Обзор изменений в законодательстве за март 2020

В мартовском обзоре 2020 года рассмотрим рекомендации регуляторов в области информационной безопасности в условиях пандемии коронавируса. Также поговорим о давно ожидаемых выдержках из требований к уровням доверия средств защиты информации ФСТЭК России и немного об СКЗИ, используемых в платежных системах.

COVID-19

В связи с пандемией коронавируса в марте 2020 г. регуляторы провели активную разъяснительную деятельность по предотвращению угроз информационной безопасности. Далее представлена краткая сводка рекомендаций по деятельности в условиях пандемии от надзорных органов:

Роскомнадзор
Роскомнадзор разъясняет особенности использования тепловизоров работодателями – операторами персональных данных (далее – ПДн) – с целью предотвращения распространения коронавируса.  Необходимо обратить внимание на то, что температура тела относится к специальным категориям ПДн, что накладывает особые условия для ее обработки. Поскольку меры по выявлению заболевания связаны с определением возможности выполнения трудовых функций, согласия работника на измерение температуры не требуется.

ФСТЭК России
ФСТЭК России разработала для субъектов критической информационной инфраструктуры (далее – КИИ) рекомендации по обеспечению безопасности объектов КИИ при реализации дистанционного режима исполнения должностных обязанностей работниками. Отмечается, что предоставление удаленного доступа для управления режимами функционирования оборудования, входящего в состав автоматизированных систем управления, являющихся значимыми объектами КИИ, запрещено. Также в рекомендациях приводится ряд мер по минимизации рисков возникновения угроз безопасности информации, обрабатываемой объектами КИИ, при осуществлении удаленного доступа. Руководствоваться рекомендованными мерами можно и не только во время пандемии. 

Национальный координационный центр по компьютерным инцидентам (НКЦКИ)
НКЦКИ опубликовал уведомление об угрозах безопасности информации, связанных с пандемией коронавируса. НКЦКИ предупреждает об активном использовании злоумышленниками ситуации вокруг пандемии коронавируса для осуществления широкого спектра вредоносной деятельности и публикует рекомендации по противодействию угрозам информационной безопасности. Специалисты НКЦКИ выделяют два типа вероятных угроз:
1. Мошенничество.
2. Угрозы, связанные с удаленным режимом работы.
Стоит отметить, что данные угрозы актуальны не только в обстоятельствах пандемии, а значит руководствоваться рекомендациями НКЦКИ можно и нужно не только в ее условиях.

Банк России
Банк России разработал и рекомендовал финансовым организациям меры по обеспечению киберустойчивости и информационной безопасности в условиях распространения коронавируса. Кредитным и некредитным финансовым организациям при реализации удаленного доступа с использованием мобильных устройств рекомендовано:

• применять технологий виртуальных частных сетей;
• применять многофакторную аутентификацию;
• применять терминальный доступ (по возможности);
• обеспечить мониторинг и контроль действий пользователей удаленного доступа.

При этом при реализации рекомендаций необходимо использовать ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.1-2017). В частности, в ГОСТ Р 57580.1-2017 выделен целый блок под описание мер по защите информации при осуществлении удаленного логического доступа работников финансовой организации с использованием мобильных (переносных) устройств.
Также в информационном сообщении Банк России устанавливает временные регуляторные послабления в отношении финансовых организаций, допустивших нарушение требований нормативных актов Банка России.

---

Требования доверия

ФСТЭК России 5 марта 2020 г. разместила для общего доступа выписку из Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 30 июля 2018 г. № 131 (далее – Требования к уровням доверия).

Выполнение Требований к уровням доверия является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств защиты информации (далее – СрЗИ). Требования к уровням доверия носят гриф «Для служебного пользования», а СрЗИ, соответствующие 1, 2 и 3 уровням доверия, должны применяться в информационных (автоматизированных) системах, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну. Поэтому опубликованная выписка содержит лишь информацию о требованиях, предъявляемых к 4, 5 и 6 уровню доверия.

Информация о том, в каких случаях необходимо применение СрЗИ, соответствующих 4, 5 и 6 уровню доверия, приведена в таблице ниже. 

СрЗИ, соответствующие уровню доверия	Класс систем, требующий применения соответствующих СрЗИ	Уровни контроля по выявлению уязвимостей и НДВ
6 уровень доверия	- Значимые объекты КИИ 3 категории - ГИС 3 класса защищенности - АСУ производственными и технологическими процессами 3 класса защищенности - ИСПДн при 3 и 4 УЗ ПДн	6 уровень контроля
5 уровень доверия	- Значимые объекты КИИ 2 категории - ГИС 2 класса защищенности - АСУ производственными и технологическими процессами 2 класса защищенности - ИСПДн при 2 УЗ ПДн	5 уровень контроля
4 уровень доверия	- Значимые объекты КИИ 1 категории - ГИС 1 класса защищенности - АСУ производственными и технологическими процессами 1 класса защищенности - ИСПДн при 1 УЗ ПДн - Информационные системы общего пользования II класса	4 уровень контроля

Перечень сокращений и обозначений: 
АСУ – автоматизированные системы управления; 
ГИС – государственные информационные системы; 
ИСПДн – информационные системы персональных данных; 
КИИ – критическая информационная инфраструктура; 
НДВ – недекларированные возможности; 
ПДн – персональные данные; 
УЗ – уровень защищенности.

---

СКЗИ и 382-П

Банком России совместно с ФСБ России разработаны и опубликованы требования к средствам криптографической защиты информации (далее – СКЗИ), которые указаны в пункте 2.20 положения Банка России от 9 июня 2012 г. № 382-П. Напомним, что с 1 января 2024 г. Указанием Банка России от 07.05.2018 № 4793-У Положение № 382-П дополняется новым пунктом 2.20. Абзацы третий – пятый указанного пункта вступают в силу с 1 января 2031 г.

К СКЗИ в частности относятся:
• аппаратный модуль (hsm-модуль);
• платежные устройства с терминальным ядром;
• платежные карты.

Перечень документов, устанавливающих требования к выше указанным СКЗИ, приведен ниже:

• Требования к средствам криптографической защиты информации в платежных устройствах с терминальным ядром, серверных компонентах платежных систем (HSM модулях), платежных картах и иных технических средствах информационной инфраструктуры платежной системы, используемых при осуществлении переводов денежных средств, указанных в пункте 2.20 положения Банка России от 9 июня 2012 г. №382-П.
• Функционально-технические требования к техническим средствам и программному обеспечению, реализующим СКЗИ в платежных устройствах с терминальным ядром.
• Функционально-технические требования к платежным картам (криптомодуль, приложение).
• Функционально-технические требования к аппаратному модулю безопасности (HSM-модуль).
• Порядок взаимодействия участников процесса поддержания актуального состояния функционально-технические требований к средствам криптографической защиты информации.