Обзор изменений в законодательстве за февраль 2015

Глобальная лицензия на Интернет-контент

20 февраля стартовало публичное обсуждение законопроекта «Об авторском сборе», разработчиком которого является Минкультуры России. Законопроект направлен на регулирование отношений в информационно-телекоммуникационных сетях с целью соблюдения баланса интересов пользователей сети Интернет и правообладателей. Предполагается, что принятый ранее антипиратский закон не решил проблему защиты авторских прав. На этот раз предлагается ввести Глобальную лицензию на использование:

• музыкальных произведений (с текстом или без);
• записей исполнений и фонограмм;
• литературных и аудиовизуальных произведений.

Глобальная лицензия будет распространяться на всех пользователей сети Интернет и, предположительно, будет стоить 300 руб. в год. Плату будут взимать провайдеры вместе с платой за Интернет. Однако, не все поддерживают данную инициативу. Так, Минкомсвязи, Минэкономразвития, Федеральная антимонопольная служба и многие другие считают, что идея глобальной лицензии противоречит интересам России.

Обсуждение инициативы продлится до 21 апреля.

Продление сроков сертификатов соответствия на средства защиты информации

ФСТЭК России опубликовала Информационное сообщение, разъясняющее процедуру продления сроков действия сертификатов соответствия на средства защиты информации.

Напомним, что в соответствии с Постановлением правительства«О сертификации средств защиты информации», обязательной сертификации подлежат средства защиты информации, предназначенные для защиты государственной тайны и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. В остальных случаях сертификация является добровольной и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты.

Информационное сообщение разъясняет процедуру продления сроков действия сертификатов соответствия, инициируемую потребителем.

Поскольку срок действия сертификата соответствия не может превышать пяти лет, по истечении данного срока средство защиты подлежит повторной сертификации. Заявитель на сертификацию средства защиты информации не позднее, чем за три месяца до окончания срока действия сертификата должен принять решение о продлении или об отказе в продлении срока действия сертификата соответствия и проинформировать организации, эксплуатирующие данное средство, любым доступным способом.

В случае, если Заявитель на сертификацию отказывает в продлении срока действия сертификата, организация, эксплуатирующая данное средство защиты, может самостоятельно организовать продление срока действия данного сертификата соответствия.

Продление срока действия сертификата соответствия, инициируемое потребителем, возможно в следующих случаях:

• средство защиты информации функционирует с требуемой эффективностью;
• в организации имеется в наличии эксплуатационная документация на средство защиты информации;
• на средстве защиты информации или в эксплуатационной документации средства имеется в наличии знак соответствия ФСТЭК России для маркирования сертифицированной продукции;
• своевременно проведен ежегодный контроль соответствия требованиям безопасности информации системы защиты информации объекта информатизации, в состав которой входит средство защиты информации.

Для самостоятельного продления срока действия сертификата соответствия на средство защиты информации организация, эксплуатирующая данное средство, заблаговременно (до того момента, когда истечет действие старого сертификата) направляет в ФСТЭК России следующие документы:

• заявку;
• протоколы оценки эффективности средства защиты информации или протоколы оценки защищенности информации от несанкционированного доступа.

Протоколы должны быть оформлены не ранее, чем за 12 месяцев до дня отправки заявки, при проведении аттестационных испытаний или ежегодного контроля соответствия системы защиты информации объекта информатизации требованиям безопасности информации.

НАТО и ЕС берут под контроль цифровые технологии

Вассенаарское соглашение (The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and Technologies), предполагающее контроль над экспортом оборудования военного и двойного назначения, было дополнено пунктом о контроле программного обеспечения (кибероружия). Дополнения запрещают экспорт в недружественные страны шпионского (IP network surveillance systems) и наступательного (Intrusion software) ПО.

Таким образом, необходимо будет согласовывать с гос. органами своей страны (в основном соглашение распространяется на страны НАТО и ЕС) вывоз в другие страны программных технологий, в том числе если речь идет о специальных соревнованиях типаPwn2Own, на которой представляются 0day эксплойты.

Новинки от BSI

В январе этого года BSI опубликовал проекты сразу двух документов:

• ИСО/МЭК 27017 Information technology — Security techniques — Cloud computing security and privacy management system — Security controls, дополняющий требования ИСО/МЭК 27002 для облачных систем.
• ИСО/МЭК 27013 (2015) Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1, являющийся новой версией стандарта по совместному внедрению Системы менеджмента информационной безопасности (ISMS) и Системы управления ИТ-услугами (ITSM).