Статьи

Регулирование в сфере защиты персональных данных и безопасности критической информационной инфраструктуры РФ

(+) Обеспечение информационной безопасности ИСПДн

1. Конституция Российской Федерации
2. Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»
3. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»
4. Указ Президента Российской Федерации от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера»
5. Указ Президента Российской Федерации от 17.03.2008 N 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена».
6. Постановление Правительства Российской Федерации от 15 cентября 2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»
7. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
8. Постановление Правительства Российской Федерации от 6 июля 2008 г. №512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»
9. Постановление Правительства Российской Федерации от 21 марта 2012 г. N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных» Постановление Правительства РФ от 21.03.2012 N 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
10. Постановление Правительства РФ от 13.02.2019 № 146 «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных»
11. Методический документ ФСТЭК России от 11 февраля 2014 «Меры защиты информации в государственных информационных системах»
12. Приказ ФСТЭК России от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
13. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

КоАП РФ Статья 13.11. Нарушение законодательства Российской Федерации в области персональных данных

Трудовой кодекс РФ № 197-ФЗ - Глава 14 «Защита персональных данных работника»

Документы Роскомнадзора:

• Приказ Роскомнадзора от 15.06.2017 № 105 "О внесении изменений в Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденный приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274"
• Приказ Роскомнадзора от 05.09.2013 N 996 «Об утверждении требований и методов по обезличиванию персональных данных»
• Приказ Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»

Документы Министерства связи и массовых коммуникаций Российской Федерации (Минкомсвязи):

• Приказ Минкомсвязи России от 13.08.2012 N 196 "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля и надзора за соблюдением законодательства Российской Федерации о средствах массовой информации.

(+) Обеспечение информационной безопасности КИИ

1. Федеральный закон
   • от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
   • от 26.07.2017 №193-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации»;
   • от 26.07.2017 №194-ФЗ «О внесении изменений в УК РФ и УПК РФ в связи с принятием ФЗ «О безопасности КИИ РФ»
2. Указ Президента Российской Федерации
   • от 2 марта 2018 г. N 98 «О внесении изменения в перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. N 1203»;
   • от 25 ноября 2017 г. №569 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. N 1085»;
   • от 03.02.2012 N 803 «Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации»
   • от 05.12.2016 N 646 «Об утверждении Доктрины информационной безопасности Российской Федерации»
   • от 22.12.2017 N 620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
   • от 15.01.2013 N 31с «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»

• от 12.12.2014 N К 1274 «О Концепции государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»

1. Постановления Правительства РФ
   • Постановление Правительства РФ от 17 февраля 2018 г. N 162 «Об утверждении Правил осуществления государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
   • Постановление Правительства РФ от 8 февраля 2018 г. N 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
2. Приказы ФСТЭК России
   • от 9 августа 2018 г. №138 «О внесении изменений в Требования к  обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. N 31, и в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. N 239»;
   • от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
   • от 22 декабря 2017 г. № 236 «Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
   • от 21 декабря 2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
   • от 6 декабря 2017 г № 227. «Об утверждении Порядка ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации»;
   • от 11.12.2017 г. № 229 «Об утверждении формы акта проверки, составляемого по итогам проведения государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
   • от 14 марта 2014 г. № 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;
   • от 26.04.2018 №72 «"О внесении изменений в Регламент Федеральной службы по техническому и экспортному контролю, утвержденный приказом ФСТЭК России от 12 мая 2005 г. N 167"»
3. Информационное сообщение ФСТЭК России
   • от 24 августа 2018 г. №240/25/3752 «По вопросам представления перечней объектов критической информационной инфраструктуры, подлежащих категорированию, и направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий»;
   • от 4 мая 2018 г. №240/22/2339 «О методических документах по вопросам обеспечения безопасности информации в ключевых системах информационной инфраструктуры Российской Федерации»;
4. Приказы ФСБ России
   • от 24.07.2018 N 368 «Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения»;
   • от 24.07.2018 № 366 «О Национальном координационном центре по компьютерным инцидентам"(вместе с "Положением о Национальном координационном центре по компьютерным инцидентам")».
   • от 24.07.2018 № 367 «Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»;
5. Рекомендации No 149/2/7-200 от 24.12.2016 «Методические рекомендации по созданию ведомственных и корпоративных центров государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
6. «Временный порядок включения корпоративных центров в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации»
7. Документы Национального координационного центра по компьютерным инцидентам
   • «Методические рекомендации по обнаружению компьютерных атак на информационные ресурсы Российской Федерации» (ИОД);
   • «Методические рекомендации по установлению причин и ликвидации последствий компьютерных инцидентов, связанных с функционированием информационных ресурсов Российской Федерации» (ИОД);
   • «Методические рекомендации по проведению мероприятий по оценке степени защищенности от компьютерных атак»;
   • «Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (ИОД);
   • «Методические рекомендации по созданию ведомственных и корпоративных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации» (ИОД);
   • «Регламент взаимодействия подразделений Федеральной службы безопасности Российской Федерации и организации при осуществлении информационного обмена в области обнаружения, предупреждения и ликвидации последствий компьютерных атак»

• Откройте любую программу Office, например, Word;
• Перейдите в меню Файл > Параметры > Язык;
• Выбор языка интерфейса.

Проверьте, есть ли нужный для вас язык. Если он не отображается, то его необходимо загрузить по ссылке Дополнительные языки интерфейса и справки.

Программное обеспечение (ПО) является объектом авторских прав (ст. 1259 ГК РФ) и охраняется так же, как и литературные произведения (см. ст.ст. 1256, 1261 ГК РФ).

Ответственными за нарушение авторских прав на лицензионное программное обеспечение могут выступать как организации, так и физические лица.

В силу любого лицензионного соглашения с правообладателем ПО компания несет ответственность по использованию софта в надлежащем количестве и надлежащим способом. И если в лицензионном соглашении что-то не запрещено, это не значит, что это разрешено и таким способом можно использовать ПО. Для уточнения всегда необходимо обратиться к правообладателю за официальными разъяснениями.

Использование нелицензионного программного обеспечения является нарушением авторских и смежных прав и влечет за собой административную (ст. 7.12. КоАП РФ), уголовную (ст. 146 УК РФ) и гражданско-правовую ответственность.

Административная ответственность предусматривает наложение штрафа с конфискацией нелицензионных экземпляров ПО и оборудования, используемого для их воспроизведения:

• на граждан в размере от 1 500 до 2 000 рублей в том случае, если вы используете ПО как частное лицо;
• на должностных лиц — от 10 000 до 20 000 рублей, распространяется на: генерального директора, ИТ-директора, системного администратора или другого сотрудника, чья вина будет доказана;
• на юридических лиц — от 30 000 до 40 000 рублей.

А так как статья предусматривает еще и конфискацию оборудования, к этим штрафам стоит добавить потери от простоя деятельности компании. Например, в том случае, если у вас изымут почтовый или любой другой сервер, или рабочие станции сотрудников.

Уголовная ответственность (Статья 146. Нарушение авторских и смежных прав) наступает, если это деяние причинило крупный ущерб автору или иному правообладателю.

Деяния признаются совершенными в крупном размере, если стоимость использованного нелицензионного ПО или прав на него превышает 100 000 рублей.

Уголовная ответственность применяется только к физическому лицу и предусматривает:

• штраф в размере до 200 000 рублей или в размере заработной платы или иного дохода за период до 18 месяцев либо
• обязательные работы на срок до 480 часов либо
• исправительные работы на срок до двух лет либо
• принудительные работы на срок до двух лет либо
• лишение свободы на срок до двух лет.

Если же будет доказано, что использование нелицензионного программного обеспечения было совершено группой лиц по предварительному сговору или организованной группой (например, если генеральный директор, ИТ-директор и системный администратор были в курсе нарушения и действовали сообща), или в особо крупном размере (более 1 000 000 рублей), или лицом с использованием своего служебного положения, то виновные лица наказываются:

• принудительными работами на срок до пяти лет либо
• лишением свободы на срок до шести лет со штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до трех лет или без такового (в ред. Федерального закона от 07.12.2011 N 420-ФЗ)

Кроме указанных выше пунктов, к организации может предъявить имущественный иск владелец авторских прав на используемое программное обеспечение.

Это будет гражданско-правовая ответственность, которая предполагает выплату нарушителем денежной компенсации в пользу правообладателя за нарушение его авторских прав в размере двукратной стоимости незаконно используемых экземпляров ПО либо компенсации в размере от 10 000 до 5 000 000 рублей, определяемой по усмотрению суда.

При этом, если административная и уголовная ответственность — взаимоисключающие понятия в отношении авторского права, то гражданско-правовая – не снимается в случаях наложения ответственности по указанным статьям. Правообладатель в праве требовать компенсации за нанесенный ущерб.

Классическая ситуация для небольших компаний, которые используют розничные продукты KIS и KAV.

Чаще всего, это лицензии на 2 ПК ( 2 устройства ).

Здесь важно не запутаться , где какой ключ используется.

Чем больше ПК, тем сложнее вести подобный учет.

Отметим два ключевых момента:

1) Важно, чтобы количество устройств ( ПК ) с одним ключом не превышало максимально разрешенного ( например, лицензию на 2 ПК нельзя устанавливать на 3 и более компьютеров ).

2) Важно знать, где какой ключ используется. Так как через год  при продлении лицензии может возникнуть сложность.

Активация продления происходит конечным пользователем. Здесь мы не можем ничем помочь, это ответственность клиента.

И важно активировать ПРОДЛЕНИЕ на том компьютере, где заканчивается АНАЛОГИЧНАЯ лицензия. И важно , чтобы старая лицензия ещё НИ РАЗУ не использовалась для этого продления.

В этот момент сервер Лаборатории Касперского проверяет ее и либо продляет на 12 месяцев, либо активирует на сокращенный срок 8 месяцев.

Например,  у вас есть две лицензии KIS на 2 ПК , которые заканчиваются. Итого 4 пк, 2 ключа:

• ПК1  Старый ключ 1
• ПК2  Старый ключ 1
• ПК3  Старый ключ 2
• ПК4  Старый ключ 2
  

Вы покупаете две лицензии KIS 2 ПК Продление ( Новый ключ 1, Новый ключ 2 ).

Подходите к ПК1 ( Старый ключ 1 ) и активируете Новый ключ 1. Все ок. Новый ключ активируется на 12 месяцев.

Потом подходите к ПК2 ( ВСЁ ТОТ ЖЕ Старый ключ 1 ) и пытаетесь активировать Новый ключ 2. НО не получается, так как Старый ключ 1 УЖЕ использовался.

Нажимаете активировать и получается, что Новый ключ 2 активируется на 8 месяцев. И ничего с этим уже не сделаешь.

А надо было активировать Новый ключ 2 на ПК3 или ПК4.

Чтобы выполнить требования российского законодательства о защите персональных данных, установки надежного антивируса (отечественного производства и актуальной версии) недостаточно. Необходимо, чтобы устанавливаемая версия была сертифицирована ФСТЭК России и в компании имелся для нее медиапакет с дисками с сертифицированными дистрибутивами и формуляром.

Комплект поставки:

• Фирменная коробка
• Лицензионный сертификат
• 3 DVD-диска в фирменных конвертах с сертифицированными дистрибутивами (СД) Dr.Web и документацией.
• Формуляр с голографической наклейкой, в котором содержатся эталонные значения контрольных сумм СД Dr.Web.

Для среднего бизнеса подходит комплект Dr.Web Универсальный сертифицированный.

Речь пойдет о продукте 9EM-00653 WinSvrSTDCore 2019 SNGL OLP 2Lic NL CoreLic, предназначенный для коммерческих организаций.

Итак, для каждого процессора необходимо будет приобретать лицензии минимум на 8 ядер, то есть 4 комплекта двухъядерных лицензий.

Для каждого физического сервера, в том числе однопроцессорного, необходимо будет приобрести лицензии на минимум 16 ядер.

Разберем на примере:

стоимость одной лицензиии 9EM-00653 WinSvrSTDCore 2019 SNGL OLP 2Lic NL CoreLic - 6600р. ( ориентировочная средняя цена на момент написания статьи )
Соответственно, минимальный набор будет стоить:
9EM-00653 WinSvrSTDCore 2019 SNGL OLP 2Lic NL CoreLic - 6600*8=52800р.

Так же надо учесть, что необходимо приобретать лицензии клиентского доступа:

R18-05767    WinSvrCAL 2019 SNGL OLP NL DvcCAL ( лицензия на одно устройство ) 1777р.
R18-05768    WinSvrCAL 2019 SNGL OLP NL UsrCAL  ( лицензия на одного пользователя ) 2254р

По мнению Microsoft необходимо закрыть лицензиями все физические ядра сервера, но не менее 16 ядер.
Поэтому для поднятия 2 виртуальных машин (ВМ) клиент покупает:

9EM-00653 WinSvrSTDCore 2019 SNGL OLP 2Lic NL CoreLic   8 штук, а чтобы еще 2 ВМ поднять покупаем еще + 9EM-00653 WinSvrSTDCore 2019 SNGL OLP 2Lic NL CoreLic 8 шт. Итого 16шт на 4 ВМ.

Так же стоит отметить, что у Microsoft есть позиция, которая эквивалентна 8шт 9EM-00653:

9EM-00652    WinSvrSTDCore 2019 SNGL OLP 16Lic NL CoreLic. Для нашего примера достаточно купить такую позицию в количестве 1 шт.

Кроме того, если нужен терминальный доступ, то необходимо приобрести в дополнение к лицензиям клиентского доступа лицензии терминального доступа:

6VC-03747    WinRmtDsktpSrvcsCAL 2019 SNGL OLP NL DvcCAL  7098р
6VC-03748    WinRmtDsktpSrvcsCAL 2019 SNGL OLP NL UsrCAL   7098р

После покупки лицензии вам необходимо активировать ее в личном кабинете Microsoft.

Если у вас нет зарегистрированного аккаунта, то вам придется создать его.

Используйте при регистрации действующий электронный адрес, так как лицензия будет "привязана" к вашему e-mail.

ШАГ № 1 Заходим по ссылке https://setup.office.com/

Входим под своей учетной записью или создаем ее.

Указываем купленный ключ продукта:

Активируем ключ, получаем подтверждение успешного погашения лицензии на ваш аккаунт:

Заходим в личный кабинет и проверяем действующую подписку:

Убеждаемся, что срок подписки верный:

• Основная причина отклонения заказов – несовпадение данных в форме заказа с данными регистрации ЕГРЮЛ.
  Необходимо, чтобы данные конечного пользователя полностью совпадали с данными на egrul.nalog.ru.
• Если у компании нет корпоративного домена ( корпоративной почты ), то можно использовать публичные домены, но в имени электронного адреса должно обязательно быть название компании.
  Например, для ООО «Ромашка» допустимо Romashka@hotmail.com

Microsoft сделал послабление в этом правиле, так как ранее сообщалось, что не должно быть доменов типа @gmail.com, @hotmail.com, @list.ru, @mail.ru, @outlook.com, @rambler.ru, @yandex.ru и пр.). Важно, чтобы e-mail адрес был ассоциирован с организацией.Дословно «Email address should be a corporate domain and if not then we must be able to establish a connection between public domain name and end-customer name».

Бесплатный антивирус — это фактически «ничего»

• обмен на «ничего». Пользователь получает лишь минимальную защиту — ведь он не заплатил ни копейки.

Разработчик антивируса заинтересован в том, что-бы пользователь раскошелился на полнофункциональный продукт. Поэтому бесплатные антивирусы предлагают лишь минимальный набор защитных функций — как правило, только сканер и базовую онлайн-защиту. Этого недостаточно, так что вам не избежать трат на очистку компьютера от вирусов и «троянских коней».

• еще бесплатные антивирусы лишены Родительского контроля и поэтому совершено не подходят для защиты детей. Устанавливать такую «защиту» на компьютер ребенка ни в коем случае нельзя. 
  

• коммерческих лицензиях Dr.Web Security Space представлены все необходимые технологии и компоненты. Вместе они обеспечивают защиту от любых видов угроз.

Путешествуйте по Всемирной паутине без опаски!

Вам придется полюбить рекламу

Многие бесплатные антивирусы показывают назойливую рекламу — пользователей ведь много, грех упускать такой шанс окупить затраты на разработку! Устав от рекламы, многие переходят на платный продукт. А кто-то продолжает «наслаждаться» рекламой, помогая разработчику получать допол-нительный доход.

Чтобы вас не раздражала реклама, используйте коммерческий антивирус. В коммерческих лицензиях Dr.Web никогда не бывает рекламы.

Разработка антивируса — недешевое занятие, а альтруистов среди разработчиков нет. Поэтому они используют разные способы монетизации «бес-платности» своих продуктов — например, соби-рают статистическую и техническую информацию о пользователях и даже их персональные данные. Зачастую эти данные они продают рекламодателям и исследовательским компаниям. Почитайте их ли-цензионные соглашения — там об этом написано!

Чтобы ваши данные не утекали на сторону и не использовались против вас, выбирайте коммерческий антивирус. Dr.Web не собирает данные с защищаемых устройств и никому не передает собранную техническую информацию.

Поддержки не ждите

Одно из важнейших прав пользователя — право на техническую поддержку.

Современный антивирус создан для защиты опера-ционных систем — сложнейших программных ком-плексов, в работе которых случается всякое. А иногда бывает так, что антивирус никак не может «подружиться» со специфическим ПО на компьютере и требует тонкой настройки правил и исключений из проверки. Справиться с этими проблемами помогает техническая поддержка. Но не в случае с бесплат-ными антивирусами — их пользователи поддержки лишены. Бесплатная расшифровка от троянца-вымо-гателя для них тоже не предусмотрена.

Передача прав на использование ПО Dr.Web от одного юридического лица другому юридическому лицу возможна только в случае реорганизация передающего лицензию юридического лица в форме слияния, присоединения, разделения, выделения, преобразования с правопреемством.
Для определения правоприемста просьба предоставить следующие данные:
1) указать ИНН обеих организаций, полные наименования
2) форму реорганизации (слияние, присоединение, разделение, преобразование)
3) предоставить передаточный акт/разделительный баланс Внимание!!!! Акт о передаче прав на наше ПО друг другу, который зачем-то составляют сами юридические лица, основанием для передачи нашей лицензии не является. Передаточный акт - это совершенно другой документ.http://www.consultant.ru/document/cons_doc_LAW_5142/684490d35e2d67b02daf47c9ad0f2819d2f7507e/