Информационное сообщение 46 4

Обновлено: 16.05.2024

О выявлении и устранении уязвимостей компонента JNDI (Java Naming and Directory Interface) библиотеки Apache Log4j

О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. N 55

Ежегодный план инспекционного контроля на 2022 год

Аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий

Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну

Приказ ФСТЭК России от 5 августа 2021 г. N 121

О порядке маркирования сертифицированных средств защиты информации в системе сертификации ФСТЭК России

Об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах

Об утверждении порядка аттестации объектов информатизации и особенностях его реализации

Об утверждении Методики оценки угроз безопасности информации

Об утверждении Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении

Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий

Ежегодный план инспекционного контроля на 2021 год

Аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий

По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий

О разработке методического документа ФСТЭК России "Методика определения угроз безопасности информации в информационных системах"

О переносе сроков проведения инспекционного контроля испытательных лабораторий и органов по сертификации и продлении сроков действия аттестатов аккредитации органов по аттестации

Письмо ФСТЭК России от 20 марта 2020 г. N 240/84/389

Рекомендации по обеспечению безопасности объектов критической информационной инфраструктуры при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры

О применении сертифицированных операционных Microsoft Windows 7 и Microsoft Windows Server 2008 R2 в связи с прекращением их технической поддержки

О подготовке и проведении XXV Международного Форума "Технологии безопасности"

О проведении конференции V SOC-Форум "Практика противодействия компьютерным атакам и построения центров мониторинга информационной безопасности"

О порядке предоставления Перечня средств измерений, испытательного оборудования, программных (программно-аппаратных) средств и Перечня нормативных правовых актов, методических документов и национальных стандартов, необходимых для выполнения работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну

О Требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий

Об утверждении Перечня нормативных правовых актов, методических документов и национальных стандартов, необходимых для выполнения работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну

Ежегодный план инспекционного контроля на 2019 год

Аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий

Конференция, посвященная вопросам создания и эксплуатации центров мониторинга и реагирования на компьютерные инциденты - IV SOC-Форум "Практика противодействия компьютерным атакам и построения центров мониторинга информационной безопасности"

О прекращении действия Положения о сертификации средств защиты информации по требованиям безопасности информации с 1 августа 2018 г.

О методических документах по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации

План по реализации Концепции открытости федеральных органов исполнительной власти на 2018 год

Об уязвимостях центральных процессоров

Об аннулировании действия сертификатов соответствия от 4 апреля 2012 г. N 2609 на операционную систему PAN-OS 4.0 для МЭ серии РА-4000, от 4 апреля 2012 г. N 2610 на операционную систему PAN-OS 4.0 для МЭ серии РА-5000, от 28 апреля 2012 г. N 2632 на операционную систему PAN-OS 4.0 для МЭ серии РА-500 и от 28 апреля 2012 г. N 2633 на операционную систему PAN-OS 4.0 для МЭ серии РА-2000

Об уязвимости микропрограммного обеспечения Intel Management Engine

По вопросу продления сроков действия сертификатов соответствия на средства защиты информации от утечки по техническим каналам, эксплуатируемые на объектах информатизации

Ежегодный план инспекционного контроля аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий на 2018 год

О порядке рассмотрения и согласования моделей угроз безопасности информации и технических заданий на создание государственных информационных систем

По вопросу продления сроков действия сертификатов соответствия на средства активной защиты информации от утечки за счет побочных электромагнитных излучений и наводок, и средства активной акустической и вибрационной защиты акустической речевой информации, эксплуатируемые на объектах информатизации

Об утверждении методических документов, содержащих профили защиты операционных систем

По вопросам разработки, производства, поставки и применения межсетевых экранов, сертифицированных ФСТЭК России по требованиям безопасности информации

План по реализации Концепции открытости федеральных органов исполнительной власти на 2017 год

По вопросу продления сроков действия сертификатов соответствия на средства защиты информации от утечки по техническим каналам

О порядке предоставления Перечня нормативных правовых актов, методических документов и национальных стандартов, необходимых для выполнения работ по аттестации объектов информатизации, предназначенных для обработки информации, содержащей сведения, составляющие государственную тайну

По вопросу продления сроков действия сертификатов соответствия на средства защиты информации Secret Net 6 и Secret Net 6 (вариант К)

Об утверждении Требований безопасности информации к операционным системам

о подготовке и проведении XIII Международной выставки InfoSecurity Russia/ITsec by Groteck

Об утверждении методических документов, содержащих профили защиты межсетевых экранов

о подготовке и проведении XXII Международного Форума "Технологии безопасности"

О применении сертифицированных по требованиям безопасности информации средств антивирусной защиты "Антивирус Касперского 6.0 для WindowsServers" и "Антивирус Касперского 6.0 для WindowsWorkstation" в условиях прекращения их поддержки разработчиком

Об уязвимостях в сертифицированных средствах защиты информации Dallas Lock 8.0

Об утверждении Требований к межсетевым экранам

Об уязвимостях в сертифицированных средствах защиты информации Secret Net и мерах по их нейтрализации

О порядке предоставления выписок из Перечня правовых, нормативных и методических документов, необходимых для выполнения работ в соответствующей области аккредитации и Примерного перечня измерительных приборов, испытательного оборудования, программных (программно-аппаратных) средств, необходимых для выполнения работ в соответствующей области аккредитации

По вопросу продления сроков действия сертификатов соответствия на средства активной защиты информации от утечки за счет побочных электромагнитных излучений и наводок и средства активной акустической и вибрационной защиты акустической речевой информации, эксплуатируемые на объектах информатизации

О применении сертифицированных по требованиям безопасности информации операционных систем Windows Server 2003 и Windows Server 2003 R2 в условиях прекращения их поддержки разработчиком

Об утверждении Требований к средствам контроля съемных машинных носителей информации

По вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры в связи с изданием приказа ФСТЭК России от 14 марта 2014 г. N 31 "Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды"

О некоторых вопросах переоформления лицензий на право проведения работ, связанных с созданием средств защиты информации, осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части противодействия иностранным техническим разведкам и (или) технической защиты информации)

О некоторых вопросах предоставления лицензий на проведение работ, связанных с созданием средств защиты информации, осуществление мероприятий и (или) оказание услуг в области защиты государственной тайны (в части технической защиты информации и (или) противодействия иностранным техническим разведкам)

О типичных ошибках, допускаемых соискателями лицензий при подготовке и представлении документов для получения лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации

О применении сертифицированной по требованиям безопасности информации операционной системы Windows XP в условиях прекращения ее поддержки разработчиком

Информационное письмо ФСТЭК России от 6 февраля 2014 г. N 240/24/405

Об утверждении Требований к средствам доверенной загрузки

По вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах в связи с изданием приказа ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" и приказа ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"

Изменения внесены Федеральным законом от 2 июля 2021 г. N 359-ФЗ, вступающим в силу 1 января 2022 г., за исключением отдельных норм, которые вступают в силу в особом порядке.

Принятым законом, в частности:

уточнены требования к содержанию аудиторского заключения (исключены положения, определяющие обязательные элементы. Форма и содержание аудиторского заключения устанавливаются стандартами аудиторской деятельности). Дополнительные требования предусмотрены к аудиторскому заключению в отношении отчетности общественно значимой организации;

скорректированы правила подписания аудиторского заключения (заключение подписывают руководитель аудиторской организации и руководитель аудита);

уточнены нормы о заведомо ложном аудиторском заключении;

введена процедура признания аудиторского заключения ненадлежащим в обстоятельствах согласно стандартам аудиторской деятельности;

порядок проведения квалификационного экзамена на получение аттестата теперь устанавливает саморегулируемая организация аудиторов по согласованию с Минфином России (ранее — Минфин России);

уточнены процедуры аннулирования квалификационных аттестатов аудитора;

Больше документов и разъяснений по коронавирусу и антикризисным мерам — в системе КонсультантПлюс.

Григорий Неверов (Грэг)
Людмила , а зачем при оказании СОПУТСТВУЮЩИХ аудиту услуг назначать руководителя АУДИТА? Неужели законодатели хотели именно такого абсурда?

А разве не об этом написано в ИС-аудит 46/2?

Иными словами, при оказании любой аудиторской услуги (аудит, сопутствующие ему услуги) конкретному аудируемому лицу аудиторская организация должна назначить руководителя аудита (ранее – требование не устанавливалось)

На вебинарах СРО - столах и пр. в последнее время, где дают обзор закона, говорят, что много не ясного. Типа - грубая ошибка и пр. И многие вопросы будут пояснять в ближайшее время типа в совместных переговорах.
Из текста закона пока не вырисовывается обязанность организации назначать всегда руководителя аудита. И не вытекает, что это разные лица с руководителем проверки. Нужен полный текст с правками и его анализ. Но сдается, что наше СРО поддается МФ, как было в требовании проверять АЗ в ГИРБО. И трактовка МФ может оказаться единственно правильной. и маловероятно оспоримой.

В МСА есть термин "руководитель задания ", а "руководитель аудита " - это тоже самое только в случае, если задание является аудитом, верно? А ещё можно назначить руководителя аудиторской группы, но он не будет являться руководителем аудита, если не имеет доверенности, верно?
Исправлений: 1; последнее - в 14.07.2021, 04:16.

Такое ощущение, что аудит в России заблудился в трёх соснах, одна из которых СРО, вторая - Минфин, а третья - ЦБ

Или это игра против староаттестатников - оставить их в профессии, собирать и взносы, и за обучение, и за проверки ВККР - но держать в качестве пресловутой серой бесправной рабочей массы. Или некомпетентность органов. Что еще хуже - органы, регулирующие такой сложный процесс не должны быть компетенцией ниже тех, кого они пытаются регулировать.

Алла , а вы считаете, что в данной ситуации надо промолчать? Куда уж далее молчать.
Да, я хочу чтобы мне ответили. И обосновали свою позицию. В обсуждаемом ИС нет ссылки на нормы закона.
В идеале, конечно, хотелось бы в сухом остатке увидеть фразу (для удобства читающих все на проф.сленге): "староаттестатники" могут быть руководителями аудита (за исключением аудита ОЗО).
Исправлений: 1; последнее - в 14.07.2021, 11:46.

Добрый день, коллеги!
Минфин в ИС - аудит - 46/4 от 09.07.2021г. отметил в разделе "Подтверждены полномочия со старыми" квалификационными аттестатами аудитора, отметил следующее.

Таким образом, руководителем аудиторского задания может быть аудитор, имеющий "старый" аттестат, поскольку он является работником аудиторской организации и он вправе осуществлять аудиторскую деятельность.
Руководитель аудиторского задания в Законе 307- ФЗ не поименован, как некая отдельная категория работников аудиторской организации, которая имеет какие то отличительные признаки или особенности в его квалификации, отличающим его от всех остальных аудиторов и позволяющие ему быть руководителем задания по аудиту.

SNUАлла, а вы считаете, что в данной ситуации надо промолчать? Куда уж далее молчать.
Да, я хочу чтобы мне ответили. И обосновали свою позицию. В обсуждаемом ИС нет ссылки на нормы закона.

В данном случае, исключение составляет, лишь аудит ОЗО, поскольку в Законе сказано, что осуществлять аудиторскую деятельность в отношении ОЗО могут только аудиторы с "новыми" аттестатами. Да и требования к Руководителю аудиторского задания прописаны более, чем подробно.

Таким образом, ИС-аудит - 46/4 внес поправки в некорректность своих прежний суждений.

Ирина
Добрый день, коллеги!
Минфин в ИС - аудит - 46/4 от 09.07.2021г. отметил в разделе "Подтверждены полномочия со старыми" квалификационными аттестатами аудитора, отметил следующее.

Каждый видит то что хочет видеть. В ИС-аудит-46/4 нет ни слова о руководителе аудита и возможности назначать его из числа аудиторов со старым аттестатом.
При этом ИС-46/2 в прежней редакции размещена на сайте МФ - уж проще было отредактировать этот ненормативный документ чем городить огород.

Значение ключевой ставки ЦБ, от которой зависит уровень процентных ставок по депозитам и стоимость кредитов, внепланово увеличено более чем вдвое — с 9,5 до 20%. Новое значение стало абсолютным рекордом

Регулятор пошел на такой шаг в ходе внеочередного заседания на фоне обвала рынков из-за военной операции России на Украине и введения санкций против крупных российских банков и, что важнее, самого ЦБ. В обычном режиме заседание по ставке должно было пройти 18 марта. В последний раз ЦБ принимал внеочередное решение по ставке в декабре 2014 года — тогда после полуночи на фоне обвала рубля он объявил о росте показателя с 10,5 до 17%. Новое значение ключевой ставки в 20% — абсолютный рекорд в истории России.

Что предшествовало росту ставки

По состоянию на 18 февраля международные резервы ЦБ составляли эквивалент $643 млрд. Они размещены в активах, номинированных в различных валютах, а также в золоте. На 1 февраля $311 млрд находились в ценных бумагах иностранных эмитентов, $152 млрд — в наличной валюте и депозитах банка за рубежом, $132 млрд — в золоте на территории России, еще $30 млрд — в резервах в Международном валютном фонде и специальных правах заимствования (SDR). На середину 2021 года (последние актуальные данные, размещенные ЦБ) доля доллара США в международных резервах составляла 16,4%, еще 32,3% приходилось на евро, 13,1% — на юань, 6,5% — на фунт стерлингов. Доля золота при этом составляла 21,7%. Но эти данные отражают ситуацию со значительным лагом, к текущему моменту валютная структура резервов могла измениться.

В свою очередь, сам ЦБ с 28 февраля запретил брокерам удовлетворять заявки компаний-нерезидентов на продажу ценных бумаг на российском рынке. Срок окончания действия соответствующего предписания не установлен.

Первая реакция рынка и аналитиков

Банк России опубликовал решение о ставке за 15 минут до начала торгов на валютном рынке. На старте сессии на Московской бирже в 10:00 курс доллара вырос с 83 руб. (на таком уровне торги закрылись в пятницу, 25 февраля) до 90 руб. Евро вырос с 93 до 101 руб. Затем торги фактически остановились — доллар, как и евро, уперся в верхние границы торгов. После возобновления торгов в 10:30 курс доллара подскочил до 113 руб., но затем снова снизился до примерно 95 руб.

Мурашов считает, что резкое ужесточение денежно-кредитной политики позволит остановить панические настроения населения и возродить доверие к банковской системе. Он выделяет еще одну меру поддержки рынка, на которую пошел Минфин: ведомство приняло решение ввести в России с 28 февраля обязательную продажу иностранной валюты на уровне 80% от выручки для компаний-резидентов. Это в первую очередь затронет экспортеров сырья, которые получают валютную выручку.

Как росла ставка в мирное время

Банк России начал повышать ключевую ставку с марта 2021 года с уровня в 4,25% годовых. 11 февраля регулятор поднял показатель сразу на 1 п.п., до 9,5%, что стало максимумом с весны 2017 года. ЦБ также пересмотрел прогноз по инфляции до 5–6% в 2022 году с 4–4,5%, которых он ждал раньше. ЦБ ужесточал денежно-кредитную политику, чтобы побороть инфляцию, и был готов делать это еще более активно (например, повысить ставку сразу на 1,5% вместо диапазона 0,25–1%, который он использовал в последнее время). Но не так активно, как сделал это из-за обвала на фоне военных действий.

Что уже сделал ЦБ для стабилизации рынка

Банк России еще утром 24 февраля применил меры для стабилизации российского рынка. Он начал продавать валюту на открытом рынке, хотя до этого проводил валютные интервенции в последний раз в 2014 году, а также в 2020 году — но тогда это происходило в рамках продажи Сбербанка правительству (во время обвала рынков в начале пандемии в 2020 году) и по бюджетному правилу (когда цены на нефть выше заложенного в бюджете уровня, ЦБ покупает валюту, когда ниже — продает).

До 30 июня банки также могут не соблюдать законодательные ограничения полной стоимости кредитов (ПСК) по розничным ссудам. Это означает, что ставки по ним могут временно быть выше, чем одна треть от ключевой ставки ЦБ (20%).

Все специалисты по информационной безопасности рано или поздно сталкиваются с вопросами законодательного регулирования своей деятельности. Первой проблемой при этом обычно является поиск документов, где прописаны те или иные требования. Данный справочник призван помочь в этой беде и содержит подборку ссылок на основные законодательные и нормативно-правовые акты, регламентирующие применение информационных технологий и обеспечение информационной безопасности в Российской Федерации.

Предисловие

Для облегчения восприятия весь массив документов разделен на смысловые блоки, которые применяются для регулирования тех или иных областей информационной безопасности.
К сожалению большая часть приведенных документов применяется для регулирования сразу нескольких областей права, поэтому предложенная классификация весьма условна. Документы в справочнике упоминаются только один раз. Это немного затрудняет поиск, но существенно сокращает объем справочника.

Предлагаемый справочник не является исчерпывающим, но содержит, пожалуй, основные направления обеспечения информационной безопасности в России.

В справочнике, за редким исключением, отсутствуют ссылки на документы ограниченного распространения, национальные стандарты и проекты документов.

Представленные документы актуальны на момент публикации данного справочника.
Приятного просмотра и успешной работы!

Основы законодательства

Комментарий. Данный закон и изданные на его основе документы определяют случаи, при которых нормативно-правовые акты государственных регуляторов считаются обязательными к применению.

Стратегические документы

Системообразующие документы

Комментарий. Данные документы тем или иным образом регулируют практически любую ситуацию, связанную с обеспечением ИБ.

Государственные регуляторы

Техническое регулирование

Комментарий. Здесь под техническим регулированием подразумевается: стандартизация (определение необходимости использования национальных или международных стандартов), определение процедур оценки соответствия средств защиты информации (например, обязательная сертификация), определение мероприятий по аттестации объектов информатизации по требованиям безопасности информации, особенности проведения измерений.

Техническое регулирование. Сертификация средств защиты информации

Комментарий. Закон устанавливает обязанность использования бюро кредитных историй сертифицированных средств защиты информации.

Техническое регулирование. Аттестация объектов информатизации

Комментарий. Необходимость обязательной аттестации объектов информатизации по требованиям безопасности информации содержится также и в других документах, например, в Приказе ФСТЭК России от 11.02.2013 N 17 и др.

Лицензирование деятельности в области информационной безопасности

Комментарий. В документе содержится исчерпывающий перечень основных руководящих документов ФСТЭК России.

Информационная безопасность и персонал

Комментарий. Документы определяют: обязанности персонала по обеспечению ИБ, меры дисциплинарной ответственности, особенности обработки ПДн персонала, типовые требования к персоналу, особенности повышения квалификации.

Судебные тяжбы, компьютерная криминалистика

Ответственность за нарушения в области информационной безопасности

Руководящие документы ФСТЭК России

Криптография

Комментарий. Данный документ определяет порядок оформления лицензий (в случае необходимости) на ввоз/вывоз криптографических средств через границу Таможенного союза ЕАЭС.

Электронная подпись

Комментарий. Электронная подпись является одним из видов аналога собственноручной подписи, применение которого регламентируется ГК РФ.

Государственная тайна

Служебная тайна

Коммерческая тайна

Банковская тайна

Инсайдерская информация

Защита связи

Государственные и муниципальные информационные системы (ГИС и МИС)

Комментарий. Основным федеральным законом про государственные (ГИС) и муниципальные информационные системы (МИС) является Федеральный закон от 27.07.2006 N 149-ФЗ.

Комментарий. Требования данного закона должны учитываться при разработке ГИС, используемых для взаимодействия с гражданами.

Комментарий. Описывает особенности использования информационных систем в государственных органах, в том числе обязанность публиковать перечни используемых информационных систем.

Государственные и муниципальные информационные системы. СМЭВ

Государственные и муниципальные информационные системы. Обеспечение безопасности

Государственные и муниципальные информационные системы. Открытые данные

Государственные и муниципальные информационные системы. Московская область

Государственные и муниципальные информационные системы. Здравоохранения и медицина

Подключение к Интернет государственных систем

Критическая информационная инфраструктура (КИИ)

Критическая информационная инфраструктура. Связь

Топливно-энергетический комплекс (ТЭК)

Транспорт

Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА)

Комментарий. Основным федеральным законом по ГосСОПКА является Федеральный закон от 26.07.2017 N 187-ФЗ. Применение ГосСОПКА тесно связанно с защитой критической информационной инфраструктуры, но в общем случае шире этой задачи.

Персональные данные (ПДн)

Комментарий. Данный документ, пожалуй, является единственным документов в Российском законодательстве, устанавливающим перечень данных, необходимых для идентификации физических лиц.

Персональные данные. Обеспечение безопасности

Комментарий.Защита персональных данных в государственных и муниципальных информационных системах осуществляется в соответствии с Приказом ФСТЭК России от 11.02.2013 N 17.

Персональные данные. Блокировка нарушителей

Комментарий. Законодательная основа блокировки нарушителей установлена в Федеральном законе от 27.07.2006 N 149-ФЗ.

Персональные данные. Банковская специфика

Персональные данные. Единая биометрическая система (ЕБС)

Комментарий. Законодательная основа единой биометрической системы установлена в Федеральном законе от 27.07.2006 N 149-ФЗ.

Персональные данные. Особые случаи обработки ПДн

Персональные данные. Сроки хранения

Комментарий. Сроки хранения документов по личному составу определяются Федеральным законом от 22 октября 2004 N 125-ФЗ.

Персональные данные. Международные требования

Комментарий. Закон Китайской Народной Республики о защите личной информации (Принято на 30-м заседании Постоянного комитета 13-го Всекитайского собрания народных представителей 20 августа 2021 г.). Англоязычная аббревиатура PIPL от Personal Information Protection Law. Данный закон, как и GDPR, экстротерриториален.

Персональные данные. Примеры внутренних документов

Национальная платежная система

Банковская безопасность. Нормативно-правовые акты Банка России

Комментарий. Главы 7 и 8 документа вводят понятия риска информационной безопасности (киберриска) и риска информационных систем

Читайте также: