• Рабочие часы: 10:00 - 19.00
  • info@globaltrust.ru

Рубрика: Новости

image_pdfimage_print

С 1 сентября 2022 года произошли важные изменения в законодательстве о персональных данных (152-ФЗ)

1 сентября 2022 года вступили в силу июльские поправки в Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных», направленные на повышение защищенности персональных данных граждан от несанкционированного доступа неограниченного круга лиц, а также на усиление государственного контроля в указанной сфере (Федеральный закон от 14 июля 2022 г. № 266-ФЗ).

Что изменилось для операторов ПДн?

Основные изменения касаются обязательного уведомления Роскомнадзора о начале обработки ПДн, экстерриториальности 152-ФЗ и трансграничной передачи ПДн.

Уведомление в Роскомнадзор об обработке ПДн теперь надо будет подавть почти во всех случаях обработки ПДн. Поправками закреплена обязательность форм уведомлений о начале и прекращении обработки ПДн, а также об изменении ранее представленных сведений, которые устанавливаются Роскомнадзором.

Поправки вводят экстерриториальность 152-ФЗ и устанавливают возможность вмешательства уполномоченных органов в вопросы обработки иностранными лицами ПДн российских граждан.

Помимо этого, поправками:

  • установлена обязанность операторов ПДн обеспечивать взаимодействие с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн;
  • введены дополнительные обязанности оператора по устранению нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн;
  • скорректированы требования к согласию на обработку ПД (ранее от такого согласия требовалось быть конкретным, информированным и сознательным. Теперь оно должно быть еще и предметным, а также однозначным);
  • уточнены требования к содержанию документов, определяющих политику оператора в отношении обработки ПДн, локальных актов по вопросам обработки ПДн.

Документ, определяющий политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн необходимо опубликовать «в том числе на страницах принадлежащего оператору сайта в интернете, с использованием которых осуществляется сбор ПДн».

Уточнены положения, касающиеся обработки биометрических персональных данных и предусмотрен целый ряд иных изменений.

Что нужно сделать Операторам, чтобы соответствовать измененному 152-ФЗ?

Неполный перечень мероприятий, который в сжатые сроки необходимо реализовать операторам ПДн, чтобы не попасть в число нарушителей законодательства РФ в области ПДн, включает в себя следующее:

  • Подача уведомление о намерении осуществлять обработку ПДн по установленной Роскомнадзором форме.
  • Разработка или актуализация поручения на обработку ПДн.
  • Ревизия договоров, стороной которых является субъект ПДн.
  • Принятие решения о способе информирования ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн.
  • Определение порядка взаимодействия с ГосСОПКА. При необходимости, реализация технического подключения к инфраструктуре ГосСОПКА напрямую или через коммерческие центры мониторинга ИБ.
  • Актуализация организационно-распорядительную документацию в части обработки ПДн, реагирования на обращения субъектов ПДн и реагирования на компьютерные инциденты, повлекших неправомерную передачу ПДн.
  • Актуализация должностных обязанностей лиц, ответственных за обработку и защиту ПДн.
  • Направление в Роскомнадзор по установленной форме уведомления о намерении осуществлять трансграничную передачу ПДн (при осуществлении трансграничной передачи ПДн).
  • Актуализация организационно-распорядительную документации в части трансграничной передачи ПДн.
  • Получение от иностранных лиц сведения о принимаемых мерах по защите передаваемых ПДн и об условиях прекращения их обработки.
  • Проведение оценки вреда субъектам ПДн.

Куда обратиться за помощью?

Компания ГлобалТраст оказывает полный комплекс услуг по приведению организаций, включая их бизнес-процессы и информационные системы, в соответствие с требованиями законодательства и нормативной базы РФ в области персональных данных.

Для получения более подробной информации обращайтесь к нам:

Вступление в силу Положения Банка России № 719-П О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств

C 01 января 2022 года вступило в силу Положение Банка России № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Данное положение отменяет действовавшее ранее Положения Банка России № 382-П. Теперь ключевым моментом для всех участников платежной инфраструктуры является обеспечение соответствия требованиям по защите информации, устанавливаемым национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».

Согласно Положению Банка России № 719-П операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны осуществлять:

  • реализацию установленных настоящим Положением уровней защиты информации, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»
  • проведение оценки соответствия уровням защиты информации, установленным настоящим Положением, в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» 1 раз в два года.

Компания ГлобалТраст предоставляет полный комплекс консалтинговых услуг по обеспечению соответствия финансовой организации требованиям указанных стандартов и положений.

Подробнее: Защита информации в финансовых организациях

Новый комплект типовых документов по защите информации для финансовых организаций

Разработанный компанией ГлобалТраст Комплект типовых документов для финансовых организаций GTS 57580, включает в себя 10 типовых политик защиты информации, адаптированных для обеспечения соответствия требованиям ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовой организации. Базовый состав организационных и технических мер» с учетом рекомендаций Банка России в области стандартизации процессов обеспечения ИБ (PC БР ИББС).

Комплект типовых политик защиты информации финансовой организации GTS 57580 потребуется всем видам кредитных и некредитных финансовых организаций, для которых соответствующими положениями Банка России №683-П, 757-П (ранее 684-П) и национальным стандартом РФ ГОСТ Р 57580.1-2017 устанавливаются требования по защите информации. К таким организациям, помимо банков, относятся репозитарии, пенсионные фонды, брокеры, дилеры, управляющие, депозитарии, регистраторы, операторы финансовых платформ и систем, клиринговые организации, организаторы торговли, страховые организации и т.д.

В состав комплекта GTS 57580 включено 10 типовых политик защиты информации финансовой организации. Названия и содержание политик соответствует названию и содержанию процессов защиты информации, определяемых  в стандарте ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовой организации. Базовый состав организационных и технических мер»:

  1. GTS 57580.1 Политика защиты информации
  2. GTS 57580.2 Политика обеспечения защиты информации при управлении доступом
  3. GTS 57580.3 Политика обеспечения защиты вычислительных сетей
  4. GTS 57580.4 Политика контроля целостности и защищенности информационной инфраструктуры
  5. GTS 57580.5 Политика защиты от вредоносного кода
  6. GTS 57580.6 Политика предотвращения утечек информации
  7. GTS 57580.7 Политика управления инцидентами защиты информации
  8. GTS 57580.8 Политика защиты среды виртуализации
  9. GTS 57580.9 Политика защиты информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств
  10. GTS 57580.10 Политика обеспечения защиты информации на стадиях жизненного цикла автоматизированных систем и приложений

Подробнее ….

GlobalTrust присвоен статус Золотого партнера компании RSA

GlobalTrust присвоен статус Золотого партнера компании RSA. Сотрудничество с RSA, в частности, позволяет GlobalTrust реализовать современную централизованную систему автоматизации процессов менеджмента информационной безопасности в организациях любого размера и сферы деятельности на базе решения RSA Archer IT & Security Risk Management.

Американская компания RSA Security LLC изначально фокусировалась на средствах криптографической защиты информации и была названа в честь своих основателей (Ron RivestAdi Shamir и Leonard Adleman) и одноименного криптографического алгоритма RSA, ставшего фактическим стандартом криптографии с открытыми ключами. Среди криптографических продуктов RSA широко известны криптобиблиотека RSA BSAFE и токены аутентификации SecurID. Ежегодно проводится международная конференция по информационной безопасности RSA Conference.

Первоначально RSA была основана как частная независимая компания в 1982 году. В 2006 году она была приобретена EMC Corporation за 2.1 миллиарда долларов, а в 2016 году Dell Technologies приобрела EMC и RSA вошла в состав Dell Technologies. Штаб квартира RSA находится в Бедфорде, штат Массачусетс, США, также имеются многочисленные региональные офисы и представительства по всему миру.

Современная линейка продуктов RSA охватывает следующие направления:

  • Детектирование и реагирование на угрозы (Threat Detection & Response)
  • Предотвращение мошенничества (Fraud Prevention)
  • Управление идентификацией и доступом (Identity & Access Management)
  • Управление, риски и соответствие (Governance, Risk & Compliance)

GRC платформа RSA Archer Suite уже несколько лет подряд является лидером рынка по данным Gartner.

Сотрудничество с RSA позволяет GlobalTrust реализовать современную централизованную систему автоматизации процессов менеджмента информационной безопасности в организациях любого размера и сферы деятельности на базе решения RSA Archer IT & Security Risk Management, включающего в себя модули для автоматизации:

  • управление активами
  • управление инцидентами
  • управление рисками
  • управление уязвимостями
  • управление соответствием
  • управление политиками
  • и прочее

Обеспечивается интеграция централизованной системы менеджмента ИБ со многими средствами защиты информации через соответствующие коннекторы.

Правовые и неправовые аспекты мониторинга контента: американский опыт

В августовском номере журнала Директор по безопасности опубликована статья экспертов ГлобалТраст под заголовком «Правовые и неправовые аспекты мониторинга контента: американский опыт».

Одной из важных особенностей современных корпоративных сетей является их размер, который зачастую исчисляется тысячами, а и иногда и десятками тысяч компьютеров. При этом деятельность пользователей может быть распределена среди различных компьютеров, а одна и та же проблема часто решается группами пользователей. Важной задачей является контроль работы, как отдельных пользователей, так и групп пользователей.

Основными целями контроля являются: обеспечение информационной безопасности, выявление инцидентов, в том числе выявление случаев некорректного, непрофессионального или нецелевого использования ресурсов, оценка характеристик функционирования корпоративной сети и параметров использования ресурсов.

При этом приоритетной задачей является раннее обнаружение «внутренних вторжений», т.е. выявление действий пользователей, которые могут предшествовать внутренним вторжениям. Чем крупнее организация, тем актуальней является для нее проблема предотвращения внутренних вторжений, в частности кражи и утечки информации, так как именно кража является конечной целью большинства внутренних вторжений. Связано это с тем, что в больших организациях затрудняется контроль над обращением информации и существенно возрастает цена ее утечки. Указанные обстоятельства определяют высокий уровень озабоченности данной проблемой со стороны крупного бизнеса и правительственных структур. Решение данной проблемы заключается в использовании средств электронного мониторинга.

В настоящей статье рассматриваются риски и проблемы, связанные с электронным мониторингом действий работников корпораций в соответствии с законодательством США и сложившейся в этой стране практикой. Цель состоит в том, чтобы повысить осведомленность ИТ и ИБ менеджеров организаций в вопросах применения средств и методов электронного мониторинга и вооружить их лучшими практиками в данной области.

Журнал Директор по безопасности Выпуск 8 (Август) 2019 г.

Читать статью на портале InfoSecPortal.ru