию о них;
  • примечания к пункту 6.1.3 (с) пересмотрены, включая исключение целей контроля и использование формулировки «контроля за информационной безопасностью» вместо «контроля»;
  • формулировка пункта 6.1.3 (d) изменена в целях устранения возможной двусмысленности.

Согласно международным требованиям все СМИБ, должны будут перейти на новую редакцию документа в течение трех лет. Специалисты ГлобалТраст помогут своим клиентам осуществить данный переход, либо разработать и внедрить СМИБ с нуля, а также подготовиться к сертификации в аккредитованных международных органах.

Для получения более подробной информации обращайтесь к нам:

Обновление интернет-магазина GTRUST.RU

image_pdfimage_print

С начала 2023 года кардинально обновился ассортимент продукции нашего интернет-магазина GTRUST.RU, в связи с уходом иностранных вендоров из России и реализацией программ по импортозамещению средств защиты информации.

Мы полностью перешли на продукцию отечественных ИБ-вендоров.

Ассортимент, представленных в магазине средств защиты информации постоянно расширяется по мере заключения партнерских договоров с новыми поставщиками. Уже сейчас у нас представлено ядро отечественных разработчиков СЗИ.

Являясь лицензиатами ФСТЭК и ФСБ России, мы не только обеспечиваем поставку продукции, лицензий и подписок, но также, при необходимости, осуществляем проектирование и внедрение ИБ-решений, построенных на наших продуктах.

ВендорыРешения
Aladdin R.D.
Dallas Lock
Dr.Web
GlobalTrust
InfoWatch
Kaspersky Lab
Positive Technologies
Protectiva
RUSIEM
UserGate
Гарда Технологии
ИнфоТеКС
Киберпротект
Код Безопасности
КриптоПро
Рутокен
Эшелон
и другие
Политики ИБ
Менеджмент ИБ
Защита АСУ ТП
Межсетевые экраны
IDS/IPS системы
DLP системы
Сканеры уязвимостей
SIEM системы
XDR системы
СЗИ НСД
Аутентификация
Антивирусы
СКЗИ
MDM системы
и прочее

Поскольку многие производители СЗИ предпочитают не публиковать свои прайс-листы, по многим продуктам в магазине отсутствует возможность моментального заказа и выставления счета на сайте. Уточняйте у наших менеджеров актуальные цены и спецификации продуктов.

Перейти в магазин >>>

С 1 сентября 2022 года произошли важные изменения в законодательстве о персональных данных (152-ФЗ)

image_pdfimage_print

1 сентября 2022 года вступили в силу июльские поправки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ “О персональных данных”, направленные на повышение защищенности персональных данных граждан от несанкционированного доступа неограниченного круга лиц, а также на усиление государственного контроля в указанной сфере (Федеральный закон от 14 июля 2022 г. № 266-ФЗ).

Что изменилось для операторов ПДн?

Основные изменения касаются обязательного уведомления Роскомнадзора о начале обработки ПДн, экстерриториальности 152-ФЗ и трансграничной передачи ПДн.

Уведомление в Роскомнадзор об обработке ПДн теперь надо будет подавть почти во всех случаях обработки ПДн. Поправками закреплена обязательность форм уведомлений о начале и прекращении обработки ПДн, а также об изменении ранее представленных сведений, которые устанавливаются Роскомнадзором.

Поправки вводят экстерриториальность 152-ФЗ и устанавливают возможность вмешательства уполномоченных органов в вопросы обработки иностранными лицами ПДн российских граждан.

Помимо этого, поправками:

  • установлена обязанность операторов ПДн обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн;
  • введены дополнительные обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн;
  • скорректированы требования к согласию на обработку ПД (ранее от такого согласия требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным);
  • уточнены требования к содержанию документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн.

Документ, определяющий политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн необходимо опубликовать “в том числе на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПДн”.

Уточнены положения, касающиеся обработки биометрических персональных данных и предусмотрен целый ряд иных изменений.

Что нужно сделать Операторам, чтобы соответствовать измененному 152-ФЗ?

Неполный перечень мероприятий, который в сжатые сроки необходимо реализовать операторам ПДн, чтобы не попасть в число нарушителей законодательства РФ в области ПДн, включает в себя следующее:

  • Подача уведомление о намерении осуществлять обработку ПДн по установленной Роскомнадзором форме.
  • Разработка или актуализация поручения на обработку ПДн.
  • Ревизия договоров, стороной которых является субъект ПДн.
  • Принятие решения о способе информирования ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.
  • Определение порядка взаимодействия с ГосСОПКА. При необходимости, реализация технического подключения к инфраструктуре ГосСОПКА напрямую или через коммерческие центры мониторинга ИБ.
  • Актуализация организационно-распорядительную документацию в части обработки ПДн, реагирования на обращения субъектов ПДн и реагирования на компьютерные инциденты, повлекших неправомерную передачу ПДн.
  • Актуализация должностных обязанностей лиц, ответственных за обработку и защиту ПДн.
  • Направление в Роскомнадзор по установленной форме уведомления о намерении осуществлять трансграничную передачу ПДн (при осуществлении трансграничной передачи ПДн).
  • Актуализация организационно-распорядительную документации в части трансграничной передачи ПДн.
  • Получение от иностранных лиц сведения о принимаемых мерах по защите передаваемых ПДн и об условиях прекращения их обработки.
  • Проведение оценки вреда субъектам ПДн.

Куда обратиться за помощью?

Компания ГлобалТраст оказывает полный комплекс услуг по приведению организаций, включая их бизнес-процессы и информационные системы, в соответствие с требованиями законодательства и нормативной базы РФ в области персональных данных.

Для получения более подробной информации обращайтесь к нам:

Вступление в силу Положения Банка России № 719-П О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств

image_pdfimage_print

C 01 января 2022 года вступило в силу Положение Банка России № 719-П “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”.

Данное положение отменяет действовавшее ранее Положения Банка России № 382-П. Теперь ключевым моментом для всех участников платежной инфраструктуры является обеспечение соответствия требованиям по защите информации, устанавливаемым национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер”.

Согласно Положению Банка России № 719-П операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны осуществлять:

  • реализацию установленных настоящим Положением уровней защиты информации, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»
  • проведение оценки соответствия уровням защиты информации, установленным настоящим Положением, в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» 1 раз в два года.

Компания ГлобалТраст предоставляет полный комплекс консалтинговых услуг по обеспечению соответствия финансовой организации требованиям указанных стандартов и положений.

Подробнее: Защита информации в финансовых организациях

Новый комплект типовых документов по защите информации для финансовых организаций

image_pdfimage_print

Разработанный компанией ГлобалТраст Комплект типовых документов для финансовых организаций GTS 57580, включает в себя 10 типовых политик защиты информации, адаптированных для обеспечения соответствия требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовой организации. Базовый состав организационных и технических мер» с учетом рекомендаций Банка России в области стандартизации процессов обеспечения ИБ (PC БР ИББС).

Комплект типовых политик защиты информации финансовой организации GTS 57580 потребуется всем видам кредитных и некредитных финансовых организаций, для которых соответствующими положениями Банка России №683-П, 757-П (ранее 684-П) и национальным стандартом РФ ГОСТ Р 57580.1-2017 устанавливаются требования по защите информации. К таким организациям, помимо банков, относятся репозитарии, пенсионные фонды, брокеры, дилеры, управляющие, депозитарии, регистраторы, операторы финансовых платформ и систем, клиринговые организации, организаторы торговли, страховые организации и т.д.

В состав комплекта GTS 57580 включено 10 типовых политик защиты информации финансовой организации. Названия и содержание политик соответствует названию и содержанию процессов защиты информации, определяемых  в стандарте ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовой организации. Базовый состав организационных и технических мер»:

  1. GTS 57580.1 Политика защиты информации
  2. GTS 57580.2 Политика обеспечения защиты информации при управлении доступом
  3. GTS 57580.3 Политика обеспечения защиты вычислительных сетей
  4. GTS 57580.4 Политика контроля целостности и защищенности информационной инфраструктуры
  5. GTS 57580.5 Политика защиты от вредоносного кода
  6. GTS 57580.6 Политика предотвращения утечек информации
  7. GTS 57580.7 Политика управления инцидентами защиты информации
  8. GTS 57580.8 Политика защиты среды виртуализации
  9. GTS 57580.9 Политика защиты информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств
  10. GTS 57580.10 Политика обеспечения защиты информации на стадиях жизненного цикла автоматизированных систем и приложений

Подробнее ….