Обзор изменений в законодательстве за декабрь 2014

Думские страсти по ПДн

В середине декабря Госдума утвердила поправку к 242-ФЗ, согласно которой требование о хранении персональных данных (ПДн) на серверах, расположенных на территории РФ, вступит в силу с 1 сентября 2015 года.

Историю внесения данных поправок уже смело можно называть драматической. Еще в июле прошлого года Государственно Думой были приняты поправки в законодательство, обязывающие выполнить установленные требования по хранению ПДн российских пользователей
с 1 сентября 2016 года. Однако в сентябре в Госдуму был внесен законопроект, сдвигающий этот срок на 1 января 2015 года. Он был одобрен во втором чтении 24 сентября 2014 и вынесен на третье чтение, на котором было принято решение…вернуть документ к процедуре второго чтения для внесения корректировки. В итоге, утвержденная версия законопроекта содержит компромиссный вариант — 1 сентября 2015 года.

По заявлению депутатов законопроект является вынужденной мерой, принятой на фоне осложнения международной ситуации, и призван защитить интересы россиян и государства.

ФСБ России отвечает на вопросы

Благодаря эксперту в области ИБ Артему Агееву стала известна официальная позиция ФСБ России по вопросу относительно перечня документов, которыми необходимо руководствоваться при организации защиты ПДн с использованием криптографических средств. Данный вопрос связан с выходом приказа ФСБ России №378, появление которого вызвало сомнения в необходимости использования «старых» документов ФСБ России и ныне не существующего ФАПСИ.

В официальном ответе ФСБ России определяется следующий перечень документов, обязательных для выполнения операторами ПДн:

• ФЗ №152 «О персональных данных»;
• Постановление Правительства №1119;
• Приказ ФСБ России №378;
• ПКЗ-2005;
• Приказ ФАПСИ №152.

При этом, использовать положения документов «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации,
не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» и «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» при обеспечении безопасности ПДн более не следует.

Что год грядущий нам готовит?

Накануне Нового года экспертами Лаборатории Касперского в рамках годового отчета были опубликованы результаты анализа киберугроз 2014 года и прогноз на 2015 год.

Согласно проведенным исследованиям, состояние в области киберугроз 2014 года можно охарактеризовать следующими десятью ключевыми особенностями:

1. Расширение географии и числа целевых атак и вредоносных кампаний.
2. Эксплуатация уязвимостей «интернет-вещей» (бытовых устройств, имеющих подключение к сети Интернет) и неисправленных уязвимостей в широко используемом программном обеспечении (Heartbleed и Shellshock).
3. Продолжающийся экспоненциальный рост мобильных вредоносных программ.
4. Рост числа программ-вымогателей, не только блокирующих доступ к компьютеру жертвы с целью получения выкупа за восстановление нормального доступа к нему, но и шифрующие данные пользователя.
5. Рост числа атак на банкоматы в последние годы с применением вредоносного ПО.
6. Использование уязвимостей ОС Windows XP, для которой прекращен выпуск обновлений и исправлений безопасности, но до сих пор широко используемой.
7. Рост популярности Tor среди киберпреступников для размещения своей вредоносной инфраструктуры.
8. Утечка конфиденциальных данных в следствие использования слабых паролей и брешей в системе безопасности облачных сервисов.
9. Злонамеренное использование программ, разработанных в легитимных целях.
10. Достижение значимых успехов международного сотрудничества правоохранительных органов в противодействии киберпретсупникам.

Что касается нового 2015 года, то эксперты Лаборатории Касперского прогнозируют:

• рост числа целевых атак АРТ-класса с целью незаконного получения финансовой выгоды онлайн;
• увеличение количества атак на банкоматы с использованием АРТ-техник, а также взлом компьютерных сетей банков и использование полученного доступа для манипуляции банкоматами в режиме реального времени;
• усиление вредоносных атак на Mac OS X;
• увеличения количества атак на эти общественные ресурсы (например, транспортные системы по продаже билетов);
• распространение атак на виртуальные платежные системы;
• рост числа и усложнение вредоносных атак на «интернет-вещи».

Помимо Лаборатории Касперского прогнозы в области ИБ были подготовлены различными отечественными и зарубежными экспертами (Алексей Лукацкий, Андрей Прозоров, InfoSec Institute, SANS Technology Institute) и вендорами (Websence, Trend Micro, Symantec и др.).