*?*Клиенты системно значимых банков смогут подавать заявления в МВД о мошенничестве через приложение кредитной организации. Об этом говорится в проекте положения ЦБ РФ об обязательных требованиях к защите информации российскими банками и филиалами иностранных кредитных организаций для противодействия операциям без согласия клиента (ОБС).

«Коммерсант» узнал у экспертов отрасли, как это нововведение повлияет на банки и их клиентов.

? Александр Моисеев, наш ведущий консультант по ИБ, в комментарии изданию отметил, что у клиентов появится дополнительный канал оперативного взаимодействия с кредитной организацией по ОБС, для чего системно значимым банкам потребуется доработать функциональность своих мобильных приложений.

Сами банки при этом должны будут при каждом поступившем заявлении от клиента фиксировать набор параметров и метаданных финансовых операций, в частности счета, реквизиты электронных кошельков, номера телефонов. В совокупности эти данные позволят формировать базы данных (фиды) Банка России и МВД, уменьшить время реагирования на ОБС и вывод денег мошенниками.

?В чем плюсы и минусы, а также каковы риски этого изменения Банка России? Читайте в статье «Коммерсант» с комментарием нашего эксперта.

?tg_AC

⚡️Презентация доклада Никиты Козина, консультанта по ИБ AKTIV.CОNSULTING, на тему «Как эффективно работать маркетологом и не нарушать закон?» на конференции Guardant Day в Москве.

?tg_AC

⚡️Презентация доклада Анастасии Харыбиной, руководителя AKTIV.CОNSULTING и председателя Ассоциации АБИСС, на тему «Аудит информационной безопасности как инструмент подтверждения уровня надежности электронной подписи» на PKI Форуме 2024.

?tg_AC

?**Сегодня хотим познакомить вас ближе с героем нашего свежего выпуска подкаста «Безопасный выход», который посвящен управлению рисками ИБ.

Им стал Александр Кондратенко,** заместитель директора департамента информационной безопасности, руководитель управления рисков и процессов ИБ и Agile-команды Росбанка.

Вот несколько интересных фактов об эксперте:

➡️имеет более чем 10-летний опыт работы в сферах ИТ и ИБ, в частности, в таких корпорациях, как Western Union, Airbus, Societe Generale;

➡️является магистром информационных технологий (РГТУ им Циолковского, Бауманка, НИУ ВШЭ);

➡️с 2017 года занимает позицию заместителя директора ИБ-департамента в Росбанке, где курирует формирование стратегии ИБ, управление рисками, развитие процессов ИБ и автоматизацию в GRC, комплаенс и методологию, повышение киберграмотности, а также развитие Гильдии SecChampions;

➡️имеет сертификации CISM, CCNA, MCSA, ITIL;

➡️выступает в качестве спикера в большом количестве экспертных сообществ и форумов (Код ИБ, Уральский форум, Киберкурс ЦБ, Positive Hack Days 2023);

➡️обладает более чем 5-летним опытом преподавания;

➡️ценит хорошее вино.

В подкасте Александр поделился личным опытом, с чего в Росбанке начинался процесс управления рисками, как он менялся и автоматизировался, почему задумались о создании собственной SGRC и какие преимущества для ИБ дает управление рисками. #подкаст

*?YouTube
?VK Видео
?***Podster

?С 25 июля банки должны приостанавливать денежные переводы по подозрительным реквизитам из базы ЦБ в целях борьбы с мошенниками. Однако в ходе анализа данной базы были обнаружены сведения нескольких десятков легальных торговых предприятий.

Банки обращают внимание, что в скором времени осуществление операций в адрес указанных получателей приведет к нарушению требований законодательства. А это, в свою очередь, станет причиной колоссальных убытков данных организаций и негативных социальных последствий.

❗Для решения проблемы банки предлагают внести изменения в правила формирования базы данных ЦБ, а также разрешить осуществлять переводы денежных средств по реквизитам из этой базы в случае соблюдения одного или нескольких дополнительных критериев.

?tg_AC

РБК

Банки нашли данные легальных магазинов в базе подозрительных счетов от ЦБ

С 25 июля для борьбы с мошенниками банки должны приостанавливать денежные переводы по подозрительным реквизитам из базы ЦБ. Однако в базе оказались реквизиты легальных розничных сетей и транспортных

?Что повлечет за собой вступление в силу Правил перехода субъектов КИИ на преимущественное применение доверенных ПАК?

С 1 сентября 2024 года вступают в силу Правила перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ.

В данных Правилах приведены определения ПАК и доверенного ПАК, а также описываются критерии признания ПАК доверенным. Вот некоторые из них:

✅наличие сведений о ПАК в едином реестре российской радиоэлектронной продукции;

✅соответствие требованиям к ПО, утвержденным Постановлением Правительства РФ от 22 августа 2022 года № 1478;

✅наличие соответствующих сертификатов ФСТЭК России и/или ФСБ России, если ПАК реализует функции защиты информации.

Под определение ПАК из настоящих Правил попадают любые коммутаторы и маршрутизаторы, входящие в состав значимых объектов КИИ.

Так что же поменяется, когда данные Правила вступят в силу?

⏩ С 1 сентября 2024 года нельзя будет использовать на ЗО КИИ те ПАК, которые приобретены после 01.09.2024 г. и не являются доверенными.
Исключением будут случаи отсутствия аналогов доверенных ПАК, произведенных в России (подтверждение отсутствия аналогов — отдельное соответствующее заключение Минпромторга).

Т.о. при проектировании нового ЗО КИИ будет необходимо использовать только доверенные ПАК, иначе это будет считаться нарушением.

⏩ До 1 сентября этого года уполномоченные органы (в числе которых Минздрав, Минобрнауки, Минтранс, Минцифры, Минэнерго, Минпромторг, Минфин, Росреестр, Росатом, Роскосмос, Банк России) должны разработать и утвердить планы организации перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗО КИИ в соответствующих сферах деятельности.

На основании планов уполномоченных органов субъект КИИ до 1 января 2025 года составляет свой внутренний план перехода. Согласно данному документу будет необходимо осуществить переход на преимущественное применение доверенных ПАК в срок до 1 января 2030 года, а также предусмотреть целевое значение доли доверенных ПАК в общем количестве ПАК на ЗО КИИ по состоянию на 31 декабря 2029 года не менее 100 %.

❕Важно учитывать, что субъекты КИИ должны будут предоставлять ежегодный отчет в соответствующее ведомство о реализации своего плана.

?tg_AC

⚡️Что учесть при выстраивании процесса управления рисками ИБ в организации, и на ком лежит ответственность?

Обсудили в новом выпуске подкаста «Безопасный выход» с Александром Кондратенко, заместителем директора департамента информационной безопасности, руководителем управления рисков и процессов ИБ и Agile-команды Росбанка.

Смотрите выпуск и вы узнаете:

• Зачем службе ИБ управлять рисками, и какие преимущества это дает
• Могут ли компетенции по управлению рисками жить в ИБ, и как выстроить диалог со смежными подразделениями
• Как эффективно выстроить и автоматизировать процессы управления рисками
• Из чего состоит качественный риск-анализ и какие вопросы он позволяет решать
• Где взять аналитику для построения моделей при риск-анализе, и может ли организация опираться только на свой опыт в данном вопросе
*?YouTube
?VK Видео
?***Podster

Делитесь своими впечатлениями в комментариях под видео! #подкаст

?История «права на забвение» в России и в мире.

Вчера мы рассказали о новом Федеральном законе от 22.06.2024 № 158-ФЗ, распространяющем на всех операторов поисковых систем требование обеспечивать в интернете «право на забвение». А когда впервые заговорили о таком «праве»?

➡️Отправной точкой мирового законодательного формулирования «права на забвение» стало судебное дело 2014 года, в котором гражданин Испании Марио Костеха Гонсалес потребовал от Google удалить из поисковой выдачи сведения о его долгах по неуплате налогов.

Указанная информация была опубликована интернет-изданием La Vanguardia в 1998 году и не была актуальной – все задолженности испанец давно погасил. Дело дошло до Европейского суда, который решил признать поисковые системы полноценными обработчиками ПДн и постановил удалить ссылки на статью.

Как «право на забвение» действует в РФ?

В России «право на забвение» законодательно сформулировано в 2016 году статьей 10.3 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в которой определены:
✅перечень данных, которые должны содержать требование заявителя (в т.ч. аргументированное обоснование);
✅порядок взаимодействия заявителя и оператора поисковой системы;
✅сроки, в течение которых оператор поисковой системы обязан удалить ссылки из выдачи.

«Право» действует в отношении информации, которая является недостоверной, неактуальной или утратившей значение для заявителя. Статья также закрепляет возможность мотивированного отказа оператора в требовании заявителя. Заявитель в этом случае может обратиться в суд.

?Многими поисковыми системами были созданы специальные электронные формы для направления пользователями заявок на исключение ссылок из выдачи (пример подобной формы у Яндекса).

Теперь в № 149-ФЗ «оператор поисковой системы, распространяющий в Интернете рекламу…» стал просто «оператором поисковой системы», а значит зона действия закона расширилась.

?tg_AC

?«Право на забвение» расширяет своё действие в России.

22 июня президентом был подписан Федеральный закон № 158-ФЗ, распространяющий на всех операторов поисковых систем требование обеспечивать в интернете «право на забвение». Ранее такая обязанность была только у операторов систем, распространяющих рекламу, ориентированную на российских потребителей.

Что такое «право на забвение»? Это право человека, позволяющее потребовать удаление своих персональных данных из общего доступа. Это может быть неактуальная, недостоверная или утратившая значение информация, а также сведения, распространяемые с нарушением законодательства.

❔Какие проблемы есть у реализации «права на забвение» в РФ?

Предложенная в 2016 году реализация «права на забвение» почти сразу подверглась критике со стороны поисковых систем. По словам представителей Яндекса, «закон закрепляет за поисковиками не свойственные им функции судов или правоприменительных органов».

Действительно, оператор обязан проанализировать предоставленные заявителем доказательства и принять решение об удалении ссылок из выдачи или отказать в требовании. Фактически оператор обязан проверить достоверность информации, указанной о пользователе на любом интернет-ресурсе. Зачастую сделать это подобным досудебным порядком невозможно, вследствие чего большинство запросов остаются отклоненными.

?tg_AC

?Разработчики операционных систем и решений для информационной безопасности смогут упростить процедуры повторной сертификации ФСТЭК для обновленных версий ранее сертифицированных решений.

?Процесс сертификации ФСТЭК собираются упростить до конца 2024 года. Новый подход заключается в том, что ФСТЭК будет сертифицировать не только готовый продукт, но и сам процесс его разработки.

?При нынешних нормативах процесс сертификации нового продукта занимает минимум год, а пересертификации при выпуске обновлений — минимум полгода.
Изменения помогут сократить сертификацию до нескольких месяцев.

#news

*?*Подписывайтесь на канал Guardant TechClub - https://t.me/guardant_techclub