Юлия Новоселова, аналитик УЦСБ, представила обзор изменений в законодательстве за февраль 2013
О том, чего все так ждали
Приказ ФСТЭК «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», проект которого активно обсуждался с декабря прошлого года, был подписан 18-го февраля и отправлен на регистрацию в Минюст РФ. Вступление в действие данного документа должно привнести некоторую ясность в сложившуюся законодательную неопределенность в сфере защиты ПДн, и теперь мы с нетерпением ждем его официального опубликования.
Роскомнадзор, копии паспортов и биометрические ПДн
Благодаря блоггеру Андрею Прозорову, стало известным официальное мнение Роскомнадзора относительно вопроса, связанного с отнесением скан-копий (ксерокопий) паспортов и фотографий субъектов к биометрическим ПДн.
Согласно полученным ответам:
1. Фотография лица субъекта, в том числе фото на копии или скан-копии паспорта, с указанием дополнительных ПДн субъекта относится к биометрическим ПДн.
2. Использование и хранение фотографий субъектов ПДн на корпоративном портале, а также в системе управления контролем доступа (и в других информационных системах) подпадает под нормы ч. 1 ст. 11 152-ФЗ (биометрические ПДн).
Между тем, мнение экспертов в ИБ-сообществе по данному вопросу разделилось. Первые принимают ответ Роскомнадзора как данность, разводят руками от безысходности и, ссылаясь на выданные предписания, рекомендуют выполнять требования законодательства по защите биометрических ПДн. Другие — считают такой ответ регулятора неправомочным и, при необходимости, готовы оспаривать решение в суде.
Безопасность ДБО
В рамках прошедшего Инфофорума 2013 были анонсированы новые методические рекомендации Банка России по безопасности ДБО, включающие 9 групп требований:
1. Требования по идентификации и аутентификации клиентов.
2. Требования по идентификации и аутентификации клиента и удаленного банка.
3. Требования по аутентификации и регистрации операций.
4. Требования по защите транзакций.
5. Требования к криптографической подсистеме
6. Требования по хранению ключей.
7. Требования по безопасности программного окружения.
8. Требования к журналам и аудиту.
9. Технологические требования.
Состав требований для конкретной системы ДБО зависит от определяемого уровня безопасности: минимального, стандартного или повышенного.
По оценкам экспертов новые рекомендации не должны вызвать особых трудностей для банков с точки зрения их толкования и выполнения.
MUST DO при хищении денежных средств в системах ДБО
«Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах ДБО, использующих электронные устройства клиента», утвержденные Ассоциацией российских банков и НП «Национальный платежный совет» в феврале этого года, содержат краткие инструкции по действиям пострадавших клиентов, банка получателя и банка плательщика в случае выявления хищения денежных средств в системах ДБО. Данные рекомендации направлены на обеспечение сохранности доказательств и возможности оперативного расследования факта хищения денежных средств. Одним из примеров рекомендаций для банков является обеспечение регистрации и хранение информации, относящейся к работе клиентов в системах ДБО не менее трех лет с момента последнего использования клиентом системы ДБО.
PCI DSS в «облаках» и для мобильных устройств
PCI Security Standards Council (PCI SSC) подготовил новые рекомендации по защите платежной информации и соответствию стандарту PCI DSS
— PCI DSS Cloud Computing Guidelines Information Supplement — рекомендации по выбору облачных решений и провайдеров.
— PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users — рекомендации для торгово-сервисных предприятий и конечных клиентов при использовании мобильных устройств для осуществления платежей.
Рекомендации PCI DSS Cloud Computing Guidelines Information Supplement призваны разрешить проблему подтверждения соответствия стандарту PCI DSS при обработке платежной информации в облачной среде. Документ кратко раскрывает суть технологии облачных вычислений, определяет особенности взаимоотношений и распределения обязанностей по защите платежной информации между клиентами и облачными провайдерами. Основной акцент сделан на разъяснении 12 базовых требований стандарта для каждого типа сервисной модели облачных вычислений, а также рассмотрении рисков и проблем безопасности, связанных с перемещением процесса обработки платежной информации в «облако».
Документ PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users содержит рекомендации, направленные на снижение рисков, связанных с использованием мобильных устройств для осуществления платежей. Выделяется три основных направления:
— обеспечение физической и логической безопасности мобильных устройств, включающее защиту от несанкционированного доступа, антивирусную защиту и др.;
— защита платежной информации от перехвата при ее передаче и хранении на мобильных устройствах;
— защита компонентов программно-аппаратных решений, используемых для мобильных платежей.
Взгляд NIST на электронную аутентификацию
NIST опубликовал проект документа Special Publication 800-63-2, Electronic Authentication Guideline, который описывает технические рекомендации по реализации электронной аутентификации, в том числе по аутентификации удаленных подключений пользователей к ИТ-системам через открытые каналы связи. Документ содержит детальное описание процесса аутентификации и его основных участников, рассматривает основные угрозы и определяет технические рекомендации в следующих направлениях:
—идентификация и регистрация субъекта доступа;
—управление токенами (аутентификаторами) и учетными данными субъекта доступа;
—протоколы, используемые для осуществления механизма аутентификации;
—передача результатов удаленной аутентификации третьим сторонам (в том числе в рамках Single-Sign-On).
ISO продлевает жизнь электронной подписи
ISO разработал новый стандарт ISO 14533, направленный на формирование подходов, способных обеспечить долгосрочную подлинность электронной подписи с целью развития ее использования в электронной торговле. Требования ISO 14533 также призваны обеспечить совместимость электронных подписей при проверке подлинности документов, обрабатываемых в различных информационных системах.
Новый стандарт состоит из двух частей:
— ISO 14533 -1:2012 Processes, data elements and documents in commerce, industry and administration — Long term signature profiles — Part 1: Long term signature profiles for CMS Advanced Electronic Signatures (CAdES)
— ISO 14533-2:2012 Processes, data elements and documents in commerce, industry and administration — Long term signature profiles — Part 2: Long term signature profiles for XML Advanced Electronic Signatures (XAdES).