Pull to refresh
339.15
Rating
Инфосистемы Джет
Системный интегратор

Ликбез по Compliance: разбираемся в требованиях регуляторов в области ИБ

Инфосистемы Джет corporate blogInformation SecurityStudying in ITLegislation in ITConferences
Привет, Хабр!

И у карантина есть плюсы — у нас появилось время подготовить еще несколько учебных вебинаров по информационной безопасности (вебинары по основам ИБ смотрите тут). Хакеры и сетевые атаки — это, конечно, захватывающе, но почти любой безопасник сталкивается и с другой стороной ИБ — требованиями регуляторов. Поэтому этот цикл вебинаров мы сделали по теме Compliance ИБ. Полезно будет и студенту, и опытному безопаснику, который хочет освежить память и узнать о последних изменениях в нормативке.

Мы уже провели два ликбеза и планируем еще как минимум два онлайн-мероприятия. Под катом — подробности предстоящих онлайн-встреч и записи прошедших вебинаров.



О чем пойдет речь?


Практические советы по категорированию объектов КИИ


После выхода в июле 2017 года 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» регулярно актуализируются подзаконные акты, а в последнее время обсуждается ужесточение штрафных санкций за невыполнение требований по обеспечению безопасности КИИ. Все говорит о том, что нужно «держать руку на пульсе» для своевременного и корректного выполнения требований регуляторов.



В первой части ликбеза мы поможем разобраться со структурой нормативных документов в части КИИ, поделимся практическим опытом по категорированию объектов и заполнению форм по Приказу ФСТЭК России №236. Во второй части мы расскажем про дальнейшие шаги после категорирования – создание систем безопасности. Онлайн-мероприятие будет интересно тем, кто только планирует приступить к категорированию объектов КИИ или уже занимается этим вопросом и столкнулся с рядом сложностей. Итак, что мы обсудим:

  • Требования к безопасности КИИ: на кого распространяются, какими нормативными документами регулируются
  • Как определить объекты КИИ: что такое значимые и незначимые ОКИИ
  • Как категорировать объекты КИИ: ключевые особенности, основные показатели категорирования
  • Как заполнять формы по Приказу ФСТЭК России №236, как избежать ошибок при отправке таких форм регулятору
  • Создание систем безопасности: составные части, распределение ролей, ОРД, средства защиты

Участвовать>>

Как учесть все требования ЦБ РФ и пройти аудит


За последнее время Банк России разработал большое количество нормативных требований в области ИБ (672-П, 683-П и не только), «ядром» которых является стандарт ГОСТ Р 57580. Плюс со стороны регулятора сейчас планируется ряд изменений в Положении 382-П, которые также будут ссылаться на «ГОСТовый» стандарт. Ликбез будет посвящен как раз всем изменениям в области информационной безопасности, связанным с этими требованиями. Расскажем и о том, на какие информационные системы распространяются положения регулятора.

Разберем типовые нарушения, которые выявляются при проведении аудитов, и подскажем, как их избежать. Структура встречи будет примерно такой:

  • В чем заключаются ключевые особенности нормативных документов Банка России: 382-П, ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018, 672-П, 683-П/684
  • Как определить, какие информационные системы входят в область действия перечисленных нормативных документов
  • Как проходит внешний аудит в части оценки соответствия требованиям Банка России в области ИБ
  • Как правильно оценивать показатели по 382-П и ГОСТ Р 57580
  • Какие типовые нарушения выявляются по результатам аудита



UPD: запись вебинара>>

Анализ уязвимостей по требованиям к ОУД4


Недавно мы провели ликбез, где обсуждали новые требования Банка России к проверке программного обеспечения на уязвимости по оценочному уровню доверия (ОУД 4) в рамках ГОСТ Р ИСО/МЭК 15408-3-2013. Запись вебинара>>


Разбирали также практические рекомендации о том, как оптимально подойти к выполнению проекта по анализу уязвимостей ПО, а именно:

  • В каких случаях организации нужно проводить оценку соответствия требованиям ОУД 4
  • Что представляет собой типовой проект по анализу уязвимостей ПО в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013
  • Как подойти к проекту, если нет необходимых исходных данных
  • Как оптимизировать затраты финансовой организации для достижения необходимого уровня оценки


Готовимся к проверке Роскомнадзора




Еще один ликбез касался актуальных нормативно-правовых актов в области ИБ, защиты персональных данных и всех этапов подготовки к проверке Роскомнадзора:

  • Общие нормативные требования в области ИБ
  • Ключевые требования 152-ФЗ «О персональных данных»
  • Подготовка до прихода регулятора
  • Подготовка к документарной проверке (какие документы необходимы, в каком виде их нужно предоставлять и каким образом)
  • Какие подразделения будут вовлечены в проверку
  • Как осуществляется выездная проверка
  • Что происходит по завершении проверки

Подробно можно послушать в записи вебинара>>

Если вам интересны другие темы в области Compliance, пишите в комментариях. Если интересующихся наберется, сделаем!
Tags:complianceтребования регуляторовОУД4КИИфз-187
Hubs: Инфосистемы Джет corporate blog Information Security Studying in IT Legislation in IT Conferences
Total votes 6: ↑5 and ↓1 +4
Views2.7K

Comments 1

Only those users with full accounts are able to leave comments. Log in, please.

Information

Founded
1991
Location
Россия
Website
jet.su
Employees
1,001–5,000 employees
Registered