Обзор подготовлен Юлией Добровольской.
Мегарегулятор в области финансовых рынков
23 июля президентом был подписан Федеральный закон №251-ФЗ «О внесении изменении в некоторые законодательные акты Российской Федерации в связи с передачей Центральному банку Российской Федерации полномочий по регулированию, контролю и надзору в сфере финансовых рынков», в соответствии с которым Центральный банк становится полноправным регулятором в области финансовых рынков. При этом в ведение Центрального банка переходят все функции Федеральной службы по финансовым рынкам, являвшейся ранее федеральным органом исполнительной власти по рынку ценных бумагах и упраздненной с 1 сентября 2013 года.
Новости Роскомнадзор
В конце июля руководитель Роскомнадзор утвердил Рекомендации по ограничению операторами связи доступа к сайтам в сети Интернет с запрещенной информацией. Рекомендации описывают мероприятия по ограничению доступа к сайтам в сети Интернет, содержащим запрещенную информацию, предусматривающие применение технических и программно-аппаратных средств для ограничения доступа к конкретному URL таких интернет-сайтов.
Чуть позже в Роскомнадзор был подготовлен проект приказа «Об утверждении требований и методов по обезличиванию персональных данных». В приказе определяются требуемые свойства обезличенных ПДн, обеспечивающие возможность их обработки, а также устанавливаются требования к методам обезличивания.
В качестве наиболее перспективных и удобных для практического применения указываются следующие методы обезличивания:
— метод введения идентификаторов (замена части сведений (значений ПДн) идентификаторами с созданием таблицы (справочника) соответствия идентификаторов исходным данным);
— метод изменения состава или семантики (изменение состава или семантики ПДн путем замены результатами статистической обработки, обобщения или удаления части сведений);
— метод декомпозиции (разбиение множества (массива) ПДн на несколько подмножеств (частей) с последующим раздельным хранением подмножеств);
— метод перемешивания (перестановка отдельных записей, а так же групп записей в массиве ПДн.
Документ содержит описание предложенных методов обезличивания, способов их реализации и оценку свойств каждого метода.
И снова о биометрических ПДн
В конце августа на официальном сайте Роскомнадзор были опубликованы разъяснения по вопросам отнесения фото-, видеоизображений, дактилоскопических данных и иной информации к биометрическим Пдн и особенностей их обработки. Согласно документу главным критерием отнесения информации к биометрическим ПДн является использование такой информации для установления личности субъекта. То есть, физиологические данные (дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес и другие), а также иные физиологические или биологические характеристики человека, в том числе изображение человека (фотография и видеозапись), относятся к биометрическим ПДн, если они позволяют установить его личность и используются оператором для установления личности субъекта.
Согласно указанному критерию биометрическими ПДн НЕ являются:
— фотография, содержащаяся в личном деле работника;
— подпись субъекта, наличие которой в различных договорных отношениях является обязательным требованием;
— почерк, в том числе анализируемый уполномоченными органами в рамках почерковедческой экспертизы;
— рентгеновские или флюорографические снимки, характеризующие физиологические и биологические особенности человека, и находящиеся в истории болезни (за исключением случая их передачи органам следствия и дознания для проведения оперативно-розыскной деятельности);
— материалами видеосъемки в публичных местах и на охраняемой территории (за исключением случая их передачи органам следствия и дознания для проведения оперативно-розыскной деятельности).
Кроме того, в документе отмечается, что сканирование (ксерокопирование) документов, удостоверяющих личность, осуществляемое оператором без проведения процедур идентификации (установления личности), например, для заключения договора на оказание услуг, не могут считаться обработкой биометрических ПДн.
Защита розничных интернет-платежей
Банк России выпустил рекомендации по повышению уровня безопасности при предоставлении розничных платежных услуг с использованием информационно-телекоммуникационной сети Интернет (письмо Банка России от 5 августа 2013 г. № 146-Т).
В составе мер, направленных на повышение уровня безопасности указываются:
1. Проведение анализа рисков нарушения защиты информации и пересмотр его результатов.
2. Определение и корректировка мер защиты по результатам анализа рисков.
3. Доведение до клиентов информации о программно-технических и организационных мерах, способствующих повышению уровня безопасности и при получении розничных платежных услуг с использованием сети Интернет.
4. Применение мер, гарантирующих целостность и подлинность технических средств защиты информации, необходимых для получения розничных платежных услуг с использованием сети Интернет при их передаче клиентам.
5. Использование многофакторной и динамической аутентификации клиентов, а также подтверждения операций с помощью одноразовых паролей, доставляемых клиенту по альтернативному каналу связи, например, через SMS-сообщения.
6. Сбор, организацию хранения, систематизацию и анализ информации о предоставленных розничных платежных услугах и используемых электронных средствах платежа.
7. Установление лимитов на совершение операций.
Безопасность критически важных объектов
ФСБ подготовила проект закона «О безопасности критической информационной инфраструктуры Российской Федерации». В документе установлены основные направления и принципы обеспечения информационной безопасности критической информационной инфраструктуры.
В соответствии с новым законопроектом безопасность критической информационной инфраструктуры Российской Федерации и ее объектов обеспечивается за счет:
1. Категорирования объектов критической информационной инфраструктуры Российской Федерации на основе установленных критериев (экономической, социальной или экологической значимости, значимости для обеспечения обороноспособности и национальной безопасности, а также важности объекта).
2. Ведения реестров объектов критической информационной инфраструктуры с учетом их категории опасности.
3. Проведения оценки защищенности критической информационной инфраструктуры Российской Федерации при использовании:
— технических средств государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, созданной в соответствии с Указом Президента Российской Федерации от 15 января 2013 г. № 31с;
— технических средств, предназначенных для поиска признаков компьютерных атак в сообщениях электросвязи, установка которых может осуществляться в сетях электросвязи федеральным орган исполнительной власти, уполномоченный в области обеспечения безопасности.
4. Установления требований по обеспечению безопасности объекта критической информационной инфраструктуры Российской Федерации, включающих:
— организационные вопросы безопасности;
— требования к персоналу, непосредственно обеспечивающему функционирование и безопасность объектов критической информационной инфраструктуры Российской Федерации;
— требования к защите от вредоносного программного обеспечения и от компьютерных атак; — требования безопасности при взаимодействии с сетями связи общего пользования;
— требования к обеспечению безопасности информационных технологий в ходе эксплуатации информационно-телекоммуникационных систем.
В соответствии с законопроектом ответственность за обеспечение безопасности критически важных объектов делится между ФСБ России и ФСТЭК России, которые отвечают за критическую информационную инфраструктуру высокой и средней/низкой категорий опасности соответственно.
Оценку защищенности могут проводить аккредитованные ФСТЭК России организации. Для аккредитации организаций для осуществления ими деятельности по оценке защищенности объектов критической информационной инфраструктуры необходимо наличие лицензии на проведение работ, связанных с использованием сведений, составляющих государственную тайну, специальных средств анализа защищенности, прошедшего оценку соответствия и трех специалистов с высшим профессиональным образованием в области ИБ.
Наряду с безусловной важностью темы, на регулирование которой направлен рассматриваемый законопроект, экспертами в области ИБ, отмечается ряд существенных недостатков, заключающихся в нечеткости терминологии, отсутствии обоснований и конкретной методики классификации и категорирования критически важных объектов, наложении дополнительных обременений на лиц, владеющих объектами критической информационной инфраструктуры на праве собственности, и др.
Основы проектирования систем управления криптографическими ключами от NIST
В августе 2013 был опубликован новый документ NIST Special Publication 800-130 A Framework for Designing Cryptographic Key Management Systems, определяющий требования к выбору политик, процедур, основных компонентов и оборудования, необходимых для проектирования системы управления криптографическими ключами.
В документе рассматриваются различные типы криптографических ключей, структура метаданных и состояния жизненного цикла криптографического ключа. Для защиты компонентов системы управления криптографическими ключами NIST устанавливает ряд требований, предъявляемых к:
— физической безопасности;
— безопасности ОС и контролю устройств системы, в том числе антивирусной защите и мониторингу событий;
— сетевой безопасности;
— криптографическому модулю.
Кроме того, в документе рассматриваются вопросы тестирования и восстановления системы управления криптографическими ключами.