2. Да и остальные меры рассчитаны на борьбу не с тем нарушителем. Против инсайдера это все как мертвому припарки...
— Alexey Lukatsky (@alukatsky) November 15, 2020

3. А интересно, согласно законодательства ДИТ же должен разрабатывать и согласовывать с ФСТЭК модель угроз для таких систем. И как оно? Или система такого масштаба не считается ГИС? Вот ИС для выборов в Москве такой не считалась и там требовпния по ИБ не соблюдались вообще!
— Alexey Lukatsky (@alukatsky) November 15, 2020

А, кстати... Как Счетная палата будет проверять ГИСы, если до сих пор ни определения этого термина, ни ясности, что к ним относить?.. https://t.co/DfE5rMga1E
— Alexey Lukatsky (@alukatsky) November 15, 2020

Как выстроить эффективный процесс повышения осведомленности по ИБ (видео) - https://t.co/YOwZuT3Flw pic.twitter.com/GOdbqJkGBb
— Alexey Lukatsky (@alukatsky) November 16, 2020

Проект положения Банка России «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»

Проект указания Банка России «О форме и порядке направления операторами финансовых платформ в Банк России информации обо всех случаях и (или) о попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы и получения операторами финансовых платформ, финансовыми организациями от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления операций, направленных на совершение финансовых сделок с использованием финансовой платформы без волеизъявления участников финансовой платформы, а также о порядке реализации операторами финансовых платформ мероприятий по противодействию совершению финансовых сделок без волеизъявления участников финансовой платформы»

Когда регуляторы устанавливают требования по оценке соответствия прикладного ПО требованиям по ИБ, им стоило бы ознакомиться с практиками DevOps, согласно которым многие предприятия давно уже перешли на ежедневное обновление ПО, что вступает в противоречие с подходами регуляторов pic.twitter.com/xzteKBLgYh
— Alexey Lukatsky (@alukatsky) November 16, 2020

Опубликованы Условия по защите информации (для ПС БП и СПФС). Включают условия управления криптографическими ключами, порядок блокировки/возобновления обмена ЭС, требования к использованию СКЗИ и др.https://t.co/Y8tXYaXUht
— Кривонос Виталий (@N0S313) November 16, 2020

Валерий Естехин подготовил План действий служб ИБ и ИТ по приведению системы управления рисками ИБ и ИС в соответствие требованиям Положения Банка России от 08.04.2020 № 716‑П. Спасибо, пригодится ... https://t.co/N3kAgy3ngr
— Sergey Borisov (@sb0risov) November 16, 2020

Проект Положения Банка России по уведомлению об инцидентах операторами финансовых платформ (маркетплейсов) - https://t.co/OSouSE0LcN
— Alexey Lukatsky (@alukatsky) November 16, 2020

Проект положения Банка России, которое целиком меняет текущее 684-П по защите информации некредитных финансовых организаций - https://t.co/UigSvgurmM
— Alexey Lukatsky (@alukatsky) November 16, 2020

Какие компании собирают больше всего персональных данных.

Больше CERTов, хороших и разных. Вот и энергетики свой хотят сделать pic.twitter.com/AJeMzB1oOM
— Alexey Lukatsky (@alukatsky) November 17, 2020

pic.twitter.com/wFF0BujGP6
— Alexey Lukatsky (@alukatsky) November 17, 2020

pic.twitter.com/V8kWU1pYBi
— Alexey Lukatsky (@alukatsky) November 17, 2020

​​😕 Изменения в 152-ФЗ об общедоступных ПДн

В Государственную Думу внесён сумбурный (трудно читаемый и также сложно воспринимаемый) законопроект «О внесении изменений в Федеральный закон «О персональных данных» в части установления особенностей обработки общедоступных персональных данных».

❗️Проектом предполагается:

➡️ Установить, что ПДн могут быть сделаны общедоступными на основании отдельного согласия.
—————————————————————
И это несмотря на то, что не так давно в ГД уже вносился законопроект о внесении изменений в Федеральный закон «О персональных данных», которым предполагалось установить, что оператор ПДн должен получать одно согласие на несколько целей обработки ПДн.
————————————————————
⚠️ При этом отсутствуют указания на то, что это должно быть письменное согласие.  

➡️ Что согласие на обработку общедоступных ПДн может быть подано через некую информационную систему РКН.

➡️ Что в согласии субъект ПДн может установить запрет на передачу общедоступных ПДн и их обработку неограниченному кругу лиц, кроме предоставления к ним доступа.

О, пятилетней давности видео всплыло