Get best of the week

Likbez on Compliance: nous comprenons les exigences des régulateurs dans le domaine de la sécurité de l'information

Bonjour, Habr!

Et la quarantaine présente des avantages - nous avons le temps de préparer d'autres webinaires de formation sur la sécurité des informations ( voir les webinaires sur la sécurité des informations ici ). Les pirates et les attaques de réseau sont, bien sûr, passionnants, mais presque tous les agents de sécurité rencontrent également l'autre côté de la sécurité de l'information - les exigences des régulateurs. Par conséquent, nous avons réalisé cette série de webinaires sur le thème de la conformité IB. Il sera utile à la fois à l'étudiant et au gardien de sécurité expérimenté qui souhaite se rafraîchir la mémoire et se renseigner sur les derniers changements de la normative.

Nous avons déjà organisé deux programmes éducatifs et prévoyons au moins deux autres événements en ligne. Under the cut - détails des prochaines réunions en ligne et enregistrements des webinaires passés.



De quoi s'agit-il?


Conseils pratiques pour classer les objets KII


Après la publication en juillet 2017 du document 187- «Sur la sécurité des infrastructures d'information critiques de la Fédération de Russie», les statuts sont régulièrement mis à jour et récemment, le durcissement des sanctions pour non-respect des exigences visant à garantir la sécurité de KII a été discuté. Tout indique que vous devez "vous tenir au courant" pour la mise en œuvre rapide et correcte des exigences des régulateurs.



Dans la première partie du programme éducatif, nous vous aiderons à comprendre la structure des documents réglementaires en termes de KII, partager l'expérience pratique dans la catégorisation des objets et remplir les formulaires par Ordonnance du FSTEC de Russie n ° 236. Dans la deuxième partie, nous parlerons des prochaines étapes après la catégorisation - la création de systèmes de sécurité. Un événement en ligne sera intéressant pour ceux qui envisagent de commencer à catégoriser les objets KII ou qui sont déjà confrontés à ce problème et qui ont rencontré un certain nombre de difficultés. Alors, ce dont nous discutons:

  • Exigences de sécurité KII: à qui s'appliquent-elles, quels documents réglementaires régissent
  • Comment identifier les objets KII: quels sont les OCII significatifs et insignifiants
  • Comment catégoriser les objets KII: principales caractéristiques, principaux indicateurs de catégorisation
  • Comment remplir les formulaires par ordonnance du FSTEC de Russie n ° 236, comment éviter les erreurs lors de l'envoi de ces formulaires au régulateur
  • Création de systèmes de sécurité: composants, répartition des rôles, ARD, équipements de protection

Participez >>

Comment prendre en compte toutes les exigences de la Banque centrale de la Fédération de Russie et réussir un audit


Récemment, la Banque de Russie a élaboré un grand nombre d'exigences réglementaires dans le domaine de la sécurité de l'information (672-P, 683-P et pas seulement), dont le «cœur» est la norme GOST R 57580. De plus, le régulateur prévoit maintenant un certain nombre de modifications du règlement 382-P, qui fera également référence à la norme «GOST». Le programme éducatif sera consacré à tous les changements dans le domaine de la sécurité de l'information associés à ces exigences. Nous vous indiquerons également à quels systèmes d'information les dispositions du régulateur s'appliquent.

Nous analyserons les violations typiques identifiées lors des audits et vous montrerons comment les éviter. La structure de la réunion ressemblera à ceci:

  • : 382-, 57580.1-2017, 57580.2-2018, 672-, 683-/684
  • ,
  • 382- 57580



UPD: >>

4


Récemment, nous avons mené un programme éducatif où nous avons discuté des nouvelles exigences de la Banque de Russie pour la vérification des vulnérabilités des logiciels selon le niveau de confiance estimé (OUD 4) dans le cadre de GOST R ISO / IEC 15408-3-2013. Compte rendu du webinaire >>


Des recommandations pratiques ont également été analysées sur la façon d'aborder de manière optimale la mise en œuvre d'un projet d'analyse des vulnérabilités logicielles, à savoir:

  • Dans quels cas l'organisation doit-elle procéder à une évaluation de la conformité aux exigences de l'EMA 4
  • Qu'est-ce qu'un projet typique d'analyse de vulnérabilité logicielle conforme aux exigences de GOST R ISO / IEC 15408-3-2013
  • Comment aborder le projet s'il n'y a pas de données initiales nécessaires
  • Comment optimiser les coûts d'une institution financière pour atteindre le niveau d'évaluation requis


Se préparer à vérifier Roskomnadzor




Un autre programme éducatif concernait les actes réglementaires et juridiques en vigueur dans le domaine de la sécurité de l'information, la protection des données personnelles et toutes les étapes de préparation pour la vérification de Roskomnadzor:

  • Exigences réglementaires générales dans le domaine de la sécurité de l'information
  • Exigences clés 152- «Sur les données personnelles»
  • Préparation avant l'arrivée du régulateur
  • Préparation à la vérification documentaire (quels documents sont nécessaires, sous quelle forme ils doivent être fournis et comment)
  • Quelles unités seront impliquées dans l'audit?
  • Comment l'inspection sur le terrain est effectuée
  • Que se passe-t-il lorsque la vérification est terminée

Vous pouvez écouter en détail le webinaire >>

Si vous êtes intéressé par d'autres sujets dans le domaine de la conformité, écrivez dans les commentaires. Si vous êtes intéressé, tapez-le!

More articles:


All Articles