Приказ ФСБ по защите ПДн
ФСБ России опубликовала финальный текст проекта приказа по защите персональных данных, который уже рассматривался в октябрьском обзоре 2013 года. По сравнению с предыдущим вариантом проекта текущая версия документа:
— предусматривает требования по безопасности только для помещений, в которых размещены или хранятся средства криптографической защиты информации и ключевые документы, а не для помещений, в которых осуществляется обработка персональные данные (ПДн);
— определяет необходимость установления правил доступа в такие помещения в нештатных ситуациях.
Ранее проект приказа подвергался жесткой критике со стороны экспертов в области информационной безопасности (ИБ), предложения которых в основной части не были учтены и в финальной версии документа.
Новые изменения в Положение Банка России № 382-П
Банк России опубликовал проект «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П „О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств“. Проект подготовлен Департаментом НПС Банка России.
По сравнению с текущей редакцией Положения Банка России № 382-П (далее — 382-П) проект расширен за счет требований к обеспечению защиты информации при осуществлении переводов денежных средств:
— с применением банкоматов и платежных терминалов;
— с применением платежных карт;
— с использованием сети Интернет (систем Интернет-банкинга и мобильного банкинга);
Среди нововведений:
— требования к порядку разработки и распространения ПО, предназначенного для использования клиентом при переводе денежных средств;
— расширение требований по повышению осведомленности клиентов о возможных рисках получения несанкционированного доступа к защищаемой информации и рекомендуемых мерах по их снижению;
— требования о необходимости проведения классификации банкоматов и платежных терминалов, используемых при осуществлении переводов денежных средств, результаты которой должны учитываться при выборе мер защиты;
— процедура приостановления проведения платежа оператором по переводу денежных средств в случае обнаружения признаков мошеннических действий;
— требование по применению платежных карт, оснащенных микропроцессором, с 2015 года и запрет выпускакарт, не оснащенных микропроцессором, после 1-го января 2015 года;
— 29 новых показателей оценки.
Создание национальной системы платежных карт
В ответ на остановку работы Visa и MasterCard с банками, попавшими под санкции США, Президент РФ подписал закон о создании в России национальной системы платежных карт (НСПК) и обеспечении бесперебойности работы международных платежных систем. В соответствии с принятым законом оператор НСПК создается в форме ОАО, 100% которого принадлежит Банку России. Кроме того, законодатели значительно ужесточили требования к работе международных платежных систем, имеющих расчетно-клиринговые центры за пределами РФ. Закон предусматривает обеспечительный взнос, вносимый на счет ЦБ, размер которого должен равняться сумме переводов денежных средств, осуществленных на территории РФ в течение двух дней.
Новые СТО БР
Распоряжениями Банка России от 17 мая 2014 года № Р-399 и № Р-400 с 1 июня 2014 года вводятся в действие:
— пятая редакция стандарта Банка России „Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения“ (регистрационный номер СТО БР ИББС-1.0-2014);
— четвертая редакция стандарта Банка России „Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014“ (регистрационный номер СТО БР ИББС-1.2-2014);
— рекомендации в области стандартизации Банка России „Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Менеджмент инцидентов информационной безопасности“ (регистрационный номер РС БР ИББС-2.5-2014).
Вместе с тем с 1-го июня отменяются предыдущие версии СТО 1.0 и 1.2, а также рекомендации РС 2.3, посвященные защите ПДн, и РС 2.4, определяющие отраслевую модель угроз безопасности ПДн.
При разработке новых редакций стандарты были актуализированы и приведены в соответствие с 382-П. Так например, в СТО БР ИББС-1.0-2014 в список защищаемых активов добавлена информация, отнесенная к защищаемой информации в соответствии с 382-П, уточнен список операций в ДБО, требующих регистрации, а в приложении к СТО БР ИББС-1.2-2014 приведена таблица соответствия частных показателей из СТО и показателей из текущей редакции 382-П. Правда, степень ее актуальности вызывает вопросы в условиях готовящихся изменений в 382-П.
Помимо приведения стандартов в соответствие требованиям 382-П, документы актуализированы и с учетом последних изменений законодательства в сфере защиты ПДн: добавлены ссылки на Постановление Правительства №1119 и Приказ ФСТЭК России №21.
В целом, глобальных изменений в документах не произошло, часть требований расширена или перегруппирована.
Новый документ РС БР ИББС-2.5-2014 содержит высокоуровневые рекомендации по выстраиванию процесса управления инцидентами на основе циклической модели Деминга, традиционно применяемой для описания систем менеджмента. Помимо рекомендаций, сгруппированных по трем основным группам (планирование, реализация, анализ), документ включает рекомендации к классификации инцидентов ИБ и использованию классификатора инцидентов ИБ в процессе их обработки. При проведении классификации инцидентов ИБ, согласно РС-2.5, рекомендуется осуществлять описание инцидентов ИБ с помощью предварительно установленного набора признаков (атрибутов). При этом в приложении к документу приводится примерный перечень типов событий ИБ и классификатор инцидентов ИБ.
Защита информации для блогеров
Новый Федеральный закон от 05.05.2014 N 97-ФЗ „О внесении изменений в Федеральный закон „Об информации, информационных технологиях и о защите информации“ и отдельные законодательные акты РФ по вопросам упорядочения обмена информацией с использованием информационно-телекоммуникационных сетей“ устанавливает требования по защите информации для блогеров. Согласно закону, блогером считается владелец Интернет-сайта или страницы Интернет-сайта, на которых размещается общедоступная информация и доступ к которым в течение суток составляет более трех тысяч пользователей.
Такие лица с 1 августа 2014 года будут обязаны:
— соблюдать требования законодательства РФ, регулирующие порядок распространения массовой информации;
— проверять достоверность размещаемой общедоступной информации до ее размещения и незамедлительно удалять размещенную недостоверную информацию;
— не допускать использование сайта или страницы сайта в сети в целях совершения уголовно наказуемых деяний, для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну, для распространения материалов, содержащих публичные призывы к осуществлению террористической деятельности или публично оправдывающих терроризм, других экстремистских материалов, а также материалов, пропагандирующих порнографию, культ насилия и жестокости, и материалов, содержащих нецензурную брань;
— не допускать распространение информации о частной жизни гражданина с нарушением гражданского законодательства, а также соблюдать честь, достоинство и деловую репутацию граждан и организаций.
Стоит подчеркнуть, что установленные обязанности распространяются не только на информацию, размещаемую на сайте или странице самим блогером, но и другими пользователями сети Интернет. Таким образом, блогер несет полную ответственность за содержание всех комментариев, которые оставлены на его сайте посторонними пользователями.
Кроме того, блогеры должны будут разместить на сайте свою фамилию, инициалы и электронный адрес для направления юридически значимых сообщений, а также решения суда, содержащие требование о их опубликовании на данном сайте или странице сайта.
Со стороны государства организуется ведение реестра сайтов блогеров и их мониторинг. При выявлении сайта, не вошедшего в реестр, в адрес провайдера хостинга будет направляться уведомление о необходимости предоставления данных, позволяющих идентифицировать блогера. При этом уведомление будет направляться как на русском, так и на английском языках, что явно подразумевает возможность отправки запроса иностранным организациям.
Данный закон вызывает очень много вопросов, связанных с выполнением установленных требований, не говоря уже о реакции Интернет-сообщества на его опубликование.
Новые проекты нормативных актов по защите информации
В мае была опубликована целая серия проектов нормативных актов, связанных с вопросами ИБ:
— Проект Постановления Правительства Российской Федерации „Об утверждении Порядка обмена электронными документами при организации информационного взаимодействии государственных органов и организаций“;
— Проект Указа Президента Российской Федерации „О компетентном органе, ответственном в Российской Федерации за реализацию Соглашения о защите секретной информации в рамках Содружества Независимых Государств“;
— Проект Постановления Правительства Российской Федерации „Об установлении Дня специалиста по защите информации“;
— Проект Федерального закона „О внесении изменений в статьи 187 и 272 Уголовного кодекса Российской Федерации“;
— Проект Федерального закона „О внесении изменений в Федеральный закон „Об информации, информационных технологиях и о защите информации“.
Наиболее интересными среди предлагаемых изменений являются предложения об установлении:
— в статье 187 Уголовного кодекса ответственности за изготовление для сбыта или сбыт электронных средств и носителей информации, иных технических устройств, компьютерных программ, предназначенных для неправомерного перевода денежных средств в рамках применяемых форм безналичных расчетов.
— профессионального праздника — Дня специалиста по защите информации, отмечаемого 20 февраля.
Обезличивание ПДн в государственных и муниципальных органах
В прошедшем месяце Минкомсвязь разработало проект нового Постановления Правительства, вносящего изменения в Постановление Правительства №211, определяющего перечень мер, направленных на обеспечение безопасности ПДн для государственных или муниципальных органов. Предлагаемые поправки направлены на устранение коллизии, связанной с наличием обязательного требования по обезличиванию ПДн даже в том случае, если оно не требовалось, что значительно усложняло процесс приведения процессов обработки ПДн в соответствие требованиям законодательства.