Игорь Луканин, аналитик УЦСБ, представил обзор изменений в законодательстве за декабрь 2012 года
Роскомнадзор принимает помощь экспертного сообщества
На сайте Роскомнадзора опубликованы разъяснения, касающиеся обработки ПДн работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. В подготовке пояснений приняли участие известные блоггеры-безопасники Лукацкий, Емельянников, Волков и Токаренко. Как утверждается, выпущенные разъяснения — только первый шаг и вскоре работа по устранению разночтений ФЗ «О ПДн» будет продолжена.
Роскомнадзор назвал адекватные страны
Следует ожидать, что в первом квартале 2013 года будет утвержден приказ Роскомнадзора, определяющий перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн. В соответствии с логикой статьи 12 ФЗ «О ПДн» для трансграничной передачи ПДн на территорию этих государств письменное согласие субъекта ПДн более требоваться не будет. Наличие территориальных ограничений при трансграничной передаче ПДн — не новинка, европейско-американский Safe Harbor скоро отметит свое пятнадцатилетие.
Роскомнадзор планирует обновлять перечень не реже раза в год. На данный момент в него вошли следующие страны:
• Австралия;
• Ангола;
• Аргентина;
• Бенин;
• Гонконг;
• Израиль;
• Кабо-Верде;
• Канада;
• Малайзия;
• Марокко;
• Мексика;
• Монголия;
• Новая Зеландия;
• Перу;
• Южная Корея;
• Сенегал;
• Тунис;
• Чили;
• Швейцария.
Следует отметить, что несмотря на присутствие в списке отдельных стран, например, США и Япония адекватными не признаны. Методика формирования списка адекватных стран закрыта и, возможно, каким-то образом связана с асимметричным ответом на недавнее принятие определенного правового акта в некотором конфедеративном государстве.
ФСТЭК утверждает «наследника» СТР-К
В соответствии с приказом ФСТЭК России, с 1 марта 2013 года для защиты информации во вновь создаваемых или модернизируемых государственных информационных системах должны применяться «Требования о ЗИ, не составляющей ГТ, содержащейся в ГИС».
Хотя в приказе ничего не сказано об отмене «Специальных требований и рекомендаций по ТЗКИ», следует считать, что их чуть более, чем 10-летняя история завершена.
Лицензии ФСТЭК дорожают
ФСТЭК России опубликовал проекты приказов, увеличивающие размер пошлины, связанной с предоставлением государственных услуг, связанных с лицензированием деятельности по ТЗКИ и деятельности по разработке и производству СрЗИ. Так, предоставление лицензии теперь обойдется лицензиату в 6000 рублей вместо прежних 2600 рублей.
Банковское лобби как никогда сильно
Банкиры могут вздохнуть спокойно: вступление в силу ст. 9 ФЗ «О НПС», обязывающей банкиров уведомлять клиентов обо всех операциях и возмещать средства по операциях, совершенным без их согласия, если клиент сообщил о них в банк раньше, чем получил уведомление, отложено до 1 января 2014 года. Об опасениях банков, связанных со скорым вступлением в силу ст. 9, много было сказано в недавнем отчете о банковской конференции. И вот не сумевшие подготовиться за 18 месяцев банки получили отсрочку ещё 12 месяцев.
Хронология событий, более подробно описанная в статье издания «Коммерсантъ.Деньги»:
• депутат Владислав Резник выступает с инициативой отложить вступление в силу статьи 9 на 2 года;
• Минфин и Банк России отзываются жёсткой критикой;
• Резник предлагает отложить на 1 год;
• Минфин и Банк России несогласия не выражают, и поправки принимаются.
Как утверждает деловой еженедельник, поправки инспирированы крупными госбанками. Так, замдиректора департамента розничного бизнеса ВТБ 24 Юлия Деменюк считает от поправок выиграл не только ВТБ 24, но и весь рынок:
Было бы неверным утверждать, что другие банки готовы к вступлению в силу обсуждаемых положений закона. Дело в том, что банки, масштаб эмиссии которых в рамках индустрии безналичных платежей является значимым, обладают передовыми компетенциями в части обслуживания клиентов и наиболее пристально относятся как к необходимости четкого исполнения законодательных инициатив, так и к безопасности. Именно в данной связи экспертная оценка ведущих игроков рынка может выглядеть достаточно жесткой, однако это необходимо для получения в дальнейшем возможности эффективного и качественного исполнения положений закона 161-ФЗ.
Остается надеяться, что в течение года не сдохнет ни ишак, ни падишах, иначе в отрасли появится еще один «вечно переносимый» ФЗ, а ожидать появления в банках современных инструментов управления рисками придется гораздо дольше, чем 1 год.
Уголовный кодекс приводится в соответствие состоянию отрасли
Статья 159 «Мошенничество» до сей поры достаточно расплывчато определяла свой предмет: «хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием». В одних случаях это ограничивало сферу ее правоприменения, в других — позволяло ее произвольно расширить. Наконец, УК дополнен рядом частных норм:
• Статья 159.1 «Мошенничество в сфере кредитования»
• Статья 159.2 «Мошенничество при получении выплат»
• Статья 159.3 «Мошенничество с использованием платежных карт»
• Статья 159.4 «Мошенничество в сфере предпринимательской деятельности»
• Статья 159.5 «Мошенничество в сфере страхования»
• Статья 159.6 «Мошенничество в сфере компьютерной информации»
Теперь известно, что мошенничество в сфере кредитования — «хищение денежных средств заемщиком путем представления банку или иному кредитору заведомо ложных и (или) недостоверных сведений», мошенничество с использованием платежных карт — «хищение чужого имущества, совершенное с использованием поддельной или принадлежащей другому лицу кредитной, расчетной или иной платежной карты путем обмана уполномоченного работника кредитной, торговой или иной организации», мошенничество в сфере компьютерной информации — «хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или ИТКС».
В определениях возможно отыскать шероховатости, которые вызовут вопросы. Под «иными кредиторами» имелись в виду только небанковские кредитные и микрофинансовые организации или же в том числе иные лица? Что, если хищение с использованием платежной карты не было связано с обманом работника какой либо организации?
С другой стороны, в качестве позитивного факта следует отметить, что появлением статьи 159.3 УК законодатель достаточно оперативно реагирует на опасения банкиров, связанные со статьей 9 ФЗ «О НПС». Введение статьи 159.6 так же позитивно, но скорее всего мало отразится на отрасли: следует ожидать затруднений, аналогичные затруднениям в правоприменении по статьям 272—274 УК, даже не на судебной стадии, а на стадии следствия.
NIST IR 7298 (Rev. 2) — Glossary of Key Information Security Terms
NIST выпустил глоссарий ключевых терминов в области ИБ, откликаясь на многочисленные пожелания опубликовать сборник терминов, охватывающий как все публикации самого Национального института стандартов и технологий США, так и другие релевантные американские источники:
• NIST Federal Information Processing Standards (FIPS);
• NIST Special Publication (SP) 800 series;
• NIST Interagency Reports (NIST IR);
• Committee for National Security Systems Instruction 4009 (CNSSI-4009).
Характеристики документа впечатляют: 222 страницы, около 800 терминов. Уровень абстракции и полноты производит приятное впечатление, и каждый сможет найти себе термин-другой по вкусу:
Cryptographic Binding: Associating two or more related elements of information using cryptographic techniques.
Information Security Architect: Individual, group, or organization responsible for ensuring that the information security requirements necessary to protect the organization’s core missions and business processes are adequately addressed in all aspects of enterprise architecture including reference models, segment and solution architectures, and the resulting information systems supporting those missions and business processes.
Skimming: The unauthorized use of a reader to read tags without the authorization or knowledge of the tag’s owner or the individual in possession of the tag.
Vulnerability: Weakness in an information system, system security procedures, internal controls, or implementation that could be exploited or triggered by a threat source.
Бонус-трек
• Артем Аветян озвучил оригинальное мнение о вопросах, связанных с обработкой биометрических ПДн в свете «нового» ПП № 1119, вызвавшее небезынтересную для интересующихся правовой стороной защиты ПДн дискуссию.
• Евгений Царев с коллегой опубликовал первую и вторую статью, рассказывающие о развитии мошенничества в системах ДБО.