Обзор изменений в законодательстве за январь 2013

Коммерческая тайна становится явной

Михаил Емельянников напомнил о вступлении в силу с 01.01.2013 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», который прямо запрещает отнесение бухгалтерской (финансовой) отчетности к информации, составляющей коммерческую тайну. Всем, у кого установлен режим КТ, рекомендуется пересмотреть перечни информации, составляющей КТ, и при необходимости внести в них коррективы. Наличие в перечнях неохраноспособной информации грозит признанием отсутствия у него юридической силы и оспариванием правомерности установления режима КТ вообще.

Роскомнадзор легитимизирует свои полномочия в сфере ПДн

Министерство экономического развития опубликовало проект постановления Правительства «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки ПДн требованиям ФЗ „О ПДн“». С помощью данного законопроекта Роскомнадзор напоминает всем: 

•запросы документов Роскомнадзором по обращениям субъектов ПДн не являются документарными проверками; 

•любые запросы документов Роскомнадзором должны сопровождаться мотивированным письменным запросом; 

•Роскомнадзор имеет право получать доступ к ИСПДн; 

•Роскомнадзор имеет право применять меры по приостановлению или прекращению деятельности, осуществляемой с нарушением ФЗ «О ПДн»; 

•проверки государственных и муниципальных органов, а также физических лиц проводятся в соответствии с внутренними планами Роскомнадзора и не публикуются, как это делается в отношении юридических лиц и ИП; 

•внеплановые проверки Роскомнадзора не требуется согласовывать с прокуратурой; 

•аккредитованные эксперты могут проверять выполнение только положений части 1 статьи 18.1 ФЗ «О ПДн», за исключением пункта 3.

При этом борьбу за перетягивание полномочий от ФСТЭК и ФСБ Роскомнадзор проиграл — в тексте проекта документа значится:

Действие данного Положения не распространяется на деятельность по осуществлению контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности ПДн, установленных в соответствие со статьей 19 ФЗ «О ПДн».

ФСТЭК продолжает работать над требованиями по защите ПДн

Как сообщают в экспертном сообществе, ФСТЭК активно продолжает работу по совершенствованию проекта документа «Состав и содержание организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПД». Судя по всему, окончательная редакция документа примет такой вид: 

•требование обязательной сертификации будет заменено требованием проведения оценки соответствия; 

•появится указание, что базовый перечень мер может быть как расширен, так и уменьшен в соответствии с моделью угроз и составом компенсирующих мер; 

•требования будут упорядочены и представлены более логичным образом (возможно, терминальные станции будут вынесены в отдельный пункт); 

•будет ликвидировано требование о маркировании носителей информации; 

•будет внесено уточнение об обработке ПДн вне контролируемой зоны.

Кроме того, есть вероятность того, что положения по сертификации на отсутствие НДВ канут в Лету, чему нельзя не порадоваться.

ФСТЭК поддерживает популярные нововведения

В картину изменений, относящихся к переходу к предоставлению государственных услуг в электронном виде, о которых говорилось в недавней заметке, вписывается новый проект постановления Правительства, вносящий изменения в «Положение о размещении и использовании на территории РФ, на континентальном шельфе и в исключительной экономической зоне РФ иностранных технических средств наблюдения и контроля». Теперь заявители на этапе подготовки международных научных и научно-технических программ (проектов), в рамках которых планируется размещение и использование на территории РФ иностранных технических средств наблюдения и контроля, могут подавать запросы на такое размещение в форме электронного документа, подписанного усиленной квалифицированной электронной подписью заявителя.

Великая русская система обнаружения вторжений

15 января 2013 года подписан указ Президента № 31с, возлагающий на ФСБ полномочия по созданию государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России. Под информационными ресурсами понимаются ИС и ИТКС, находящиеся на территории России и в дипломатических представительствах и консульских учреждениях за рубежом.

Безусловно, тема защиты от компьютерных атак на национальном уровне как никогда актуальна — чего стоит только история с Red October, попавшая на телеэкраны, но не получившая значимых подтверждений своей правдивости. Другой вопрос — есть ли у ФСБ компетенции и ресурсы для создания такой системы? Эксперты склоняются скорее к отрицательному ответу на этот вопрос.

Необходимо отметить, что помимо создания Cистемы Обнаружения, Предупреждения и Ликвидации последствий ФСБ будет должна провести работу по совершенствованию нормативной базы: 

•разработать методику обнаружения компьютерных атак на ИС и ИТКС государственных органов; 

•определить порядок обмена информацией между ФОИВ о компьютерных инцидентах; 

•разработать методические рекомендации по организации защиты критической информационной инфраструктуры России от компьютерных атак; 

•определить порядок обмена информацией между ФОИВ и уполномоченными органами иностранных государств (международными организациями) о компьютерных инцидентах, связанных с функционированием информационных ресурсов.

Задачи — одна тривиальней другой.

ФСБ обновляет административный регламент

В конце прошлого года был утвержден новый «((http://minjust.consultant.ru/page.aspx?66637 Административный регламент ФСБ... по принятию решений о возможности ввоза... и вывоза... специальных технических средств, предназначенных для негласного получения информации». Значимые отличия от предыдущего регламента отсутствуют. Стоит обратить внимание только на то, что согласно старому регламенту при вывозе СТС их образцы предоставлялись для испытаний по требованию, а согласно новому — безусловно.

Банкиры машут кулаками после драки

Вступление статьи 9 ФЗ «О НПС» в силу было перенесено. Тем временем Некоммерческое партнерство «Национальный платежный совет», одна из немногих банковских ассоциаций, выпускает «Рекомендации... по вопросам оказания клиентам услуг по переводу денежных средств с использованием электронных средств платежа», разъясняющее банкам, на что следует обратить внимание при выполнении положений статьи 9. Банкам рекомендуется: 

1. С учетом оценки рисков, устанавливать в договорах, заключенных между оператором по переводу денежных средств и клиентом, пониженные лимиты на совершение операций с использованием ЭСП 

2. Принимать возможные меры по информированию клиента, с которым заключен договор до 1 января 2013 года, о совершении каждой операции с использованием ЭСП, а также по приведению действующих договоров в соответствие с нормами статьи 9 Закона №161-ФЗ. 

3. Устанавливать в договорах, заключенных оператором по переводу денежных средств и клиентом, порядок определения момента получения клиентом уведомления об операции с использованием ЭСП, предусмотренного частью 4 статьи 9 Закона № 161-ФЗ, или порядок его определения. 

4. Детально регламентировать в договоре с клиентом порядок использования ЭСП. 

5. Проводить всесторонний, полный, объективный и непосредственный анализ оспоренных операций в установленный Законом №161-ФЗ срок и осуществлять возмещение клиенту денежных средств в порядке, предусмотренном частью 15 статьи 9 Закона № 161-ФЗ, только после установления факта отсутствия нарушения. 

6. Рассмотреть возможность ускоренного перехода на выпуск платежных карт, соответствующих стандарту EMV (оснащенных EMV-чипом).

Небезынтересно содержание третьего пункта рекомендаций:

В целях исключения спора о моменте получения клиентом уведомления об операции с использованием ЭСП, предусмотренного частью 4 статьи 9 Закона № 161-ФЗ, полагаем целесообразным в договорах, заключенных оператором по переводу денежных средств и клиентом, определять момент получения указанного уведомления или устанавливать порядок определения такого момента.

При этом в целях соблюдения баланса интересов сторон договора, и в соответствии с пунктом 2 статьи 1 ГК РФ, при определении порядка направления уведомлений клиенту об операциях с использованием ЭСП момент, с которого клиент будет считаться получившим уведомление оператора по переводу денежных средств, целесообразно определять с учетом разумного периода времени, необходимого для доставки уведомления в зависимости от способа его направления и используемой технологии.

В этой связи договор об использовании ЭСП может содержать указание на момент или событие в течение определенного периода времени после совершения оператором по переводу денежных средств действий, направленных на исполнение обязанности, предусмотренной частью 4 статьи 9 Закона № 161-ФЗ, и при наступлении которого клиент считается уведомленным о совершении операции с использованием ЭСП в порядке, установленном частью 4 статьи 9 Закона № 161-ФЗ.

Фактически, банкам рекомендуют включить в договор с клиентом следующее (или подобное) положение: «Обязанность банка по уведомлению клиента о совершении операции с использованием ЭСП считается исполненной по истечении 5 рабочих дней после направления информации об операции почтовым уведомлением на адрес клиента (по истечении 8 часов после размещения информации об операции в личном кабинете клиента, размещенном в сети Интернет по адресу...)». В этом свете интересно, решатся ли банки включить симметричные положения в отношении обязанности клиента по уведомлению о том, что указанных операций он не совершал? Скажем, что эта обязанность считается исполненной через 5 рабочих дней после направления почтового уведомления с острова Сахалин в Калининградский филиал одного из банков?

Несмотря на всю риторичность вопроса, его внимательное рассмотрение может заставить банки еще серьезней подходить к обеспечению безопасности при переводе денежных средств и, может быть, начать пользоваться правом в соответствии со пунктом 2 статьи 9 отказать клиенту в заключении договора об использовании электронного средства платежа.

Нелишним будет сказать, что Банк России тоже выпустил «Рекомендации по вопросам применения статьи 9...» в качестве приложения к своему письму 172-Т от 14.12.2012, в целом соответствующему рекомендациям НП «НПС».

PCI DSS на родном языке

В то время, как отраслевые ассоциации обсуждают в кулуарах перевод стандарта PCI DSS на русский язык, компания «Альянс ПРО» выпустила предварительную версию «Руководства по оценке рисков, требуемой в рамках соответствия стандарту PCI DSS». Экспертное сообщество отмечает высокое качество перевода.

Языческий бог будет задействован в генерации имитовставки 

Росстандарт с 1 января 2013 года ввел в действие стандарт хэш-функций ГОСТ Р 34.11-2012 (проектное название «Стрибог») взамен устаревшего ГОСТ Р 34.11-94. Среди достоинств нового стандарта: высокое быстродействие реализаций, возможность варьирования разрядности выходного значения, четко заданные в стандарте таблицы преобразований. Подробней о новом стандарте рассказывается в блоге группы компаний «Эшелон».

ГОСТ Р 53647.6-2012 «Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных» 

Указанный в заголовке новоявленный стандарт, судя по всему, являющийся переводом британского стандарта BS 10012:2009 «Data protection — Specification for a personal information management system», который был признан экспертным сообществом в целом соответствующим требованиям ФЗ «О ПДн».

Текст стандарта ещё не доступен, но и без него ГОСТ Р 53647.6-2012 вызывает ряд вопросов. Например, почему стандарт оказался в группе 53647, описывающей вопросы обеспечения непрерывности бизнеса? В британском прародителе, как несложно догадаться, о непрерывности бизнеса не было ни слова.

ISO/IEC 27013:2012 «Information technology — Security techniques — Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1»

В серии стандартов ISO 27-й серии пополнение: появился стандарт ISO/IEC 27013:2012, содержащий рекомендации по совместной реализации СУИБ на основе требований ISO 27001 и систем управления ИТ-услугами на основе требований ISO 20000-1. В открытом доступе содержание стандарта отсутствует. Однако, по слухам, он построен таким образом, что позволяет применять его как в случае, если обе системы управления создаются с нуля, так и в случаях, когда одна из систем управления совмещается с уже существующей.