Указ 250 - Польза

Иногда мне (Алексею Лукацкому 🤠) задают вопрос, а почему в этом канале мало что стало поститься, а в чате обсуждения у канала затихли дискуссии и только отдельные криптоскамеры иногда прорываются, но быстро прибиваются внедренными средствами автоматизации. Мол, давайте про СТР-К, приказы ФСТЭК и другую нормативку там будем обсуждать. Отвечаю - 🔤🔤🔤!

Канал создавался под конкретную задачу - помочь разобраться в 250-м Указе Президента, выпущенном 2 с небольшим года назад. И распыляться на другие направления нормативного регулирования мы не будем ☹️ Более того, это бы привело к смещению фокуса с обеспечения реального результата ИБ в сторону обсуждения очередных бумажных требований, а мы против этого. Поэтому пока в канале затишье. Будут в Указе серьезные изменения - обсудим. Не будет - значит канал будет законсервирован или сам потихоньку уйдет у многих в архив. Так вижу 👀

Президент РФ подписал Указ №500, вносящий поправки в Указ №250. Изменения коснулись двух основных направлений - к ФСБ по установлению требований к аккредитации центров ГосСОПКИ и на запрет пользования ИБ-сервисами (работами, услугами) из недружественных государств

🏛 В России собираются ввести специальные требования к квалификации и деловой репутации зампредов финансовых организаций, ответственных за информационную безопасность (ИБ). Законопроект, подготовленный при участии Банка России, проходит процедуру межведомственного согласования.
🔸Документ предусматривает, в частности, повышение уровня персональной ответственности замглавы банка по ИБ за нарушения требований по защите информации, которые привели к утечке персональных данных или банковской тайны, сообщили в регуляторе. Документ касается не только банков, но также страховых компаний, пенсионных фондов и МФО.
🔸Законопроект вводит десятилетний срок, в течение которого зампреду по ИБ запрещается занимать эту должность — в том случае, если до этого он работал в финансовой организации на этой же должности в период, когда там допускались нарушения требований к защите информации (и в течение года к ней неоднократно применялись некие меры).

Указ Президента Российской Федерации от 22.11.2023 № 887
"О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации"

🤖 Насколько киберустойчива ваша цифровая трансформация?

В качестве одного из параметров рейтинга руководителей цифровой трансформации (РЦТ), или оперативного рейтинга, был добавлен показатель «информационная безопасность». Он в том числе позволяет оценить исполнение Указа №250.

Мы создали калькулятор для расчета показателя ИБ. С его помощью вы сможете понять, насколько ваша компания соответствует требованиям к необходимому уровню кибербезопасности, а также узнать, сколько баллов приносит соответствие каждому критерию.

🧮 Рассчитать показатель

В 187-ФЗ о безопасности КИИ внесли изменения, согласно которым к субъектам КИИ теперь добавили тех, кто владеет или арендует ИС из сферы государственной регистрации прав на недвижимое имущество и сделок с ним.

Опубликован для общественного обсуждения проект указа "О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" - https://regulation.gov.ru/projects#npa=139746

 "О внесении изменений в Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»", перейдя по ссылке:
https://regulation.gov.ru/projects#npa=139316

🙅 Продолжаем рассказывать о том, как отсутствие результативной кибербезопасности приводило к реализации недопустимых событий.

Одним из универсальных событий, актуальных практически для любой организации, является потеря денег. Но недопустимой такая потеря становится только при достаточно крупных суммах.

При этом причины потери могут быть разными: прямое хищение, компенсации пострадавшим от атаки клиентам, штраф за несоблюдение требований, затраты на восстановительные работы.

👀 Сегодня мы рассмотрим несколько примеров этого недопустимого события, произошедшего в разных странах. Помните, что введение оборотных штрафов за утечки персональных данных в России может пополнить этот список и отечественными именами.

#PositiveTechnologies

«Соскучились по мне?» 😎

Специально для вас мы записали бонусный выпуск образовательного проекта «#Агент250», который можно посмотреть без регистрации и SMS.

🤯 Как злоумышленник может навредить организации?

👊 Как команда кибербезопасности может его обнаружить и остановить?

👨‍💻 Как выглядит операционная модель центра управления кибербезопасностью?

Михаил Кадер, архитектор решений по информационной безопасности Positive Technologies, подготовил краткий обзор технологий кибербезопасности, описание этапов защиты от кибератак и комбинаций технологических решений для противостояния злоумышленникам.

Выпуск доступен на нашем YouTube-канале!

Спасибо вам за участие 😉

P. S. сертификаты для тех, кто верно и с первого раза ответили на вопросы теста, мы пришлем в течение недели.

#Агент250

На портале правовой информации опубликован приказ ФСБ от 11.05.2023 № 213 "Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими", разработанный во исполнение подпункта в) пункта 5 Указа 250.

Согласно данному приказу:
1️⃣ Мониторингом защищенности занимается 8-м Центром ФСБ.
2️⃣ Мониторинг осуществляется только в отношении периметра организаций, попадающих под действие Указа 250.
3️⃣ Все попавшие под действие приказа организации должны отправить в ФСБ информацию о свою доменах, внешних IP, а также об их изменении (по мере изменения и добавления)
4️⃣ Мониторинг осуществляется непрерывно и заключается в выявлении публично доступных сервисов, уязвимостей и оценки защищенности организаций
5️⃣ Блокировать сканирование запрещено
6️⃣ Оценка защищенности осуществляется без предупреждения со стороны ФСБ
7️⃣ Оценка защищенности осуществляется на основании плана, утверждаемого начальником 8-го Центра ФСБ. Выписки из них направляются тем, кого будут оценивать
8️⃣ Если в результате оценки защищенности ресурсы организации выходят из строя, об этом надо сообщить в порядке, определенном приказом
9️⃣ Если по результатам оценки защищенности выявляется неспособность ресурсов организации противостоять угрозам ИБ, ФСБ выдает предписание по обеспечению безопасности