Стандарт безопасной разработки ПО
В начале июня стало известно о введении в действие нового национального стандарта ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», утвержденного Росстандартом.
Новый стандарт устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного программного обеспечения (ПО) и обеспечением оперативного устранения выявленных пользователями ошибок и уязвимостей программ.
Меры по разработке безопасного ПО определяются для каждого этапа жизненного цикла ПО:
- анализ требований к ПО;
- проектирование архитектуры программы;
- конструирование и комплексирование ПО;
- тестирование ПО;
- инсталляция и приёмка ПО;
- эксплуатация ПО;
- менеджмент документацией и конфигурацией ПО;
- управление инфраструктурой среды разработки;
- управление людскими ресурсами.
Для каждой группы мер в стандарте определяются цели и результаты их реализации.
Стандарт предназначен для разработчиков и производителей ПО, а также для организаций, выполняющих оценку соответствия процесса разработки ПО установленным требованиям.
Защита информации в кредитных рейтинговых агентствах
Банк России в своем указании установил требования к сохранности и защите информации, полученной в процессе деятельности кредитных рейтинговых агентств.
Кредитное рейтинговое агентство на постоянной основе должно обеспечивать сохранность и защиту информации, полученной в процессе своей деятельности, включая сведения, полученные агентством от рейтингуемого лица, а также созданные агентством в процессе рейтинговой деятельности.
Предусмотренные указанием ЦБ РФ организационные и технические меры по обеспечению сохранности и защиты информации включают:
- разработку внутренних документов, регламентирующих порядок обеспечения сохранности и защиты информации;
- создание структурного подразделения или назначение работника, ответственного за обеспечение сохранности информации;
- хранение информации на территории РФ и размещение резервных копий информации в местах, отличных от мест размещения носителей информации;
- недопущение воздействия на объекты информационной инфраструктуры, в результате которого нарушается их функционирование;
- обеспечение сохранности и защиты информации при взаимодействии с третьими лицами, которым предоставляется доступ к информации;
- совершенствование методов и средств обеспечения сохранности и защиты информации;
- обеспечение документирования деятельности, направленной на обеспечение сохранности и защиты информации;
- и др.
Противодействие терроризму «по-новому»
7 июля Президент РФ подписал закон, вносящий изменения в антитеррористическое законодательство Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности.
В рамках принятия антитеррористических мер операторов связи и организаторов распространения информации в сети Интернет обязали хранить информацию пользователей и передавать ее уполномоченным органам.
В частности:
- информацию о фактах приема, передачи, доставки и/или обработки (т. е. метаданные) голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи операторы связи обязаны хранить в течение 3-х лет с момента окончания осуществления таких действий. Аналогичное требование для организаторов распространения информации в сети Интернет устанавливает необходимость хранения такой информации, а также информации о пользователях в течение 1 года.
- текстовые сообщения пользователей, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей (т. е. содержание звонков и переписки) операторы связи и организаторов распространения информации в сети Интернет обязаны хранить до 6 месяцев с момента окончания их приема, передачи, доставки и/или обработки.
При этом, хранение информации должно осуществляться на территории РФ.
Помимо прочего, организаторы распространения информации в сети Интернет обязаны предоставлять в ФСБ России информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых или обрабатываемых электронных сообщений.
Кроме того, закон предусматривает значительное увеличение штрафов за несоблюдение оператором связи установленного порядка идентификации абонентов: от 800 тыс. (ранее от 3 тыс.) до 1 млн. рублей (ранее 500 тыс.).
Изменения коснулись и операторов почтовой связи, которые теперь обязаны принимать меры по недопущению к пересылке в почтовых отправлениях запрещенных предметов и веществ. Для этого разрешается использование рентгенотелевизионных, радиоскопических установок, стационарных, переносных и ручных металлодетекторов, газоаналитической и химической аппаратуры, а также других устройств.
Закон вступает в силу с 20 июля 2016 года, за исключением пунктов, устанавливающих для операторов связи и организаторов распространения информации в сети Интернет сроки хранения информации о содержании звонков и переписки, которые вступят в силу с 1 июля 2018 года. Именно к этому сроку операторам связи и Интернет-провайдерам придется решить глобальные технические и экономические вопросы, связанные с реализации новых требований, которые, по независимым оценкам, потребуют порядка 2,2 трлн. руб.