Контакты
  • Главная
  • Компания
  • История
  • Акционерам и инвесторам
  • Регалии
  • Лицензии
  • Партнеры
  • Руководство
  • Проектный опыт
  • Отзывы заказчиков
  • Пресс-центр
  • Карьера
  • Продукты
  • БДМ
  • ЗАСТАВА
  • Продукты других производителей
  • Услуги и решения
  • Соответствие требованиям
  • Аудит ИБ
  • Облака и виртуализация
  • Управление ИБ
  • Управление доступом
  • Сетевая безопасность
  • Защита приложений
  • Поддержка и аутсорсинг
  • Защита АСУТП
  • Защита ГИС
  • Защита от вредоносного кода, спама и контроль трафика
  • Центр компетенции
  • FAQ
  • Экспертный совет
  • Комментарии экспертов
  • Материалы мероприятий
  • Информаториум
  • Видео и скринкасты
  • Новости
  • Мероприятия
  • Календарь мероприятий
  • Партнерам
  • Архив мероприятий
  • О мерах по выполнению положений Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» О мерах по выполнению положений Федерального закона от 26 июля 2017 года № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»
    11.09.2017
    Булаев Михаил Александрович, Ведущий консультант-аналитик

    Принятый 26 июля 2017 года Федеральный закон № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливает общие принципы правового регулирования отношений в области обеспечения безопасности критической информационной инфраструктуры (КИИ) Российской Федерации. Закон вступает в силу с 1 января 2018 года и носит рамочный характер.
    Мнение и прогнозы от эксперта ЭЛВИС-ПЛЮС Булаева М.А.

    Законофобия-2? Законофобия-2?
    10.06.2015

    Как-то, еще в 2009 году, я писал статью для журнала «Банковские технологии», которая называлась «Осторожно законофобия!». Она была посвящена ситуации с оттягиванием сроков ввода закона «О персональных данных» в силу. Там я охарактеризовал явление нагнетания истерии в среде «обывателей» (в хорошем смысле этого слова) по поводу того или иного законодательного акта, как «законофорбию», которую порождают некоторые «профессионалы», по всей вероятности, преследуя свои корыстные цели. Сегодня мне попалась публикация от 09.06.2016 г. в «Вечерней Медузе».


    Персональные данныеСергей Вихорев

    Не было ни гроша, да сразу алтын… Не было ни гроша, да сразу алтын…
    20.05.2015

    Сегодня речь будет о проекте Методического документа «Методика определения угроз безопасности информации в информационных системах», разработанном ФСТЭК России.


    ФСТЭК РоссииметодикаугрозыСергей Вихорев

    BYOD: нынешнее положение дел, новые возможности и старые проблемы BYOD: нынешнее положение дел, новые возможности и старые проблемы
    18.12.2014

    Статья написана для журнала «Connect. Мир информационных технологий» (№11, 2014).

    Тема использования сотрудниками своих личных устройств для решения служебных задач (или BYOD — Bring your Own Device) уже который год будоражит умы всех заинтересованных сторон: самих сотрудников, ИТ и ИБ специалистов, да и тех, кто охотится за корпоративными данными, тоже. При этом отношение к данной теме варьируется от восторженного (в основном, у производителей MDM-решений), до крайне скептического (у руководителей служб ИБ различных организаций). Давайте попробуем вместе разобраться, почему так происходит и что даёт концепция BYOD сотрудникам и их работодателям.


    Сергей НейгерBYOD

    Алгоритм действий при формировании требований согласно 31-му приказу ФСТЭК Алгоритм действий при формировании требований согласно 31-му приказу ФСТЭК
    24.11.2014

    18 августа 2014 года вступил в силу 31-й приказ ФСТЭК «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

    Благодаря активной и открытой позиции ФСТЭК, работа над этим документом, в которой принимали участие эксперты по информационной безопасности, получила широкую известность и привела к положительному результату.

    Теперь настало время опробовать положения данного приказа на практике. Цель данной статьи — предоставить читателю пошаговую карту действий на первом этапе защиты информации в АСУ ТП в соответствии с 31-м приказом.


    АСУТПSCADAРуслан Стефанов

    ИБ-бюджеты не подвергнутся значительному сокращению ИБ-бюджеты не подвергнутся значительному сокращению
    08.07.2014

    На сайте astera.ru вышло интервью с Романом Кобцевым, Директором департамента развития и маркетинга компании.

    Роман рассказал о своём взгляде на динамику рынка ИБ в России в 2014-2015 году.

    Прочтите интервью на сайте astera.ru.


    Роман КобцевРынки

    Полезные таблицы по защите персональных данных Полезные таблицы по защите персональных данных
    09.12.2013

    По многочисленным просьбам Сергей Викторович Вихорев подготовил таблицы из своего выступления «Будем жить по-новому? Анализ последних документов ФСТЭК и пути наиболее гармоничного приложения их к существующим подходам» в печатном варианте.

    Таблица 1. Соотношение требований к классам СЗИ с классами защищённости ГИС (Приказ ФСТЭК России от 11.02.2013 г. № 17).

    Таблица 2. Соотношение классов защищённости ГИС (приказ № 17) с уровнями защищённости ПДн (ПП-1119).

    Скачать таблицы (pdf).


    Персональные данныеСергей Вихорев

    К круглому столу по обсуждению проекта Федерального закона «О безопасности критической информационной инфраструктуры РФ» К круглому столу по обсуждению проекта Федерального закона «О безопасности критической информационной инфраструктуры РФ»
    14.10.2013

    В журнале «Connect! Мир связи» №9, 2013 состоялся заочный Круглый стол  «На повестке дня — безопасность АСУ ТП критически важных объектов», посвящённый обсуждению проекта Федерального закона «О безопасности критической информационной инфраструктуры Российской федерации».

    Ведущий эксперт компании ЭЛВИС-ПЛЮС Сергей Викторович Вихорев, принял участие в этом круглом столе и ответил на поставленные редакцией вопросы.


    АСУТПSCADA

    Оценка защищённости КВО Оценка защищённости КВО
    11.10.2013

    В сентябрьском номере журнала «Connect! Мир связи» была опубликована статья Руслана Стефанова о методике и критериях оценки защищённости критически важных объектов.

    В статье изложены основные подходы к решению проблемы оценки защищённости и основные сложности, с которыми сталкиваются аудиторы при проведении такой оценки.


    АСУТПSCADA

    Руслан Стефанов отвечает на несколько вопросов о безопасности КВО Руслан Стефанов отвечает на несколько вопросов о безопасности КВО
    12.09.2013
    По просьбе редакции еженедельника PC Week Руслан Стефанов, руководитель направления защиты АСУТП в компании ЭЛВИС-ПЛЮС, ответил на несколько вопросов, посвящённых обеспечению информационной безопасности на критически важных объектах.
    АСУТПSCADA

    Подпадают ли системы видеонаблюдения под ФЗ-152? Подпадают ли системы видеонаблюдения под ФЗ-152?
    15.04.2013

    В последнее время часто задают вопрос: Является ли система видеонаблюдения, установленная в помещениях организации, системой обработки биометрических персональных данных и подпадает ли она в этом случае под действие статьи 11 Федерального закона № 152-ФЗ «О персональных данных»?

    Давайте разберем ситуацию. Перво-наперво, почему возникает такой вопрос. Дело в том, что согласно закону , если сведения, которые характеризуют физиологические и биологические особенности человека (биометрические персональные данные), используются оператором для установления личности субъекта, то обязательно требуется его согласие, выраженное в письменной форме. Поэтому, заданный вопрос трансформируется в дилемму: «Надо или не надо брать письменное согласие субъекта на обработку биометрических персональных данных, если на объекте используется система видеонаблюдения?» А это уже нетривиальная задача, особенно когда на объекте имеется большое число посетителей, а камеры видеонаблюдения установлены в коридорах организации.

    Использование систем видеонаблюдения, как правило, относится к компетенции служб безопасности объектов. При этом, как правило, такие системы относятся к системам охраны объектов и предназначаются для общего наблюдения за обстановкой на объекте, обнаружения каких-либо фактов нарушения установленного на объекте режима безопасности и фиксации (в том числе автоматически, без участия оператора) таких фактов для последующего ретроспективного контроля видеообстановки на охраняемом объекте. То есть, сама по себе система видеонаблюдения не используется непосредственно для идентификации субъекта по его биометрическим данным.

    Следовательно, системы видеонаблюдения, предназначенные для контроля обстановки на объекте, не подпадают под юрисдикцию статьи 11 Федерального закона № 152-ФЗ «О персональных данных», так как не используют биометрические данные для идентификации субъекта персональных данных.

    ВЫВОДЫ:

    1. Необходимо разделять два процесса: процесс контроля обстановки на объекте и процесс идентификации субъекта по биометрическим персональным данным.

    2. Системы видеонаблюдения предназначены именно для контроля обстановки на объекте.

    3. Идентификация субъекта, при необходимости, осуществляется не в ходе процесса контроля обстановки, а в ходе процедуры дознания, проводимой при расследовании инцидента.

    4. В ходе расследования инцидента, видеозапись, позволяющая ретроспективно оценить обстановку, имеет силу вещественных доказательств, оценка которых проводится с привлечением экспертов и специального оборудования.

    5. Использование системы видеонаблюдения для целей контроля обстановки на объекте не подпадает под действие ст. 11 Федерального закона № 152-ФЗ «О персональных данных».   

    Полная версия ответа на этот вопрос в разделе «FAQ по персональным данным».


    Персональные данныеСергей Вихорев

    Кто будет сражаться за пользователя? Кто будет сражаться за пользователя?
    02.04.2013
    Сергей Нейгер, менеджер по маркетинговым коммуникациям

    В последние несколько лет проблема защиты дистанционного банковского обслуживания (ДБО) вышла на новый уровень. Здесь, безусловно, сыграло сразу несколько факторов: увеличение количества выпущенных карточек, роста числа клиентов банков, всеобщая интернетизация, да и общее развитие информационных технологий.

    Понятно, что такой лакомый кусок не мог не заинтересовать мошенников. И сейчас мы наблюдаем ситуацию, когда в этом «поле ДБО» есть три больших и сильных участника — Клиент, Банк и Злоумышленник.

    Уверен, что многие специалисты по информационной безопасности начали интересоваться компьютерными технологиями очень давно и помнят культовый фильм от студии Дисней — «ТРОН». мне очень хочется задать вопрос, который стал одним из ключевых в этом фильме: «Кто будет сражаться за пользователя?» В нашей же ситуации — на стороне клиента банка.

    Давайте попробуем разобраться, что делают ведущие российские банки, чтобы обезопасить своих пользователей руками самих пользователей.

    Описание исследования и выводы.


    Сергей Нейгер

    Мировой рынок сетевой безопасности вырос на 10% Мировой рынок сетевой безопасности вырос на 10%
    15.03.2013

    Роман Кобцев, директор Департамента развития и маркетинга

    Исследовательская команда Infonetics Research опубликовала результаты регулярного исследования рынка сетевой безопасности. По мнению аналитиков Infonetics мировой рынок программных и аппаратных средств сетевой безопасности в 2012 году вырос на 10% и составил 6,3 млрд долларов. Начиная с 4 квартала 2011 года эксперты отмечают увеличение доли программно-аппаратных средств (integrated appliances), именно поэтому, видимо, в этом году впервые в числе лидеров оказалась компания Fortinet, ранее не выделявшаяся из группы «Other». Распределение мирового рынка сегодня выглядит следующим образом: треть рынка занимает по-прежнему Cisco, еще треть рынка делят между собой (по убыванию) Check Point, Juniper, McAfee (все без особых изменений в доле) и присоединившаяся к ним в этом году Fortinet. Оставшуюся треть рынка занимают все остальные компании (AEP, Alcatel-Lucent, Array Networks, CA, Citrix, D-Link, Enterasys, eSoft, F5, GTA, HP, Huawei, ISS, NetASQ, Palo Alto Networks, SonicWALL, Sourcefire, Stonesoft, WatchGuard, ZyXEL и др.). В 2013 году аналитики Infonetics прогнозируют возможные изменения в долях лидеров рынка, хотя и не озвучивают в какую сторону.


    РынкиРоман Кобцев

    В США подписан указ «О мерах по укреплению кибербезопасности критических инфраструктур». А что у нас? В США подписан указ «О мерах по укреплению кибербезопасности критических инфраструктур». А что у нас?
    18.02.2013

    Роман Кобцев, директор Департамента развития и маркетинга

    Президент США на прошлой неделе подписал указ «О мерах по укреплению кибербезопасности критических инфраструктур» (Executive Order — Improving Critical Infrastructure Cybersecurity) и «Директиву об обеспечении безопасности и устойчивости критических инфраструктур» (Presidential Policy Directive — Critical Infrastructure Security and Resilience) Т.е. американцы завершили «вторую часть Марлезонского балета» по введению кибербезопасности критически важных инфраструктур в правовое поле, которая у нас только начинается. Поэтому достаточно полезно взглянуть на то, что у них получилось. 

    Cразу хотелось бы заметить, что документ тут же подвергся нещадной критике со стороны СМИ, ссылающихся, как обычно, на авторитетных экспертов. Самые громкие критические высказывания можно сформулировать одной фразой: указ о кибербезопасности КВО сильно попирает гражданские права и свободы.

    Так ли это на самом деле — читайте в статье.


    АСУТПSCADAРегуляторыРоман Кобцев

    Старые сказки на новый лад Старые сказки на новый лад
    11.02.2013

    Анна Рыженкова (Соколова), ведущий аудитор ISMS и эксперт нашей компании, рассказала о своём взгляде на эволюцию линейки международных стандартов ISO 2700x — Управление информационной безопасностью.

    17 января 2013 г. комитет JTC 1/SC 27 разместил для публичного обсуждения драфты стандартов ISO/IEC DIS 27001 и ISO/IEC DIS 27002.

    Даже беглое ознакомление с новым вариантом ISO 27001 позволяет сделать вывод, что текст стандарта существенно изменен. По замыслу создателей новая высокоуровневая структура должна стать общей для всех стандартов, посвященных Системам управления. Помимо этого во всех стандартах должны использоваться единообразные термины и требования, чтобы упростить интеграцию различных Систем управления.


    СтандартыАнна Рыженкова

    Ну что, коллеги –  поТОПали в 2013 год? Ну что, коллеги – поТОПали в 2013 год?
    31.01.2013
    Чем ближе к новому году, тем больше как из рога изобилия лились различные прогнозы. Начитавшись «Форрестеров», «Гартнеров» и иже с ними задумался, а что из всех этих поминаемых трендов окажет реальное воздействие на наш, российский, рынок информационной безопасности. Есть тренды, которые можно с уверенностью называть еще очень долго – усиление государственного регулирования сферы ИБ и рост угроз. Но это, как говорила одна киногероиня из культового советского фильма «Покровские ворота»: «Банально, Хоботов!»© Это понятно всем и так. Вообще, вопрос трендов информационной безопасности 2013 года в нашей стране я бы делил на две неравные части. С одной стороны (большей) – теоретические вопросы развития технологий ИБ, с другой стороны – рынок ИБ. Т.е. говоря другими словами, с одной стороны то, о чем будут много говорить, а с другой – что активно будут внедрять. 
    Персональные данныеРегуляторыАСУТПSCADAРоман Кобцев

    Первые шаги к безопасности АСУТП Первые шаги к безопасности АСУТП
    25.01.2013

    Руслан Стефанов, руководитель направления защиты АСУТП, рассказал о первых попытках привлечь внимание к проблеме защиты АСУТП в России.

    Какие трудности ожидают всех нас на этом пути?

    С чего начать диалог с операторами критически важных объектов?


    АСУТПSCADAРуслан Стефанов

    Правовые страхи страшнее киберугроз? Правовые страхи страшнее киберугроз?
    06.11.2012

    Роман Кобцев, директор Департамента развития и маркетинга компании ЭЛВИС-ПЛЮС, рассуждает о необходимости публикования найденных уязвимостей в АСУТП.

    Какой взгляд на эту проблему существует в мире? И в частности в США?

    Будет ли такая практика существовать в России?


    АСУТПSCADA

    «Там на неведанных дорожках, следы невиданных зверей…» «Там на неведанных дорожках, следы невиданных зверей…»
    12.10.2012

    Сергей Викторович Вихорев, заместитель генерального директора по развитию, в своей новой статье поднимает вопрос о недекларированных возможностях, ставших тем самым водоразделом, который по одну сторону оставил обязательное применение сертифицированных средств защиты при обработке ПДн, а по другую – альтернативное решение.

    Так нужно ли везде применять сертифицированные средства защиты информации?
    Персональные данные

    Небольшое эссе на тему проектов Постановлений Правительства РФ по защите персональных данных Небольшое эссе на тему проектов Постановлений Правительства РФ по защите персональных данных
    02.10.2012
    «Мы строили, строили, и, наконец, построили…» — именно такой заголовок Сергей Викторович Вихорев выбрал для своего небольшого эссе. И это совсем не случайно, ведь оно посвящено анализу изменений нормативно-правовой базы по защите персональных данных с выходом проектов Постановлений Правительства РФ «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных» и «О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных», которые уже очень давно ждали. 
    Персональные данные

    Немного о борьбе силовиков с промышленниками на ниве регулирования ИБ. На примере слухов о проекте готовящегося указа президента США о кибербезопасности Немного о борьбе силовиков с промышленниками на ниве регулирования ИБ. На примере слухов о проекте готовящегося указа президента США о кибербезопасности
    12.09.2012
    В то время, когда в России Минэкономразвития выдало разгромные комментарии на предложения ФСТЭК о поправках в 149-ФЗ в части, касающейся обеспечения безопасности информации на критически важных объектах, назвав требования по безопасности информации избыточными, контрольные функции излишними и т.д., в США тоже озаботились усилением контроля ИБ критических инфраструктур.
    АСУТПSCADAРегуляторы

    Без суда и следствия. Компромату — нет Без суда и следствия. Компромату — нет
    09.07.2012
    28 июня 2012 года регистратор доменов Ru-Center приостановил делегирование домена известного российского ресурса Compromat.ru, который публикует в Сети информацию компрометирующего характера о деятелях бизнеса и политики. По словам представителей Ru-Center, делегирование домена было приостановлено по требованию столичной прокуратуры на время проведения следственных действий. Ресурс Compromat.ru прокуратура обвиняет в нарушении закона о персональных данных и систематической публикации недостоверной информации.

    Журнал «Итоги» обратился к экспертам нашей Компании с просьбой прокомментировать данное событие.
    Законодательство

    От чего защищаться в первую очередь — от внешних или внутренних угроз? От чего защищаться в первую очередь — от внешних или внутренних угроз?
    26.06.2012

    Одни эксперты утверждают, что большинство угроз безопасности информации исходит от инсайдеров, другие утверждают, что от хакеров. Неразбериха с одной стороны вызвана интересами тех или иных экспертов от вендоров, в зависимости от того, от каких угроз защищает их средство, а с другой — неточным истолкованием терминов.

    Давайте попробуем разобраться с некоторыми терминами.
    Персональные данные

    Комментарии С. В. Вихорева к Постановлению Правительства №211 о порядке обработки ПДн в государственных и муниципальных органах Комментарии С. В. Вихорева к Постановлению Правительства №211 о порядке обработки ПДн в государственных и муниципальных органах
    06.04.2012
    В данной публикации проводится анализ основных положений Постановления № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом „О персональных данных“ и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
    Персональные данныеСергей Вихорев

    Две большие разницы или немного об операторах и обработчиках Две большие разницы или немного об операторах и обработчиках
    20.12.2011

    Заместитель Генерального директора ОАО «ЭЛВИС-ПЛЮС» по развитию Сергей Викторович Вихорев в своей статье анализирует отличия понятий «оператор персональных данных» и «обработчик персональных данных».


    Персональные данныеСергей Вихорев

    Сравнение версий закона «О персональных данных» (внесено 25.08.2011) Сравнение версий закона «О персональных данных» (внесено 25.08.2011)
    25.08.2011
    Сравнение положений старой и новой редакций Федерального закона № 152-ФЗ О персональных данных.
    Персональные данныеСергей Вихорев

    О результатах дискуссии по Закону «О персональных данных» (внесено 02.08.2011) О результатах дискуссии по Закону «О персональных данных» (внесено 02.08.2011)
    02.08.2011
    Открытое письмо С.В. Вихорева подписантам Открытого письма Президенту Российской федерации Д. А. Медведеву от 06.07.2011 года в отношении изменений к Закону о персональных данных вызвало бурные дискуссии в экспертном сообществе.
    Представляем сводный анализ первых результатов дискуссии по поводу письма Президенту РФ о Законе о ПДн, проведенный С. В. Вихоревым.
    Персональные данныеСергей Вихорев

    Открытое письмо... (внесено 06.07.2011)
    06.07.2011

    Новый закон «Об электронной подписи» вступает в жизнь. Комментарии старых предрассудков к новому закону.


    Комментарий к вопросу о различиях между Моделью угроз и Моделью нарушителя. (внесено 14.01.11)


    Комментарий к вопросу о необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации при организации защиты персональных данных. (внесено 16.07.10)


    Комментарий к вопросам о взаимосвязи биометрии и персональных данных. (внесено 21.04.10)