Новая онлайн книга «Информационная безопасность как мастерство управления рисками»

Запущен новый проект InfoSecRisk.ru, представляющий из себя онлайн книгу-блог генерального директора GlobalTrust Александра Астахова «Информационная безопасность как мастерство управления рисками».

Сайт InfoSecRisk.ru представляет собой онлайн версию и продолжение книги «Искусство управления информационными рисками», выпущенной издательством ДМК пресс в твердом переплете в 2010 году.

«Это первое издание моей книги по информационным рискам положено в основу настоящего проекта, который является соединением онлайн книги и блога, т.е. здесь я веду свой блог о рисках в формате книги, а также публикую свою книгу в формате блога, периодически внося в нее изменения и дополнения. Название книги, кстати, тоже уже изменилось.

Не будьте пассивными читателями. Если вас книга чем-то заинтересовала, пригодилась, удивила, возмутила, понравилась или не понравилась, то напишите об этом в комментариях. Автор, а также другие читатели и соавторы не оставят ваш комментарий без внимания».

Александр Астахов, автор, генеральный директор GlobalTrust

В марте 2023 года российскому бренду ГлобалТраст исполнилось 20 лет

Компания GlobalTrust Solutions была основана в 2003 году с целью оказания профессиональных консалтинговых услуг и разработки информационных продуктов для управления информационной безопасностью. За прошедшие 20 лет с момента основания компании были реализованы сотни проектов по обеспечению ИБ в различных отраслях промышленности.

Опыт работы ГлобалТраст охватывает топливно-энергетический сектор, финансовые организации, промышленные предприятия, телекоммуникационные компании, системных интеграторов¸ торгово-розничные предприятия, разработчиков ПО,  государственные учреждения, объекты КИИ различного масштаба и назначения.

В 2004 г. ГлобалТраст стала одним из первых партнеров и дистрибуторов BSI в России. Начиная с 2005 г. ГлобалТраст готовит первые российские компании к сертификации по требованиям международных стандартов информационной безопасности. В ходе проведения этих работ накоплен уникальный опыт в области аудита, оценки рисков, документирования систем управления информационной безопасностью и внедрения механизмов контроля.

В 2006 г. был открыт информационный портал ISO27000.ru и  интернет-магазин GTrust.ru. Выпускаются русские переводы стандартов ISO 27001, 27002, 27005, BS 7799-3, BS 10012, BS 25999-2, PAS 77, PAS 99, проводятся сертифицированные учебные курсы по системам управления информационной безопасностью.

В 2007 г. ГлобалТраст становится одним из первых и основных партнеров в России компаний IT Gorvernance и SpectorSoft (Veriato). С 2008 года компания занимает уверенные позиции на рынке защиты персональных данных россиян.

С 2016 года компания под брендом Протектива разрабатывает собственные средства автоматизации процессов менеджмента ИБ, уделяя особое внимание оценке рисков и обеспечению соответствия требованиям.

ГлобалТраст всегда существовала и развивалась только за счет собственных средств. Мы обязаны своим существованием исключительно доверию и поддержке наших клиентов. За все время существования компании в нее было вложено всего $100, потраченные на регистрацию первого юридического лица, с которого началась история компании.

Наша приверженность основным принципам экономически оправданной безопасности остается неизменной. Информационные технологии и информационная безопасность должны работать на бизнес, а не сами на себя. Принятие решения о применении любых мер информационной безопасности должно базироваться на оценки бизнес рисков и требованиях действующего законодательства. Механизмы безопасности должны быть экономически обоснованы и согласованы с положениями международных стандартов.

Опубликована новая версия международного стандарта ISO 27001:2022

В октябре 2022 года Международной организацией по стандартизации (ISO) была опубликована обновленная редакция международного стандарта ISO/IEC 27001:2013 ‒ ISO/IEC 27001:2022 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности».

Переходный период для сертифицированных организаций продлится до 31 октября 2025 года, а первоначальные сертификации систем менеджмента информационной безопасности на соответствие требованиям уже новой версии документа начнут проводиться не позднее 31 октября 2023 года.

По сравнению с предыдущей версией, число контролей уменьшается со 114 элементов в 14 пунктах до 93 элементов в 4 пунктах. Среди регулирующих мер 11 являются новыми (24 элемента которых вытекают из существующих), а 58 ‒ откорректированными.

Новые категории контролей включают в себя:

• Кадровые (8 элементов управления) — если они применяются к отдельным лицам, например, удаленная работа, контроль, конфиденциальность или соглашения о конфиденциальности.
• Организационные (37 элементов управления) — если они касаются организации, например, информационная политика, возврат активов, информационная безопасность при использовании облачных сервисов.
• Технологические (34 элемента управления) — если они относятся к таким технологиям, как безопасная аутентификация, удаление информации, предотвращение утечки данных или сторонняя разработка.
• Физические (14 элементов управления) — если они относятся к физическим объектам, таким как носители информации, техническое обслуживание оборудования, мониторинг физической безопасности или обеспечение безопасности офисов, помещений и помещений.

Структура контролей была пересмотрена, вводятся понятия «атрибут» и «цель» для каждого контроля и более не используется термин «цель» для группы контролей. Помимо прочего, среди основных изменений:

• в Приложении А содержатся ссылки на контроли, предусмотренные в стандарте ISO/IEC 27002:2022, содержащем информацию о них;
• примечания к пункту 6.1.3 (с) пересмотрены, включая исключение целей контроля и использование формулировки «контроля за информационной безопасностью» вместо «контроля»;
• формулировка пункта 6.1.3 (d) изменена в целях устранения возможной двусмысленности.

Согласно международным требованиям все СМИБ, должны будут перейти на новую редакцию документа в течение трех лет. Специалисты ГлобалТраст помогут своим клиентам осуществить данный переход, либо разработать и внедрить СМИБ с нуля, а также подготовиться к сертификации в аккредитованных международных органах.

Для получения более подробной информации обращайтесь к нам:

• по телефону: +7 (925) 203-95-11
• по e-mail: info@globaltrust.ru
• через web-форму

Обновление интернет-магазина GTRUST.RU

С начала 2023 года кардинально обновился ассортимент продукции нашего интернет-магазина GTRUST.RU, в связи с уходом иностранных вендоров из России и реализацией программ по импортозамещению средств защиты информации.

Мы полностью перешли на продукцию отечественных ИБ-вендоров.

Ассортимент, представленных в магазине средств защиты информации постоянно расширяется по мере заключения партнерских договоров с новыми поставщиками. Уже сейчас у нас представлено ядро отечественных разработчиков СЗИ.

Являясь лицензиатами ФСТЭК и ФСБ России, мы не только обеспечиваем поставку продукции, лицензий и подписок, но также, при необходимости, осуществляем проектирование и внедрение ИБ-решений, построенных на наших продуктах.

Поскольку многие производители СЗИ предпочитают не публиковать свои прайс-листы, по многим продуктам в магазине отсутствует возможность моментального заказа и выставления счета на сайте. Уточняйте у наших менеджеров актуальные цены и спецификации продуктов.

Перейти в магазин >>>

С 1 сентября 2022 года произошли важные изменения в законодательстве о персональных данных (152-ФЗ)

1 сентября 2022 года вступили в силу июльские поправки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», направленные на повышение защищенности персональных данных граждан от несанкционированного доступа неограниченного круга лиц, а также на усиление государственного контроля в указанной сфере (Федеральный закон от 14 июля 2022 г. № 266-ФЗ).

Что изменилось для операторов ПДн?

Основные изменения касаются обязательного уведомления Роскомнадзора о начале обработки ПДн, экстерриториальности 152-ФЗ и трансграничной передачи ПДн.

Уведомление в Роскомнадзор об обработке ПДн теперь надо будет подавть почти во всех случаях обработки ПДн. Поправками закреплена обязательность форм уведомлений о начале и прекращении обработки ПДн, а также об изменении ранее представленных сведений, которые устанавливаются Роскомнадзором.

Поправки вводят экстерриториальность 152-ФЗ и устанавливают возможность вмешательства уполномоченных органов в вопросы обработки иностранными лицами ПДн российских граждан.

Помимо этого, поправками:

• установлена обязанность операторов ПДн обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн;
• введены дополнительные обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн;
• скорректированы требования к согласию на обработку ПД (ранее от такого согласия требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным);
• уточнены требования к содержанию документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн.

Документ, определяющий политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн необходимо опубликовать «в том числе на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПДн».

Уточнены положения, касающиеся обработки биометрических персональных данных и предусмотрен целый ряд иных изменений.

Что нужно сделать Операторам, чтобы соответствовать измененному 152-ФЗ?

Неполный перечень мероприятий, который в сжатые сроки необходимо реализовать операторам ПДн, чтобы не попасть в число нарушителей законодательства РФ в области ПДн, включает в себя следующее:

• Подача уведомление о намерении осуществлять обработку ПДн по установленной Роскомнадзором форме.
• Разработка или актуализация поручения на обработку ПДн.
• Ревизия договоров, стороной которых является субъект ПДн.
• Принятие решения о способе информирования ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.
• Определение порядка взаимодействия с ГосСОПКА. При необходимости, реализация технического подключения к инфраструктуре ГосСОПКА напрямую или через коммерческие центры мониторинга ИБ.
• Актуализация организационно-распорядительную документацию в части обработки ПДн, реагирования на обращения субъектов ПДн и реагирования на компьютерные инциденты, повлекших неправомерную передачу ПДн.
• Актуализация должностных обязанностей лиц, ответственных за обработку и защиту ПДн.
• Направление в Роскомнадзор по установленной форме уведомления о намерении осуществлять трансграничную передачу ПДн (при осуществлении трансграничной передачи ПДн).
• Актуализация организационно-распорядительную документации в части трансграничной передачи ПДн.
• Получение от иностранных лиц сведения о принимаемых мерах по защите передаваемых ПДн и об условиях прекращения их обработки.
• Проведение оценки вреда субъектам ПДн.

Куда обратиться за помощью?

Компания ГлобалТраст оказывает полный комплекс услуг по приведению организаций, включая их бизнес-процессы и информационные системы, в соответствие с требованиями законодательства и нормативной базы РФ в области персональных данных.

Для получения более подробной информации обращайтесь к нам:

• по телефону: +7 (925) 203-95-11
• по e-mail: info@globaltrust.ru
• через web-форму