Думские страсти по ПДн
В середине декабря Госдума утвердила поправку к 242-ФЗ, согласно которой требование о хранении персональных данных (ПДн) на серверах, расположенных на территории РФ, вступит в силу с 1 сентября 2015 года.
Историю внесения данных поправок уже смело можно называть драматической. Еще в июле прошлого года Государственно Думой были приняты поправки в законодательство, обязывающие выполнить установленные требования по хранению ПДн российских пользователей
с 1 сентября 2016 года. Однако в сентябре в Госдуму был внесен законопроект, сдвигающий этот срок на 1 января 2015 года. Он был одобрен во втором чтении 24 сентября 2014 и вынесен на третье чтение, на котором было принято решение…вернуть документ к процедуре второго чтения для внесения корректировки. В итоге, утвержденная версия законопроекта содержит компромиссный вариант — 1 сентября 2015 года.
По заявлению депутатов законопроект является вынужденной мерой, принятой на фоне осложнения международной ситуации, и призван защитить интересы россиян и государства.
ФСБ России отвечает на вопросы
Благодаря эксперту в области ИБ Артему Агееву стала известна официальная позиция ФСБ России по вопросу относительно перечня документов, которыми необходимо руководствоваться при организации защиты ПДн с использованием криптографических средств. Данный вопрос связан с выходом приказа ФСБ России №378, появление которого вызвало сомнения в необходимости использования «старых» документов ФСБ России и ныне не существующего ФАПСИ.
В официальном ответе ФСБ России определяется следующий перечень документов, обязательных для выполнения операторами ПДн:
- ФЗ №152 «О персональных данных»;
- Постановление Правительства №1119;
- Приказ ФСБ России №378;
- ПКЗ-2005;
- Приказ ФАПСИ №152.
При этом, использовать положения документов «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации,
не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» и «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» при обеспечении безопасности ПДн более не следует.
Что год грядущий нам готовит?
Накануне Нового года экспертами Лаборатории Касперского в рамках годового отчета были опубликованы результаты анализа киберугроз 2014 года и прогноз на 2015 год.
Согласно проведенным исследованиям, состояние в области киберугроз 2014 года можно охарактеризовать следующими десятью ключевыми особенностями:
- Расширение географии и числа целевых атак и вредоносных кампаний.
- Эксплуатация уязвимостей «интернет-вещей» (бытовых устройств, имеющих подключение к сети Интернет) и неисправленных уязвимостей в широко используемом программном обеспечении (Heartbleed и Shellshock).
- Продолжающийся экспоненциальный рост мобильных вредоносных программ.
- Рост числа программ-вымогателей, не только блокирующих доступ к компьютеру жертвы с целью получения выкупа за восстановление нормального доступа к нему, но и шифрующие данные пользователя.
- Рост числа атак на банкоматы в последние годы с применением вредоносного ПО.
- Использование уязвимостей ОС Windows XP, для которой прекращен выпуск обновлений и исправлений безопасности, но до сих пор широко используемой.
- Рост популярности Tor среди киберпреступников для размещения своей вредоносной инфраструктуры.
- Утечка конфиденциальных данных в следствие использования слабых паролей и брешей в системе безопасности облачных сервисов.
- Злонамеренное использование программ, разработанных в легитимных целях.
- Достижение значимых успехов международного сотрудничества правоохранительных органов в противодействии киберпретсупникам.
Что касается нового 2015 года, то эксперты Лаборатории Касперского прогнозируют:
- рост числа целевых атак АРТ-класса с целью незаконного получения финансовой выгоды онлайн;
- увеличение количества атак на банкоматы с использованием АРТ-техник, а также взлом компьютерных сетей банков и использование полученного доступа для манипуляции банкоматами в режиме реального времени;
- усиление вредоносных атак на Mac OS X;
- увеличения количества атак на эти общественные ресурсы (например, транспортные системы по продаже билетов);
- распространение атак на виртуальные платежные системы;
- рост числа и усложнение вредоносных атак на «интернет-вещи».
Помимо Лаборатории Касперского прогнозы в области ИБ были подготовлены различными отечественными и зарубежными экспертами (Алексей Лукацкий, Андрей Прозоров, InfoSec Institute, SANS Technology Institute) и вендорами (Websence, Trend Micro, Symantec и др.).