Академия Информационных Систем приняла участие в мероприятии «Hack the Lab» компании StoneSoft

Академия Информационных Систем приняла участие в мероприятии «Hack the Lab», состоявшемся 17-18 мая 2012 года в центральном офисе компании StoneSoft в городе Хельсинки.

Академия Информационных Систем является ведущим учебным центром в области информационной безопасности (ИБ), информационных технологий (ИТ) и имеет статус авторизованного учебного центра компании StoneSoft.

В рамках мероприятия «Hack the Lab» проводилась ролевая игра «Capture the Flag», все участники которой в режиме реального времени могли поработать с программным обеспечением StoneGate и на практике проверить основные его возможности по противодействию хакерским атакам.

Эксперты компании StoneSoft рассказали об обнаруженных ими новых угрозах и уязвимостях в компьютерных сетях, а также возможностях продуктов StoneGate по их нейтрализации. Также один из легендарных “white hat” специалистов компании StoneSoft провел презентацию по динамическим техникам обхода (AET) с использованием живых демонстраций на реальном оборудовании.

Все продемонстрированные на мероприятии техники и технологии применяются специалистами Академия Информационных Систем при проведении обучения по продуктам компании StoneSoft.

Академия Информационных Систем (АИС) проводит авторизованное обучение по всей линейке продуктов сетевой защиты StoneGate. Высококвалифицированные тренеры АИС проводят обучение на высоком уровне с использованием последних версий программного обеспечения StoneGate на современном высокотехнологичном серверном оборудовании. Слушатели отмечают высокий уровень не только самого обучения, но и общую позитивную атмосферу в АИС, внимательное отношение менеджеров, удобную и качественную столовую.

Проректор Академии Информационных Систем Игорь Хайров отметил, что процесс обучения по любым вендоровским решениям носит сугубо итерационных характер. Исключением не стало и обучение по продуктам StoneGate. Не смотря на достаточно длительный период сотрудничества наших компаний на курсах не обходится без некоторых коллизий. Любое отклонение от планомерного выполнения лабораторных работ рассматривается преподавателями и слушателями ни как проблема, а как возможность более глубоко разобраться в вопросе и оптимально находить решение в кратчайшие сроки.

Ключевыми преимуществами продуктов компании StoneSoft, которые выгодно выделяют их среди аналогичных продуктов других производителей, является большое количество внедрений, наличие сертификатов соответствия, таких как (одни из последних):

- Сертификат соответствия (регистрационный номер СФ/124-1803 от 27.03.2012), удостоверяющий, что средство криптографической защиты информации (СКЗИ) «Система обеспечения безопасных соединений «StoneGate SSL VPN» версия 1.5» соответствует требованиям ФСБ России к СКЗИ класса КС1 и класса КС2 и может использоваться для криптографической защиты информации (шифрование и имитозащита IP-трафика), не содержащей сведений, составляющих государственную тайну.

- Завершается сертификация для СКЗИ StoneGate VPN (IPSec VPN шлюз) по классам защиты КС1/КС2 (ожидаемый срок получения положительного заключения – 2-й квартал 2012 года).

Также компания StoneSoft информирует о том, что она продолжает обеспечивать координацию деятельности в области информирования других компаний-производителей средств сетевой безопасности и все мировое сообщество о новом классе угроз - техниках обхода, а именно их «динамических» разновидностях – Advanced Evasion Techniques (АЕТ). На текущий момент, однако, не удается поднять уровень конкурентных решений до приемлемого в части возможностей детектирования и блокирования упомянутых угроз. Благодаря принципиально иному подходу к проверке сетевого трафика, в решениях компании StoneSoft, они позволяют обеспечить непревзойденный уровень защиты и не только формальное, но и фактическое соответствие требованиям таких стандартов и руководящих документов, как PCI DSS, СТО БР ИБСС, 152-ФЗ и др.

Академия Информационных Систем и компания StoneSoft высказали твердое намерение и в дальнейшем развивать взаимные отношения на благо ИТ и ИБ индустрии.

Как правильно оценить риски нарушения информационной безопасности в соответствии с рекомендациями в области стандартизации Банка России?

06 апреля 2012 года в Академии Информационных Систем успешно завершился первый курс «Оценка рисков нарушения информационной безопасности всоответствии с рекомендациями в области стандартизации Банка России».

Правильная и адекватная оценка рисков нарушения информационной безопасности (ИБ) является ключевым элементом при построении эффективной системы управления информационной безопасности в любой кредитно-финансовой организации. Оценка рисков нарушения ИБ является составной частью системы менеджмента ИБ (СМИБ) организации банковской системы (БС) РФ. Банк России в 2009 году выпустил соответствующие рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности», которые введены в действие 01.01.2010 года.

На обучении присутствовали как представители банковского сообщества, так и компаний интеграторов, которые получили ответы на все свои вопросы в части рекомендуемых способов и порядка проведения оценки рисков нарушения информационной безопасности организации банковской системы РФ. Материалы курса применимы в организациях БС РФ, проводящих оценку рисков нарушения ИБ в рамках построения/совершенствования системы обеспечения информационной безопасности (СОИБ) в соответствии с требованиями СТО БР ИББС-1.0.

Курс проводили высококвалифицированные тренеры Академии Информационных Систем, являющиеся сертифицированными тренерами и аудиторами по Стандарту Банка России, а также действующими ведущими аудиторами Британского института стандартов (BSI) по ISО27001.

Все слушатели получили Свидетельства АИС.

Проректор АИС Игорь Хайров отметил, что высокий уровень обучения в АИС достигается тем, что обучение проводят высококвалифицированные тренеры с большим практическим опытом и подтверждается тем фактом, что АИС является единственным учебным центром, официально входящим в НП АБИСС как учебное заведение и имеющим право проводить обучение и сертификацию внедренцев и аудиторов по СТО БР ИББС-1.0, а также АИС является единственным в России и странах СНГ ассоциированным партнером Британского института стандартов (BSI) по обучению международным системам управления (ISO27001, BS25999, ISO20000 и т.п.).

Академия Информационных Систем совместно с Московским отделением ISACA 3 апреля 2012 года успешно провели открытый семинар на тему «Автоматизация Службы внутреннего контроля организации»

Академия Информационных Систем совместно с Московским отделением ISACA, 3 апреля 2012 года провела открытый семинар на актуальную тему «Автоматизация Службы внутреннего контроля организации».

Мероприятие посетили более 60 человек. Практически все участники имеют международные сертификации, такие как CISA и CISM.

Каждому участнику были вручены Свидетельства Академии Информационных Систем, которые подтверждают получение 3 (трех часов) CPE.

На семинаре с докладом выступили Президент Московского отделения ISACA Алексей Шиндин с новостями Московского отделения ISACA и ISACA International, Вице-президент Московского отделения ISACA Андрей Дроздов с анонсом выхода новой редакции COBIT 5.0.  Кроме этого, на семинаре был единогласно утвержден Устав Московского отделения ISACA и ряд других ключевых вопросов.

С основным докладом выступил координатор по связям с Институтом Внутренних Аудиторов Московского отделения ISACA Павел Брянцев, который поделился своим опытом построения эффективной Службы внутреннего контроля (СВК) в компании Северсталь. В докладе Павла были освещены следующие темы:

– Управление документами и информацией. Настройка свойств и взаимосвязь основных объектов СВК – бизнес-процессов, рисков, статей финансовой отчетности, контрольных процедур;

– Коммуникация и сотрудничество. Маршруты обработки документов СВК. Обеспечение своевременного уведомления сотрудников, занятых в процессе, контроль версий документов. Совершенствование системы отношений различных структурных и территориальных единиц компании и повышение эффективности сотрудничества.

– Контроль и отчетность. Обеспечение информацией для осуществления мониторинга за ходом документирования процедур, оценки эффективности СВК.

Президент Московского отделения ISACA Алексей Шиндин отметил высокую активность членов отделения, проявленную как в количестве участников встречи, так и в качестве обсуждаемых на встрече вопросов и выразил твердые намерения отделения в проведении встреч на регулярной основе, не реже, чем раз в три месяца.

По словам Проректора АИС Игоря Хайрова, семинар собрал продвинутую часть сообщества действующих и потенциальных аудиторов информационных систем и прошел очень продуктивно.  Помимо официальной деловой части у участников была возможность познакомиться и пообщаться в неофициальной обстановке на фуршете.

   Руководство АИС и Московского отделения ISACA планируют и в дальнейшем проводить аналогичные мероприятия по актуальным темам ИТ и ИБ.

А что Вы знаете об информационной безопасности?

Курс: Оценка рисков нарушения информационной безопасности в соответствии с рекомендациями в области стандартизации Банка России

   В Академии Информационных Систем запущен новый курс, который рассчитан на специалистов, представляющих организации БС РФ, проводящих оценку рисков нарушения ИБ в рамках построения/совершенствования системы обеспечения информационной безопасности (СОИБ) в соответствии с требованиями СТО БР ИББС-1.0. В курсе рассматриваются рекомендуемые способы и порядок проведения оценки рисков нарушения ИБ организации БС РФ, являющейся составной частью системы менеджмента ИБ (СМИБ) организации БС РФ.

Материалы курса применимы в организациях БС РФ, проводящих оценку рисков нарушения ИБ в рамках построения/совершенствования системы обеспечения информационной безопасности (СОИБ) в соответствии с требованиями СТО БР ИББС-1.0.

   Цель курса: Обеспечение устойчивого понимания слушателями способов и порядка проведения оценки рисков нарушения ИБ организации БС РФ.

   Продолжительность – 2 дня.

   Более подробную информацию можно получить по ссылке - http://infosystems.ru/services/informacionnaya/avtorizovannye_kursy/standart_banka__180/3270.html

Академия Информационных Систем совместно с Московским отделением ISACA 3 апреля 2012 года проводит открытый круглый стол на тему “Автоматизация Службы внутреннего контроля организации”

   Академия Информационных Систем (Академия) и Московское отделение ISACA 3 апреля 2012 года проводит открытый круглый стол на тему “Автоматизация Службы внутреннего контроля (СВК) организации”.

   По теме круглого стола с докладом выступит Вице-президент по информационно-технической безопасности ТНК-BP, координатор по связям с Институтом Внутренних Аудиторов Московского отделения ISACA Павел Брянцев.

   Павел расскажет об опыте построения эффективной Службы внутреннего контроля и, в частности, осветит следующие темы:

   · Управление документами и информацией. Настройка свойств и взаимосвязь основных объектов СВК — бизнес-процессов, рисков, статей финансовой отчетности, контрольных процедур.

·           - Коммуникация и сотрудничество. Маршруты обработки документов СВК.  Обеспечение своевременного уведомления сотрудников, занятых в процессе, контроль версий документов.  Совершенствование системы отношений различных структурных и территориальных единиц компании и повышение эффективности сотрудничества.

·     - Контроль и отчетность. Обеспечение информацией для осуществления мониторинга за ходом документирования процедур, оценки эффективности СВК.

   Кроме этого, в рамках семинара будут озвучены последние актуальные новости Московского отделения ISACA и ISACA International, в частности анонс выхода новой редакции COBIT 5.0. На круглом столе выступят Президент Московского отделения ISACA Алексей Шиндин, Вице-президент Московского отделения ISACA Андрей Дроздов.

   Участникам семинара выдается Свидетельство АИС. Участие в семинаре учитывается при начислении CPE, необходимых, в частности, для поддержания сертификатов ISACA.

   Участие в круглом столе бесплатное по обязательной предварительной регистрации.

   Начало круглого стола: 18:30 по адресу г.Москва, ул.Первомайская, 126.

   Для получения дополнительной информации и регистрации на семинар просьба обращаться по следующим контактам: Академия Информационных Систем, Карташова Ольга, (495) 231-3049, security@infosystem.ru, www.infosystems.ru

Академия Информационных Систем совместно с MIS Training Instituteи Московским отделением ISACAзапускает практические тренинги по оценке рисков, ИТ-аудиту и корпоративному управлению ИТ

Академия Информационных Систем (Академия) и Московское отделение ISACA сообщает о запуске партнерской программы с MIS Training Institute по совместному проведению практических тренингов по оценке рисков, ИТ-аудиту и корпоративному управлению информационными технологиями (ИТ).

В качестве пилотных тренингов предлагаются:

1. «Риск-ориентированный подход при проведении ИТ-аудита»

ИТ-аудит позволяет получить наиболее полную и объективную оценку информационных ресурсов компании, идентифицировать имеющиеся проблемы, разработать наиболее эффективные контрмеры. В рамках 4-х дневного курса специалисты обучатся методам сбора данных, анализа и оценки рисков, оценки соответствия корпоративной документации требованиям нормативных документов, стандартов и регуляторов, а также, с принципами организации процесса аудита и подготовки отчетных документов.

В рамках курса рассматриваются COSO, COBIT, ISO 27002 и другие стандарты/методологии, применяемые при проведении ИТ-аудита.

Тренинг направлен на руководителей служб и подразделений ИТ, ИТ-аудиторов, руководителей подразделений защиты информации, специалистов, ответственных за разработку нормативно-методических и организационно-распорядительных документов по вопросам защиты информации.

2. «Внедрение системы корпоративного управления ИТ с помощью CobIT, ISO27001&ITIL».

Сборник рекомендаций ITILсодержит лучшие практики по предоставлению ИТ сервисов.

ISO 27001 – международный стандарт по управлению Информационной Безопасностьюв компании.

CobIT – методика внедрения и аудита системы корпоративного управления ИТ.

Тренинг направлен на руководителей служб и подразделений ИТ, ИТ-аудиторов, представителей высшего руководства, ответственных за внедрение и аудит системы корпоративного управления ИТ.

Тренинги проводятся экспертами MIS TrainingI nstituteна английском языке с переводом на русский язык.

Предположительные даты обучения – май-июнь 2012 года.С лушателям выдается сертификат MIS с указанием количества набранных учетных часов (CPE), необходимых, в частности, для поддержания сертификатов ISACA.

Более подробную информацию по тренингам MIS можно получить по ссылке - http://www.mistieurope.com/. Вы также можете сообщить Проректору Академии информационных систем Игорю Хайрову, какие еще тренинги MIS интересуют.

Для получения дополнительной информации просьба обращаться по следующим контактам:

Академия Информационных Систем,

Хайров Игорь,

8(495) 231-3049

security@infosystem.ru

www.infosystems.ru

Russian Open Source Summit 2012 - Очередное мероприятие, которое становится культовым

   12–13 апреля 2012 г. в Москве состоится Russian Open Source Summit 2012, посвященный развитию свободного программного обеспечения (СПО) в России. Организаторами саммита выступают Ассоциация разработчиков свободного программного обеспечения (РАСПО), ведущий ИТ-еженедельник PC Week/RE и «Академия Информационных Систем».

   Участие в конференции бесплатное при условии предварительной регистрации на сайте.

Организаторы с удовольствием выслушают все ваши предложения по формированию программы саммита и участию в конференции. Все вопросы отправляйте по адресу conf@infosystem.ru.

Контактный телефон/факс:   (+7 495) 231-30-49

   Russian Open Source Summit является ключевым мероприятием на российском рынке по тематике СПО. В фокусе рассматриваемых вопросов: реализация плана по переходу государственных органов власти и бюджетных учреждений на СПО, создание Национальной программной платформы (НПП), практическое использование СПО в различных отраслях экономики и государственном управлении, разработка продуктов на базе свободного ПО для малого и среднего бизнеса, сертифицированные и защищенные программные решения на базе открытого кода, обучение работе с открытым программным обеспечением.

   За время, прошедшее с проведения прошлогоднего саммита ROSS-2011, отечественная отрасль СПО шагнула далеко вперед. В частности, были реализованы крупные проекты по внедрению СПО-решений в государственном и коммерческом секторе, а также были разработаны и приняты государственной комиссией прототипы базовых программно-технических компонент НПП. Вопросы создания Национальной программной платформы сегодня очень интересуют сообщество российских разработчиков и пользователей СПО, поэтому данная тема станет одной из ключевых в повестке дня нынешнего саммита.

   Участие в форуме поможет федеральным органам исполнительной власти (ФОИВ) определить стратегию своего развития в области информационных технологий с учетом необходимости перехода на СПО в соответствии с распоряжениями правительства (2299-рот 17.12.2010) и программой «Развития информационного общества (2011–2015)».

   Предложения о поддержке саммита и приглашения выступить с докладами направлены в:

·                     Минкомсвязи РФ;

·                     Минэкономразвития РФ;

·                     Минобрнауки РФ;

·                     Минздравсоцразвития РФ;

·                     Департамент информационных технологий и связи Правительства РФ;

·                     Комиссию по внедрению ИТ в государственных органах;

·                     ФСБ России;

·                     другие федеральные ведомства, активно внедряющие или собирающиеся внедрять СПО-решения;

·                     ИСП РАН;

·                     ИПИ РАН;

·                     ОАО ВНИИНС;

·                     ООО НЦПР;

·                     Концерн «Сириус»;

·                     ООО «Пингвин Софт»;

·                     Microsoft;

·                     Red Hat;

·                     IBM;

·                     Google.

   Также к участию в работе саммите приглашаются ведущие отраслевые ассоциации (АП КИТ, РУССОФТ, Отечественный Софт), бюджетные и коммерческие предприятия-заказчики, разработчики ПО и информационных систем, консультанты, интеграторы, представители научно-исследовательских институтов, аналитики, СМИ.

Интерес организаций к ИБ усиливается с каждым годом

В PC Week опубликована статья Ректора Академии Информационных Систем Малинина Ю.В. об одном из самых значимых мероприятий в области ИБ, о Ежегодной Всероссийской конференции “Информационная безопасность. Региональные аспекты. ИнфоБЕРЕГ”, которая в нынешнем году проводится уже десятый раз.

Полный текст статьи по ссылке - http://www.pcweek.ru/security/article/detail.php?ID=133077

Подготовка к сертификациям CISA и CISM

   Академия Информационных Систем (АИС) при поддержке Российского отделения Ассоциации ISACA проводит официальную подготовку к квалификационным экзаменам на получение сертификатов CISA и CISM.

   Сертификации CISA и CISM, это признанные «де-факто» во все мире профессиональные сертификации.

   CISA (Сертификат Аудитора Информационных Систем) является основной сертификацией Международной Ассоциации Аудиторов Информационных Систем (ISACA). С 1978 года эта сертификация является мерилом передового опыта в области аудита ИТ и безопасности. С момента ее создания более 60 тысяч специалистов во всем мире прошли эту сертификацию, и она стала всемирно признанной и принятой "де-факто", как символ достижения высокого профессионального уровня в этой области.

   CISM (Сертификат Менеджера Информационной Безопасности) ориентирован как на опытных руководителей в области ИБ, так и на тех, в чьи должностные обязанности входят функции ее обеспечения. CISM предназначен для обеспечения высшего руководства организации уверенностью в том, что те, кто обладает этой сертификацией, имеют необходимые знания, опыт и способности для эффективного управления ИБ. Это бизнес-ориентированная сертификация фокусируется на управлении информационными рисками при решении вопросов общего управления организацией, создания дизайна контролей и технической безопасности на концептуальном уровне. Хотя её основное внимание посвящено обеспечению безопасности, все профессионалы ИТ с опытом безопасности, несомненно, получат пользу от сертификации CISM.

   Подготовительные курсы к экзаменам CISA и CISM проводятся в течение двух учебных дней (16 часов). Претендентам на сертификацию дается возможность сдать тестовый экзамен и проверить свой уровень готовности к официальному сертификационному тестированию.

   Общий объем материалов, который необходимо освоить претендентам на сертификацию включает 5 разделов в соответствии с требованиями экзамена.

   Подготовку проводят сертифицированные ISACA тренеры с большим практическим опытом в области аудита ИТ и безопасности.

   Для обеспечения максимальной эффективности подготовки к экзаменам подготовительные курсы проводятся не ранее чем за один календарный месяц до начала официального тестирования. Официальное тестирование проводится два раза в год в строго фиксированные даты (обычно июнь и декабрь) и время во всем мире.

   Дата ближайшего официального тестирования: 10 декабря 2011 года.

   Даты проведения подготовительных курсов и тестового экзамена:

   - подготовка к экзамену CISA – 12-13 ноября 2011 года,

   - подготовка к экзамену CISM – 19-20 ноября 2011 года.

   Даты проведения тестовых экзаменов:

   - CISA – 19 ноября 2011 года,

   - CISM – 26 ноября 2011 года.

   Часы подготовительного тренинга также зачисляются в качестве CPE (Continuous professional education).

   Требования для получения сертификаций CISA и CISM:

   1. Успешная сдача сертификационных экзаменов,

   2. Подтвержденный практический опыт проведения ИТ и/или ИБ аудитов не менее 5 лет. В качестве 2 лет практического опыта может быть засчитано профессиональное обучение в области ИТ и ИБ.

   Стоимость участия в подготовительном курсе – 30000 руб. В указанную стоимость входит само обучение, комплект учебных материалов, CD-диск с типовыми вопросами сертификационного тестирования.

Проект приказа ФСБ России "Об утверждении Административного регламента ФСБ России по ПДн"

Проект приказа ФСБ России "Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных" - http://pd.rsoc.ru/law/legislation-projects/.

Новое в законодательстве в области защиты информации. Разъяснения и комментарии

   Первая половина 2011 года выдалась очень насыщенной на законотворческие инициативы в области защиты информации. Появились такие знаковые законы как:

   - Существенные изменения в Федеральном законе № 152-ФЗ «О персональных данных»,

   - Федеральный закон № 63-ФЗ «Об электронной подписи»,

   - Федеральный закон № 99-ФЗ «О лицензировании отдельных видов деятельности»,

   - Федеральный закон № 161-ФЗ «О национальной платежной системе»,

   - Федеральный закон № 225-ФЗ «Об обязательном страховании гражданской ответственности владельца опасного объекта за причинение вреда в результате аварии на опасном объекте».

   Каждый из этих законов требует тщательной проработки и осмысления. Еще далеко не все из них вступили в полную силу и не ко всем разработаны полноценные подзаконные акты. Все они взаимосвязаны между собой и за их не выполнение предусмотрена ответственность, вплоть до уголовной. Также необходимо отметить, что некоторые из них кардинально отличаются от предыдущих версий. Как можно разобраться во всем этом многообразии новых законов?

   Академия Информационных Систем запускает цикл однодневных практических семинаров, целью которых является разъяснение основных положений новых законов. Каждый участник семинаров сможет принять участие в активной дискуссии по актуальным вопросам.

   Семинары проводят ведущие эксперты Академии Информационных Систем, имеющие большой практический опыт и такие сертификации, как CISA, CISM, QSA Auditor, Lead Auditor 27001, Аудитор СТО БР ИББС и т.п.

Темы семинаров:

1. Новые правила при обработке и защите персональных данных. Что изменилось в законодательстве?

2. Как оптимально подготовиться к проверкам по персональным данным? Практический опыт.

3. Практика реализации требований PCI DSS.

4. Проведение внутренних проверок (самодиагностика) законности обработки персональных данных.

5. Построение бизнес-ориентированной архитектуры мультисервисных сетей (SBA).

6. Использование шифровальных (криптографических) средств для защиты информации в информационных системах.

7. Медицинское учреждение. Что делать с типовыми ЛПУ после 01.07.2011 года?

8. Реализация требований к юридически значимому электронному документообороту с учетом новых требований законодательства РФ (Федеральные законы № 63-ФЗ, № 152-ФЗ, № 99-ФЗ).

9. Аккредитация удостоверяющего центра. Риски от постановки задачи до реализации.

10. Особенности получения и продления лицензий на отдельные виды деятельности в области защиты информации. Что нового в законодательстве?

11. Национальные платежные системы и действующее законодательство в области защиты информации – «Гордиев узел».

12. Моментальные платежи в Национальной платежной системе. Особенности.

13. Дистанционное банковское обслуживание - платежные системы или электронный документооборот?

14. Оценка операционного риска по СТО БР ИББС и 242-П.

15. Обеспечение безопасности систем управления ТЭК и операторов связи.

16. Обязательное страхование гражданской ответственности владельца потенциально опасного объекта.

   Указанные семинары будут проводиться последовательно начиная с самых востребованных тем. Для определения рейтинга популярности семинаров предлагаем вам выбрать и отметить не более пяти тем, которые вы считаете наиболее актуальными и нуждающимися в разъяснении.

   Опрос проводится до 31 августа 2011 года в верхней части настоящего блога. После подведения итогов будет составлено расписание семинаров до конца 2011 года.

   Условия участия и точное расписание разъяснительных семинаров будут опубликованы на сайте Академии Информационных Систем до 06 сентября 2011 года.

   После каждого семинара всем участникам будут вручаться Свидетельства Академии Информационных Систем.

   Прими участие в голосовании, выбери свою тему!

   Контактная информация для предварительной регистрации на семинары:

Менеджер отдела ИБ – Карташова Ольга,

Тел. 8(495)231-3049,

security@infosystem.ru

Еще одно образование (тех.совет) по предоставлению услуг в области защиты ПДн?

   По сообщениям Ведомостей  Роскомнадзор и Ассоциацию дистанционной торговли создают технический совет, который расскажет интернет-магазинам, как защищать персональные данные. Это будет коллегиальный орган, разрабатывающий для интернет-магазинов рекомендации по защите персональных данных пользователей. Магазинам, которые последуют этим рекомендациям, будет проще пройти добровольную сертификацию, которую ассоциация и привлеченные эксперты (их список уточняется) обещают начать осенью 2011 г.

   Как заявляется - при выдаче сертификата эксперты будут оценивать условия хранения персональных данных, списки сотрудников, имеющих доступ к ним, софт, который использует интернет-магазин, и др.

В связи со всем этим возникает ряд вопросов:

1. О какой сертификации магазинов идет речь?

2. Как эксперты будут оценивать условия хранения персональных данных, списки сотрудников и т.п.?

3. Кто этих экспертов пустит что-то оценивать и на каком основании?

Что за собой таят новые требования по защите персональных данных?

   Вокруг принятия поправок в Федеральный закон № 152-ФЗ «О персональных данных» за последние несколько недель возникло очень много серьезных баталий. Законодатели очень оперативно за вторым чтением приняли поправки и в третьем чтении. Также не заставило себя долго ждать положительное решение Совета Федерации. В тот, достаточно короткий временной период между решением Совета Федерации и подписью Президента РФ на законопроекте, во многих интернет-СМИ и блогах экспертов в области информационной безопасности (ИБ) было опубликовано, так называемое, открытое «письмо пяти» Президенту РФ с обоснованными последствий его принятия и просьбой отправить на доработку. По мнению большинства экспертов, требования в части обеспечения безопасности персональных данных (ПДн) не обоснованно завышены, что требует от операторов значительных материальных затрат и что все это неизбежно приведет к росту инфляционных процессов в стране. Также авторы открытого письма напоминали, что основным предназначением закона является защита конституционных прав и свобод субъектов ПДн, но никак не на дополнительное обременение операторов ПДн. 

   Помимо данного «письма пяти» свое открытое письмо от имени банковского сообщества с просьбой вернуть законопроект на доработку направили эксперты Ассоциации Российских Банков. Особую озабоченность вызывало исключение из законопроекта возможности применения отраслевых моделей регулирования. 

   Несмотря на все старания сообщества специалистов в области ИБ донести до Президента РФ свои опасения, законопроект был им подписан 26.07.2011г. и официально опубликован 27.07.2011г. 

   Теперь предстоит большая и кропотливая работа по разработке новых подзаконных актов и нормативных документов. К данной работе активно подключилось сообщество специалистов ИБ.

   Каким бы «тяжелым» не казался закон, он касается абсолютно всех и его необходимо исполнять. 

   В связи с принятыми поправками в законодательстве в Академии Информационных Систем был полностью переработан курс повышения квалификации«Комплексная защита персональных данных в ИСПДн». Эксперты Академии подробно расскажут о тех изменениях, которые появились в законе и поделятся опытом, как лучше и оптимальнее проводить работы по приведению в соответствие ИСПДн компаний.

Оператор обязан назначить лицо, ответственное за организацию обработки ПДн

   В законе о ПДн появилась достаточно интересная статья 22.1 «Лица, ответственные за организацию обработки персональных данных в организациях».

   В прошлой редакции закона оператор мог (но не был обязан) назначать лицо, ответственное за защиту ПДн. В нынешней редакции имеем:

«1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.

2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему.

3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона.

4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов».

   Таким образом, получается, что оператор фактически обязан назначить лицо, ответственное за организацию обработки ПДн. При этом, данное лицо подчиняется непосредственно исполнительному органу оператора и занимается фактически только контролем исполнения законодательства, повышением осведомленности сотрудников оператора и взаимодействовать с субъектами при их обращении к оператору.

   На кого будет возложена данная функция? Первое, что приходит в голову, так это сотрудник кадровой службы. Так что, придется кадровикам заниматься повышением осведомленности сотрудников своей организации и отбиваться от запросов субъектов. Естественно, ни о каких дополнительных вакансиях, особенно в гос.организациях, речи быть не может.