Get best of the week

Likbez on Compliance: Wir verstehen die Anforderungen der Aufsichtsbehörden im Bereich der Informationssicherheit

Hallo Habr!

Und Quarantäne hat ihre Vorteile: Wir haben Zeit, weitere Schulungswebinare zur Informationssicherheit vorzubereiten ( siehe Webinare zur Informationssicherheit hier ). Hacker und Netzwerkangriffe sind natürlich aufregend, aber fast jeder Sicherheitsbeamte trifft auch auf die andere Seite der Informationssicherheit - die Anforderungen der Aufsichtsbehörden. Aus diesem Grund haben wir diese Reihe von Webinaren zum Thema IB Compliance durchgeführt. Dies ist sowohl für den Schüler als auch für den erfahrenen Sicherheitsbeamten nützlich, der sein Gedächtnis auffrischen und sich über die neuesten Änderungen in der Norm informieren möchte.

Wir haben bereits zwei Bildungsprogramme durchgeführt und planen mindestens zwei weitere Online-Veranstaltungen. Unter dem Schnitt - Details zu bevorstehenden Online-Meetings und Aufzeichnungen vergangener Webinare.



Worum geht es?


Praktische Tipps zum Kategorisieren von KII-Objekten


Nach der Veröffentlichung des 187- „Über die Sicherheit der kritischen Informationsinfrastruktur der Russischen Föderation“ im Juli 2017 wurde die Satzung regelmäßig aktualisiert, und kürzlich wurde die Verschärfung der Strafen für die Nichteinhaltung der Anforderungen zur Gewährleistung der Sicherheit von KII erörtert. Alles sagt, dass Sie "auf dem Laufenden bleiben" müssen, um die Anforderungen der Regulierungsbehörden rechtzeitig und korrekt umzusetzen.



Im ersten Teil des Bildungsprogramms werden wir helfen, die Struktur von Regulierungsdokumenten in Bezug auf KII zu verstehen, praktische Erfahrungen bei der Kategorisierung von Objekten auszutauschen und Formulare im Auftrag des FSTEC von Russland Nr. 236 auszufüllen. Im zweiten Teil werden wir über die nächsten Schritte nach der Kategorisierung sprechen - die Erstellung von Sicherheitssystemen. Die Online-Veranstaltung ist für diejenigen interessant, die gerade mit der Kategorisierung von KII-Objekten beginnen möchten oder sich bereits mit diesem Problem befassen und auf eine Reihe von Schwierigkeiten gestoßen sind. Also, was wir diskutieren:

  • KII-Sicherheitsanforderungen: Für wen gelten sie, welche behördlichen Dokumente gelten?
  • So identifizieren Sie KII-Objekte: Was sind signifikante und unbedeutende OCII?
  • So kategorisieren Sie KII-Objekte: Hauptmerkmale, Hauptkategorisierungsindikatoren
  • Wie man Formulare im Auftrag der FSTEC von Russland Nr. 236 ausfüllt, wie man Fehler beim Senden solcher Formulare an die Regulierungsbehörde vermeidet
  • Schaffung von Sicherheitssystemen: Komponenten, Rollenverteilung, ARD, Schutzausrüstung

Mitmachen >>

Wie man alle Anforderungen der Zentralbank der Russischen Föderation berücksichtigt und eine Prüfung besteht


Vor kurzem hat die Bank von Russland eine Vielzahl von regulatorischen Anforderungen im Bereich der Informationssicherheit entwickelt (672-P, 683-P und nicht nur), deren "Kern" der Standard GOST R 57580 ist. Außerdem plant die Regulierungsbehörde jetzt eine Reihe von Änderungen der Verordnung 382-P. Dies bezieht sich auch auf den Standard „GOST“. Das Bildungsprogramm widmet sich nur allen Änderungen im Bereich der Informationssicherheit, die mit diesen Anforderungen verbunden sind. Wir werden Ihnen auch mitteilen, für welche Informationssysteme die Bestimmungen der Regulierungsbehörde gelten.

Wir analysieren die typischen Verstöße, die bei Audits festgestellt werden, und zeigen Ihnen, wie Sie diese vermeiden können. Die Struktur des Treffens wird ungefähr so ​​aussehen:

  • : 382-, 57580.1-2017, 57580.2-2018, 672-, 683-/684
  • ,
  • 382- 57580



UPD: >>

4


Kürzlich haben wir ein Schulungsprogramm durchgeführt, in dem wir die neuen Anforderungen der Bank von Russland an die Überprüfung von Software auf Schwachstellen anhand des geschätzten Vertrauensniveaus (OUD 4) im Rahmen von GOST R ISO / IEC 15408-3-2013 erörtert haben. Aufzeichnung des Webinars >> Es


wurden auch praktische Empfehlungen analysiert, wie die Implementierung eines Projekts zur Analyse von Software-Schwachstellen optimal angegangen werden kann, nämlich:

  • In welchen Fällen muss die Organisation eine Bewertung der Einhaltung der Anforderungen der EMA 4 durchführen
  • Was ist ein typisches Projekt zur Analyse von Software-Schwachstellen gemäß den Anforderungen von GOST R ISO / IEC 15408-3-2013?
  • Vorgehensweise beim Projekt, wenn keine erforderlichen Anfangsdaten vorliegen
  • So optimieren Sie die Kosten eines Finanzinstituts, um das erforderliche Bewertungsniveau zu erreichen


Machen Sie sich bereit, Roskomnadzor zu überprüfen




Ein weiteres Bildungsprogramm befasste sich mit den aktuellen regulatorischen und rechtlichen Gesetzen im Bereich der Informationssicherheit, dem Schutz personenbezogener Daten und allen Phasen der Vorbereitung auf die Überprüfung von Roskomnadzor:

  • Allgemeine regulatorische Anforderungen im Bereich der Informationssicherheit
  • Hauptanforderungen 152- „Über personenbezogene Daten“
  • Vorbereitung vor dem Eintreffen des Reglers
  • Vorbereitung für die Überprüfung der Unterlagen (welche Dokumente werden benötigt, in welcher Form müssen sie bereitgestellt werden und wie)
  • Welche Einheiten werden an der Prüfung beteiligt sein?
  • Wie die Feldinspektion durchgeführt wird
  • Was passiert, wenn die Überprüfung abgeschlossen ist?

Sie können das Webinar ausführlich anhören >>

Wenn Sie an anderen Themen im Bereich Compliance interessiert sind, schreiben Sie in die Kommentare. Wenn Sie interessiert sind, machen wir es!

More articles:


All Articles