Компания LETA от всей души поздравляет руководство и сотрудников Федеральной службы по техническому и экспортному контролю России с 38-ой годовщиной со дня образования!
Почти 40 лет Вы решает важнейшие задачи защиты информационной безопасности государства, и значимость Вашей службы растет год от года с ростом уровня информатизации общества.
Мы гордимся многолетним и плодотворным сотрудничеством со специалистами Федеральной службы по техническому и экспортному контролю и желаем коллективу ФСТЭК России дальнейших успехов в служебной деятельности, реализации всех намеченных планов, благополучия и большого человеческого счастья.
Уверены, что наше дальнейшее плодотворное сотрудничествов сфере информационной безопасности будет способствовать укреплению безопасности государства.
Источник: http://letablog.livejournal.com/38510.html
Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
В своей рабочей деятельности приходится сталкиваться с различными праздничными датами, которые часто хоть и не являются выходными днями, но таки адресованы большому количеству людей занятых в той или иной отрасли. Так вот, довольно много раз случалось так как коллег по смежному направлению ИТ поздравляют, к примеру, с днем системного администратора (отмечается каждый год в последнюю пятницу июля), днем программиста (отмечаемый так еже ежегодно в 256-й календарный день года) или днем Интернета, который по некоторым причинам отмечается аж 3 раза — 17 мая, 4 апреля и 30 сентября! А в последнее время к ним добавились еще день тестировщика (ежегодно, 9 сентября) и Всемирный день электросвязи и информационного общества, дата связанная с созданием 17 мая 1865 г. Международного телеграфного союза, впоследствии переименованного в Международный союз электросвязи (МСЭ).
А вот с профессиональными праздниками в области ИБ, как показывает практика, поздравляют единицы!
Международный день защиты информации
В 1988 году американская Ассоциация компьютерного оборудования объявила 30 ноября Международным днем защиты информации (Computer Security Day). Целью Дня является напоминание пользователям о необходимости защиты их компьютеров и всей хранимой в них информации. Провозглашая этот День, Ассоциация намеревалась напомнить всем о необходимости защиты компьютерной информации, а также обратить внимание производителей и пользователей оборудования и программных средств на проблемы безопасности.
Этот год не случайно стал родоначальником праздника, именно в этот год была зафиксирована первая массовая эпидемия червя, получившего название по имени своего создателя — Морриса. Именно тогда специалисты задумались о необходимости комплексного подхода к обеспечению информационной безопасности. Цель у Роберта была чисто исследовательская: он хотел на опыте определить, насколько живуча будет его программа.
Из-за эпидемии, поразившей около шести тысяч узлов ARPANET, все схватились за голову. В институт Беркли со всей страны были приглашены лучшие специалисты по компьютерной безопасности того времени для нейтрализации последствий действия вируса. Анализ дизассемблированного кода программы не выявил ни логических бомб, ни каких-либо деструктивных функций. Ущерб от червя Морриса был оценён примерно в 100 миллионов долларов.
День защиты данных
День защиты данных (англ. Data Protection Day или Data Privacy Day) — международный день, который отмечают ежегодно 28 января. Целью Дня защиты данных является повышение осведомленности и пропаганда приватности и лучших способов защиты данных. Сейчас отмечается в США, Канаде и 47 странах-участницах Совета Европы.
Согласно историческим данным 28 января 1981 года Совет Европы открыл для подписания Конвенцию «О защите лиц в связи с автоматизированной обработкой персональных данных». В конвенцию вносятся поправки в процессе обновления, чтобы отражать новые вызовы, вызванные технологическим развитием.
Конвенция о киберпреступности (Будапештская конвенция) в 2001 году также призвана защищать целостность систем данных и, таким образом, конфиденциальность в киберпространстве. Также приватность и конфиденциальность данных защищается статьей 8 Европейской конвенции по правам человека.
Впервые Европейский день защиты данных был инициирован Советом Европы в 2007 году. Через два года, 26 января 2009 г., Палата представителей США единогласно приняла резолюцию HR 31, которая провозгласила 28 января Национальным днем приватности данных. 28 января 2009 года Сенат США выдал соответствующую резолюцию и также признавал День приватности данных в 2010 и 2011 годах.
День работника органов безопасности Российской Федерации
Отмечается ежегодно, 20 декабря профессиональный праздник сотрудников спец служб ФСБ, СВР, ФСО . Не является нерабочим днём в России.
В эпоху существования СССР этот праздник был хорошо известен как День чекиста. История его установления берет начало (7) 20 декабря 1917 года — именно тогда была образована ВЧК — Всероссийская чрезвычайная комиссия. Позднее ВЧК сменила множество названий — НКВД, ОГПУ, МГБ, КГБ, ФСБ.
День военного разведчика РФ
День военного разведчика — это профессиональный праздник российских военных, чья служба, так или иначе, связана с военной разведкой. Этот праздник отмечается в России ежегодно, 5 ноября.
Дата 5 ноября была выбрана не случайно: этот день можно по праву считать днём рождения Главного разведывательного управления Генерального штаба Вооруженных Сил Российской Федерации. Оно было создано в 1918 году, по приказу Реввоенсовета РСФСР, который утвердил штат Полевого штаба РВСР, в структуру которого входило регистрационное управление (РУПШКА) с функциями координации усилий разведорганов подразделений РККА и подготовки разведывательной информации для Полевого штаба Красной Армии.
На протяжении 40 лет ФСТЭК России решает важные задачи по защите информации и обеспечению национальной безопасности Российской Федерации.
Весомый вклад в реализацию государственной политики в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации в аппаратах органов государственной власти субъектов Российской Федерации, в территориальных органах федеральных органов исполнительной власти, органах местного самоуправления и организациях вносит Управление ФСТЭК России по Центральному федеральному округу.
В июне текущего года Управление ФСТЭК России по Центральному федеральному округу отметило 45-летие со дня образования войсковой части 96010 – специального радиотехнического центра Московского округа ПВО, который 22 мая 1974 г. вошел в состав Гостехкомиссии СССР, образованной 18 декабря 1973 г.
В округе сосредоточено более 50% предприятий оборонно-промышленного комплекса страны и свыше 30% научных и научно-исследовательских организаций, конструкторских бюро, головных предприятий корпораций, выполняющих работы по оборонной тематике. В округе представлены все направления оборонно-промышленного комплекса Российской Федерации.
Ежегодно в рамках контроля эффективности принимаемых мер по защите образцов вооружения и военной техники специалистами Управления проверяются более 15 организаций оборонно-промышленного комплекса, а также свыше 20 организаций в рамках контрольных мероприятий по технической защите информации. Сотрудники управления оказывают методическую помощь, дают рекомендации по устранению выявленных нарушений.
В рамках выполнения международных договоров специалисты Управления ежегодно принимают участие в работе около 100 иностранных инспекционных групп: по Договору по открытому небу, по Договору о сокращении и ограничении стратегических наступательных вооружений, по линии Организации по запрещению химического оружия.
В области радиоконтроля соблюдения установленного порядка передачи служебной информации при использовании открытых каналов радио-, радиорелейных, тропосферных, спутниковых и других линий и сетей радиосвязи, доступных для радиоразведки, специалисты Управления ежегодно анализируют более 500 тыс. переговоров.
На сегодняшний день в Центральном федеральном округе функционируют свыше тысячи лицензиатов по ПД ИТР и ТЗИ, 14 аттестационных центров, 28 испытательных лабораторий, 160 органов по аттестации.
Ежегодно специалистами Управления проводится более 50 специальных экспертиз организаций – соискателей лицензий ФСТЭК России, рассматриваются примерно 200 материалов лицензионных дел в области защиты государственной тайны, около тысячи материалов аттестационных испытаний объектов информатизации, оказывается методическая помощь.
Необходимо подчеркнуть, что на современном этапе деятельность всех структур ФСТЭК России позволяет эффективно проводить мероприятия по противодействию техническим разведкам и технической защите информации.
От себя лично и от сотрудников и ветеранов Управления ФСТЭК России по Центральному округу поздравляю всех, кто был связан с Гостехкомиссией СССР – Гостехкомиссией при Президенте Российской Федерации – Федеральной службой по техническому и экспортному контролю, со знаменательной датой и желаем крепкого здоровья, долгих лет жизни, дальнейших успехов в труде на благо нашего Отечества.
Руководитель Управления ФСТЭК России
по Центральному федеральному округу О. Райков
Коллектив «ИТ Энигма» поздравляет Федеральную службу по техническому и экспортному контролю с днем основания.
ФСТЭК России из года в год формирует повестку информационной безопасности в стране, благодаря чему совершенствуются средства защиты информации, повышается общий уровень информационной безопасности организаций и государственных структур. Сегодня ФСТЭК России по праву является центром осуществления межотраслевой координации и функционального регулирования деятельности по обеспечению защиты информации.
Выражаем благодарность за развитие сектора информационной безопасности, а также за деятельность по совершенствованию нормативной базы в области защиты информации. Поздравляя коллектив ФСТЭК России, мы убеждены, что и в дальнейшем его экспертный потенциал, накопленный опыт и комплексные знания будут направлены на достижение баланса интересов всех участников информационных отношений.
Искренне желаем ФСТЭК России сохранять и приумножать свою роль в штормовых условиях современного мира, быть надежной опорой государства в важном деле защиты информации и стоять на передовом рубеже обеспечения национальной безопасности страны.
Сотрудникам службы и их близким — доброго здоровья, счастья, благополучия, неиссякаемой энергии и новых успехов в работе!
18 декабря 1973 г. является днем основания Государственной технической комиссии СССР, так что вчера коллеги из ФСТЭКа отмечали 38 лет со дня образования службы.
Хочется пожелать всей службе эффективной работы и все-таки найти свое место в изменяющемся мире. Также хочется и напомнить, что вокруг много людей радеющих за будущее российской ИБ и готовых всячески способствовать ее развитию.
Предлагаю всем коллегам присоединиться к поздравлениям в комментариях.
Вам будет интересно
Предоставлю подробную консультацию
Предложу актуальное и наиболее выгодное решение Вашей проблемы.
3 комментария
Алексей:
Присоединяюсь, желаю ФСТЭК большей открытости во взаимодействии с ИБ-сообществом!
Не много желающих поздравить ФСТЭК…
Атаманов Г.А.:
Поздравлять уже поздно, тем не менее для справки. 18 декабря 1973 г. — день создания Гостехкомиссии, а у ФСТЭК день создания совпадает с днём ликвидации Гостехкомиссии. Это не буквоедство и не простая констатация фактов. Со сменой названия произошло и качественное изменение структуры. Другие условия, другие задачи, другие подходы, другие люди, а отсюда и другой уровень решения задач. Как сказали бы в Одессе: ФСТЭК и Гостехкомиссия — это две большие разницы! Поэтому 18 декабря поздравлять следует не ФСТЭК, а ветеранов Гостехкомиссии.
Добавить комментарий
На чтение 7 мин Просмотров 1.6к. Опубликовано 24/01/2023
Вчера был выложен проект Указа Президента «Об утверждении Положения о государственной системе защиты информации в Российской Федерации», о котором я упоминал уже более полугода назад и который может внести определенные коррективы в построение системы ИБ на многих предприятий в 2023-м году. В этой заметке я хотел бы тезисно подсветить то, что мне запомнилось в этом проекте больше всего. И хотя это пока проект и в него еще могут быть внесены коррективы, могу сказать, что на мой взгляд финальная версия будет не сильно отличаться от того, что выложено на regulations.
Содержание
- На кого распространяется?
- На что распространяется?
- Зачем понадобился Указ?
- А что КИИ, утечки по техническим каналам, криптография, гостайна и т.п.?
- Чем отличается от текущих НПА?
- В чем цель защиты информации по новому Указу?
- Кто рулит ИБ в организации?
- Что с оценкой соответствия требованиям Указа?
- Что дальше?
- Есть ли косяки?
- А что с ответственностью за неисполнение?
На кого распространяется?
Несмотря на название, которое намекает на то, что Указ касается только госорганов, на самом деле сфера его применения гораздо шире. По сути речь идет о второй попытке ФСТЭК замахнуться на Вильяма нашего, Шекспира все организации, обрабатывающие информацию, обладателем которой является государство. И даже если эта информация обрабатывается в коммерческой организации, но передается в рамках госзаказа или принадлежит государству, то будьте добры попасть под требования нового Указа с момента его вступления в силу.
Учитывая требования по сертификации средств защиты информации, аттестации объектов информатизации, наличия действующей техподдержки на средства защиты и т.п., для многих коммерческих компаний, тесно сотрудничающих с государством, новые требования станут сюрпризом, возможно, неприятным, так как выполнить все эти требования к какому-то облаку на базе K8 в полном соответствии с Agile, будет просто невозможно.
На что распространяется?
Как видно из предыдущего раздела, распространяется Указ на любой государственный информационный ресурс, независимо от того, где он обрабатывается — на стороне госоргана, госкорпорации или даже ИП или SMB, который решил заработать денег на оказании услуг для государства.
Зачем понадобился Указ?
Тут есть две версии — общепринятая и моя личная 🙂 Первая гласит — за последние десятилетия ФСТЭК, а до этого Гостехкомиссия, приняли очень много разных нормативных актов в области защиты информации и наступило (без пробела) время, когда наступила пора провести ревизию написанного и требуемого и по мере возможности синхронизировать все и актуализировать. Но так, чтобы не начинать революцию и не требовать невозможного.
Моя версия заключается в том, что после выхода 250-го Указа, в котором за ИБ неявно стало отвечать Минцифры и ФСБ, ФСТЭК почувствовала, что контроль уходит из рук и надо вновь подняться над приземленными вопросами защиты Linux, безопасности ЗОКИИ, безопасной разработки и т.п., и вступить в межведомственную игру под названием «кто главный». В реальности же правда, как обычно, где-то посередине. Хотя если вы посмотрите текст проекта Указа, Минцифры там не фигурирует от слова совсем.
А что КИИ, утечки по техническим каналам, криптография, гостайна и т.п.?
Ничего. Все остается как и было раньше; только в ряде случаях в проекте Указа стоит «заглушка», что защита по этим направлениям определяется Правительством и иными уполномоченными органами. То есть по сути речь идет о некоем расширении сферы регулирования и контроля ФСТЭ; без залезания на чужую поляну.
Чем отличается от текущих НПА?
Формально, чего-то совсем нового в проекте Указа нет. Все требования были ранее известны и опубликованы (лицензирование, аттестация, сертификация, устранение уязвимостей, оценка защищенности, взаимодействие с ГосСОПКА и т.п.); просто сейчас они все собраны в одном месте и синхронизированы по терминологии. Ну и расширен круг лиц, на которых требования теперь распространяются.
В чем цель защиты информации по новому Указу?
Как по мне, так тут незаметно произошла революция и регулятор впервые в документе такого уровня заговорил об ущербе, который и надо предотвращать. Учитывая, что в другом месте проекта говорится о необходимости определять недопустимые события, то это явно неслучайно. Второй целью является создание условий для формирования безопасной среды обработки информации, что тоже отличается от привычной истории с наложенной ИБ.
Кто рулит ИБ в организации?
Вновь повторяется идея из 250-го Указа о том, что за ИБ должен отвечать заместитель руководителя организации. К счастью ни слова об уровне квалификации и наличии высшего профессионального образования такого должностного лица. Но отсылка к 250-му Указу дается в нескольких местах, что вновь напоминает тезис, что проект Указа не пытается ничего менять или заставлять делать с нуля. Скорее речь идет о преемственности ранее принятых в иных НПА мер.
Что с оценкой соответствия требованиям Указа?
Тут ничего нового:
- для средств защиты — сертификация и наличие техподдержки
- для объектов информатизации — аттестация
- для организаций — готовящаяся методика оценки защищенности ФСТЭК, а также требуется ежегодный план мероприятий по ИБ.
Кроме того, говорится о независимой оценке защищенности с привлечением внешних организаций. Но порядок такой оценки еще должен быть установлен Правительством. И это может быть как Bug Bounty, так и обычный аудит по чеклистам, как непрерывный мониторинг, читай, анализ защищенности, так и использование методических документов регуляторов.
Что дальше?
Вообще, документ достаточно рамочный и просто намечает определенные направления, в которых будет развиваться государственная система защиты информации в новых условиях, в которых Россия оказалась с 24-го февраля 2022-го года. По многим пунктам явно прослеживается, что ФСТЭК планирует выпуск новых документов имени себя или через Правительство. Какими они будут, посмотрим.
Есть ли косяки?
Да, куда уж без них. Если отбросить в сторону тему, что пока не хватает ясности в части реализации многих неплохих идей, то общее замечание к проекту Указа — его «бумажность». Опять многие вещи можно сделать на бумаге и показать их как доказательство исполнения требований. А если так можно, то так и будут делать, в ущерб практической, результативной ИБ. Вот этот момент не доведен до ума, как мне кажется. Если сертификация средств защиты, то давайте добавим обязательную Bug Bounty для всех вендоров, превратив оценку соответствия в публичную и непрерывную историю. Если независимая оценка защищенности, то через Bug Bounty или пентесты с предсказуемым контролем качества и проверкой квалификации пентестеров. Если оценка ущерба, то по четкой процедуре, чтобы нельзя было на вопрос: «Какие у вас недопустимые события?» ответить: «Угрозы конфиденциальности, целостности и доступности». Если создание безопасной среды, то понятный чеклист, что входит в это понятие; с возможной градацией по уровне зрелости безопасности среды (сегментация на минимальном уровне, сетевой zero trust на третьем уровне, прикладной zero trust на пятом, максимальном уровне). Если речь о безопасности среды разработки, то вот четкая, детальная и практичная процедура оценки своей DevSecOps-практики, а не очень высокоуровневый ГОСТ по безопасной разработке.
А что с ответственностью за неисполнение?
А вот тут все как всегда 🙁 Ответственности как таковой нет. У нас вообще Указы Президента — очень странные нормативные правовые акты. Вроде и требуют что-то, но спросишь, что будет за невыполнение, и получишь ответ «ну пожурят вас немного». В худшем случае нагнут по статье 13.12 КоАП «Невыполнение обязательных мер защиты информации» со смешным штрафом в пару десятков тысяч рублей. Это не мотивация заниматься результативной ИБ для многих 🙁 Мне кажется, тут впору всем регуляторам задуматься и договориться. Если уж у нас управление государством все чаще носит характер ручного, через Указы Президента, то надо продумывать и ответственность за отказ их выполнять. Это первые две-три сотни организаций можно вызвать на ковер к Главнокомандующему и строго спросить за несоблюдение мер ИБ. Но что делать с остальными десятками тысяч, которые попадают под проект нового Указа? Вопросы-вопросы-вопросы….
Но в целом, картина с этим Указом получается интересная. Он должен встряхнуть немного отрасль и заставит многих заказчиков, привыкших скрывать свои косяки или валить все на других, повнимательнее относиться к своей реальной ИБ.