суббота, 18 сентября 2021 г.

Росстандарт: Опубликован ГОСТ Р 59547-2021 «Защита информации. Мониторинг информационной безопасности. Общие положения»

На сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/ ) в августовском 2021 года разделе ( http://protect.gost.ru/default.aspx?control=6&page=0&month=8&year=2021) выложен новый стандарт ГОСТ Р 59547-2021 «Защита информации. Мониторинг информационной безопасности. Общие положения» объёмом 20 страниц, который вступает в силу 01.04.2022 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230598

Стандарт разработан Федеральной службой по техническому и экспортному контролю (ФСТЭК России) и ООО «Центр безопасности информации» (ООО «ЦБИ»); внесён Техническим комитетом по стандартизации ТК 362 «Защита информации».

Во вводной части документа отмечается:

«Настоящий стандарт устанавливает уровни мониторинга ИБ, требования к каждому уровню, порядок осуществления мониторинга ИБ и требования к защите данных мониторинга.

Положения настоящего стандарта применимы к мероприятиям по мониторингу ИБ, осуществляемым операторами по отношению к эксплуатируемым ими информационным (автоматизированным) системам, а также к мероприятиям по мониторингу ИБ. осуществляемым в рамках деятельности по оказанию услуг мониторинга ИБ.

Настоящий стандарт не устанавливает требования к средствам мониторинга ИБ и к мероприятиям. связанным с выявлением компьютерных инцидентов и реагированием на них.

Примечание: Под мероприятиями мониторинга ИБ подразумевается совокупность действий, направленных на достижение целей мониторинга ИБ.»

Содержание документа следующее:

Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Общие положения
5. Требования к мониторингу информационной безопасности.

Источник: сайт Росстандарта
http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230598

Арбитражная практика: Страховая компания наказана за несохранение электронной информации

Я уже рассказывала на своем блоге о том, как Банк России пытался привлечь общество СПАО «Ингосстрах» к ответственности за несохранение электронной информации по ч.3 ст.13.25 КоАП РФ. Тогда Арбитражный суд г. Москвы в октябре 2019 года не согласился с позицией регулятора (см.: http://rusrim.blogspot.com/2020/06/blog-post_13.html )

Для справки: Согласно ч.3 ст.13.25 Кодекса об административных правонарушениях (КоАП), неисполнение страховщиком обязанности по хранению документов, перечень которых и требования к обеспечению сохранности которых предусмотрены страховым законодательством, а также непринятие страховщиком мер по обеспечению хранения информации, содержащейся в информационных системах, ведение и обеспечение сохранности которых предусмотрены страховым законодательством, - влечет наложение административного штрафа на должностных лиц в размере от двадцати тысяч до тридцати тысяч рублей; на юридических лиц - от 100 до 200 тысяч рублей.

На этот раз при рассмотрении в феврале 2021 года в Арбитражном суде города Москвы, похожего дела №А40-187551/20 суд встал на сторону регулятора.

Суть спора

В сентябре 2020 года Главным управлением Банка России по Центральному федеральному округу в отношении общества АО «АльфаСтрахование» было вынесено постановление по делу об административном правонарушении по факту нарушения ч.3 ст.13.25 КоАП, выразившегося в невыполнении обязанности по осуществлению регистрации и хранения в течении одного года информации о действия страхователя на сайте при заключении договора обязательного страхования гражданской ответственности владельцев транспортных средств в виде электронного документа на официальном сайте АО «АльфаСтрахование» в сети «Интернет»; и наложен штраф в размере 100 тысяч рублей.

Общество АО «АльфаСтрахование» не согласилось с вынесенным постановлением, посчитало его незаконным, необоснованным и подлежащим отмене, и обратилось в арбитражный суд.

Позиция Арбитражного суда г. Москвы

В управление Службы по защите прав потребителей и обеспечению доступности финансовых услуг поступило обращение гражданина, содержащее сведения о возможном нарушении страховщиком законодательства РФ.

Согласно документам и пояснениям, представленным гражданином в ноябре 2019 года, он осуществлял действия на официальном сайте страховщика, направленные на заключение договора ОСАГО в виде электронного документа, и ему было предложено перейти на интернет сайт Российского Союза Автостраховщиков (РСА) для заключения договора.

В ответ на запрос Банка России о предоставлении документов в ноябре 2019 года страховщик сообщил, что гражданин осуществлял действия на официальном сайте страховщика, при этом страховщик представил сеансовую информацию только по обращению гражданина, однако сеансовая информация о перенаправлении его на сайт РСА не была представлена.

Общество в ответ на запрос сообщило Банку России об отсутствии возможности предоставить часть запрошенных документов в связи с их отсутствием во внутренней системе общества, - рассматриваемые документы не сохранились по неустановленным причинам. Лог-файлы по обращению заявителя на сайт страховщика были частично повреждены, в связи с чем в сеансовой информации отсутствуют коды действий, отвечающие за перенаправление заявителя на сайт РСА (45, 46, 47).

Суд отметил, что страховщиком в нарушение требований пункта 28 Указания №4190-У не осуществлено хранение в течение одного года информации о действиях заявителя и страхователя в ходе заключения договора ОСАГО в виде электронного документа.

Для справки: В соответствии с пунктом 28 Указания №4190-У «О требованиях к использованию электронных документов и порядке обмена информацией в электронной форме при осуществлении обязательного страхования гражданской ответственности владельцев транспортных средств» в редакции, действующей на момент совершения правонарушения, страховщик при осуществлении доступа страхователей (лиц, имеющих намерение заключить договор) к разделам сайта страховщика, обеспечивающим заключение договора, осуществляет сплошную непрерывную регистрацию и хранение в течение одного года информации о действиях страхователей (лиц, имеющих намерение заключить договор) и страховщика, выполняемых с использованием данного сайта в соответствии с Указанием. Информация подлежит хранению в электронном виде.

Согласно п. 3.7 Перечня документов, сохранность которых должны обеспечить страховщики, утвержденному Указанием Банка России от 12 сентября 2018 года №4902-У «О перечне документов, сохранность которых должны обеспечить страховщики, и требованиях к обеспечению сохранности таких документов», к таким документам, в частности, относятся документы, подтверждающие получение страховщиком обращений от страхователей, выгодоприобретателей, заявителей, застрахованных лиц, содержащие сведения о дате регистрации обращений и документы, подтверждающие направление ответов на поступившие обращения указанным в настоящем подпункте лицам, заявления страхователей (выгодоприобретателей), их представителей о заключении (изменении, прекращении) договоров страхования (перестрахования), документы, явившиеся основанием для заключения (изменения, прекращения) договоров страхования, а также копии предъявляемых при заключении (изменении, прекращении) договоров страхования документов.

При хранении указанных в Перечне документов, созданных в форме электронных документов, страховщик должен обеспечить их защиту от порчи, утраты, воздействия вредоносных компьютерных программ и несанкционированного изменения их содержания, а также обеспечить создание их резервных копий.

Суд отклонил доводы общества о том, что совершенное им правонарушение имело место в момент регистрации действий страхователя на сайте страховщика, а также о том, что оно должно быть переквалифицировано в правонарушение, предусмотренное ч.3 ст.14.1 КоАП РФ.

Суд подчеркнул, что данное правонарушение заключается не в повреждении лог-файлов, а в несохранении содержащейся в них информации, а именно: в отсутствии у страховщика кодов действий 45, 46, 47 свидетельствующих о согласии либо об отказе страхователя от переадресации на страницу «Гарантированное заключение договора ОСАГО в электронном виде» на интернет-сайте РСА.

Суд отказал в полном объеме в удовлетворении требований АО «Альфастрахование»  

Позиция Девятого арбитражного апелляционного суда

Девятый арбитражный апелляционный суд в апреле2021 года оставил без изменения решение Арбитражного суда города Москвы, а апелляционную жалобу общества - без удовлетворения.

Арбитражный суд Московского округа в июле 2021 года оставил без изменения решение Арбитражного суда города Москвы и постановление Девятого арбитражного апелляционного суда, а кассационную жалобу общества - без удовлетворения.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/

пятница, 17 сентября 2021 г.

Гиперавтоматизация: Простая автоматизация уже не устраивает коммерческие организации

Данная заметка Дика Вейсингера (Dick Weisinger – на фото) была опубликована 23 августа 2021 года на блоге компании Formtek.

В 1990-е годы бизнес-процессы ускорились по мере того, как стартапы приняли мантру «двигаться во времени Интернета» (см. https://karenmpd.medium.com/digitals-3-0-shift-may-take-longer-than-we-think-pymnts-com-6dfbb73475b4 ). Коммерческие организации продолжают набирать обороты и, как прогнозирует консультационная фирма Gartner, находятся сейчас в предвкушении волны гиперавтоматизации, которая охватит повторяющиеся бизнес-процессы (см. https://www.gartner.com/en/newsroom/press-releases/2021-04-28-gartner-forecasts-worldwide-hyperautomation-enabling-software-market-to-reach-nearly-600-billion-by-2022 )

Фирма Gartner прогнозирует, что мировой рынок технологий гиперавтоматизации достигнет в 2022 году почти 600 миллиардов долларов, по сравнению с 532 млрд. долларов в 2021 году.

Бывший вице-президент по маркетингу продуктов в компании ASG Technologies Роб Перри (Rob Perry, https://www.linkedin.com/in/robperry123/ ) считает, что «гиперавтоматизация ставит перед собой амбициозную цель - применить автоматизацию в гораздо большей части предприятия, чем в прошлом, используя новые технологии для автоматизации принятия большего количества решений в ходе бизнес-процесса и приводя к меньшему вовлечению человека» (см. https://searchcio.techtarget.com/feature/Hyperautomation-The-most-significant-RPA-trend-of-2020 ).

Вице-президент Gartner по научным исследованиям Кэти Торнбом (Cathy Tornbohm, https://www.gartner.com/analyst/12142/Cathy-Tornbohm ) говорит, что «организации переходят от слабо связанного набора технологий автоматизации к использованию более взаимосвязанной стратегии автоматизации. В качестве реакции на это поставщики разрабатывают интегрированные предложения, которые объединяют в один комплексный инструмент такие технологии, как роботехническая автоматизация технологических процессов и производств (Robotic Process Automation, RPA), LCAP (Low Code Application Platform – платформа приложений, требующая минимального программирования) и менеджмент бизнес-процессов» (см. https://www.gartner.com/en/newsroom/press-releases/2021-04-28-gartner-forecasts-worldwide-hyperautomation-enabling-software-market-to-reach-nearly-600-billion-by-2022 ).

Генеральный директор компании NexBotix Крис Портер (Chris Porter, https://www.linkedin.com/in/porterchris/ ), полагает, что «гиперавтоматизация позволяет предприятиям обеспечить гарантии на будущее своих инвестиций за счёт целостного подхода к автоматизации и цифровой трансформации. Я верю, что в самом ближайшем будущем появятся новые технологии с более продвинутыми возможностями, чем те, к которым у нас есть доступ сейчас, когда речь идёт о каждом из этапов пути автоматизации, - так что это действительно только начало».

Дик Вейсингер (Dick Weisinger)

Источник: блог компании Formtek
https://formtek.com/blog/hyperautomation-businesses-no-longer-content-with-simple-automations/

Эксперимент по апробации способа взаимодействия с применением информационной системы «Мастерчейн», основанной на технологии распределённых реестров

Постановлением Правительства РФ от 2 сентября 2021 года №1471 в «целях повышения качества взаимодействия организаций, осуществляющих депозитарную деятельность, с федеральным органом исполнительной власти, осуществляющим функции по государственной регистрации прав на недвижимое имущество и сделок с ним» принято решение провести со дня вступления в силу настоящего постановления, но не позднее чем с 1 декабря 2021 г. по 1 ноября 2022 г.,  эксперимент по апробации способа взаимодействия между депозитарием, осуществляющим хранение электронной закладной, и федеральным органом исполнительной власти, осуществляющим функции по государственной регистрации прав на недвижимое имущество и сделок с ним, с применением информационной системы «Мастерчейн», основанной на технологии распределенных реестров.

Постановлением утверждено «Положение о проведении эксперимента по апробации способа взаимодействия между депозитарием, осуществляющим хранение электронной закладной, и федеральным органом исполнительной власти, осуществляющим функции по государственной регистрации прав на недвижимое имущество и сделок с ним, с применением информационной системы «Мастерчейн», основанной на технологии распределенных реестров».

Для справки: «Мастерчейн» представляет собой децентрализованную сеть обмена и хранения финансовой информации, которая в данном случае позволяет проводить электронную регистрацию ипотеки в Росреестре и передавать электронную закладную в депозитарий. Узлы или программное обеспечение «Мастерчейна» установлены у каждого участника процесса, поэтому все изменения записываются в системе и должны подтверждаться сторонами процесса. Всех участников платформы идентифицирует оператор.

«Мастерчейн» разрабатывала основанная Банком России и крупнейшими банками страны Ассоциация Финтех путем модификации блокчейн-протокола платформы Ethereum. В конце 2019 года ФСБ сертифицировало эту технологию на соответствие требованиям криптографической защиты информации. Оператором платформы в рамках эксперимента станет ООО «Системы распределенного реестра», соучредителями которого являются ВТБ, Газпромбанк, Промсвязьбанк, НСПК, Московская биржа и Финтех.

См: https://habr.com/ru/news/t/576452/

ООО «Системы распределенного реестра» будет осуществлять на безвозмездной основе функции оператора информационной системы «Мастерчейн», основанной на технологии распределенных реестров, используемой в целях проведения эксперимента (п. 3).

Согласно положению, основной целью эксперимента является формирование эффективных и безопасных механизмов электронного взаимодействия участников финансового рынка с органом регистрации прав при совершении ипотечных сделок.

Задачами эксперимента являются (п.3):

  • Апробация технологии распределенных реестров при информационном взаимодействии участников финансового рынка с органом регистрации прав на базе информационной системы «Мастерчейн» при совершении ипотечных сделок;

  • Определение наиболее успешных технологических подходов при информационном взаимодействии участников финансового рынка с органом регистрации прав, а также анализ возможных рисков при таком взаимодействии;

  • Формирование условий для создания федеральной государственной информационной системы «Госчейн», основанной на технологии распределенных реестров, включенной в инфраструктуру, обеспечивающую информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, направленной на организацию взаимодействия государственных органов и организаций.

Участниками эксперимента являются (п.4):

  • Министерство цифрового развития, связи и массовых коммуникаций РФ, орган регистрации прав;

  • Банк России, акционерное общество «ДОМ.РФ», ООО «Системы распределенного реестра, организации, осуществляющие депозитарную деятельность, - на добровольной основе.

В рамках проведения эксперимента с использованием информационной системы «Мастерчейн» осуществляются (п.5):

  • Направление органом регистрации прав в депозитарий, осуществляющий хранение электронной закладной:

    • электронной закладной;

    • уведомления о внесении в регистрационную запись об ипотеке в сведения о залогодержателе сведений о депозитарии, в который электронная закладная передана на хранение;

    • соглашения о внесении изменений в электронную закладную;

    • запроса о проверке информации о владельце электронной закладной или об ином лице, осуществляющем права по электронной закладной;

    • уведомления о погашении регистрационной записи об ипотеке;

  • Направление депозитарием, осуществляющим хранение электронной закладной, в орган регистрации прав:

    • уведомления о внесении записи по счету депо первоначального владельца электронной закладной или иного лица, осуществляющего права по ней, и дате ее внесения;

    • уведомления о невозможности внесения записи по счету депо первоначального владельца электронной закладной или иного лица, осуществляющего права по ней;

    • уведомления об отсутствии счета депо на имя указанного в запросе владельца закладной или иного лица, осуществляющего права по электронной закладной;

    • уведомления о владельце электронной закладной или об ином лице, осуществляющем права по ней;

    • уведомления об осуществлении хранения электронной закладной при передаче ее из другого депозитария и о дате получения ее на хранение.

Уведомления и запрос заверяются в порядке, установленном законодательством об ипотеке и законодательством Российской Федерации о государственной регистрации недвижимости (п.6).

В целях проведения эксперимента (п.7):

  • Министерство цифрового развития, связи и массовых коммуникаций РФ до 1 октября 2022 года обеспечивает создание и введение информационной системы «Госчейн» в эксплуатацию при условии, что исключительные права на компоненты информационной системы «Мастерчейн», используемые в её составе, переданы Российской Федерации;

  • ООО «Системы распределенного реестр» рекомендовано, помимо прочего, «передать Российской Федерации на безвозмездной основе исключительные права в полном объеме на компоненты информационной системы «Мастерчейн», необходимые и достаточные для создания информационной системы «Госчейн».

Источник: Консультант
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=394496