Обзор изменений в законодательстве за январь 2015

Защита информации для организаторов торговли

26 января в «Вестнике Банка России» было опубликовано Положение Банка России от 17 октября 2014 г. N 437-П «О деятельности по проведению организованных торгов», определяющее порядок проведения организованных торгов требования, включая требования к порядку хранения и защиты информации.

Согласно новому документу, вступающему в силу уже 6 февраля, организатор торговли должен разработать и утвердить внутренний документ, устанавливающий требования к порядку хранения и защиты информации и документов, связанных с проведением организованных торгов, а также к сроку их хранения.
Выделяются следующие основные направления реализации мер защиты:

• обеспечение защиты информации при управлении доступом и регистрацией;
• обеспечение защиты информации на этапах жизненного цикла автоматизированных систем;
• обеспечение защиты информации средствами антивирусной защиты;
• обеспечение защиты информации при использовании ресурсов информационно-телекоммуникационной сети «Интернет»;
• обеспечение защиты информации с использованием средств криптографической защиты информации;
• обеспечение защиты информации при назначении и распределении ролей;
• организация деятельности службы информационной безопасности;
• управление рисками нарушения защиты информации;
• регламентация и документирование деятельности по обеспечению защиты информации;
• повышение осведомленности работников в области обеспечения защиты информации;
• обнаружение инцидентов информационной безопасности и реагирование на них;
• мониторинг и анализ обеспечения защиты информации;
• своевременное совершенствование обеспечения защиты информации.

В целом, сформулированные в документе требования соответствуют требованиям, установленным в  Положении банка России №382-П. Исключение составляют меры защиты, связанные с управлением рисками и анализом обеспечения защиты информации.

Кроме того, отдельным пунктом нового Положения выделены требования к мерам, направленным на защиту баз данных от ошибок и несанкционированного доступа (НСД), включающие:

• определение порядка доступа к базам данных и защиту от НСД к базам данных;
• определение парольной политики;
• предотвращение сбоев и ошибок в работе средств проведения торгов;
• осуществление ежедневного резервного копирования информации.

Относительно работы с программно-техническими средствами, предназначенными для осуществления деятельности по проведению организованных торгов, документом устанавливается необходимость проведения регулярного (не реже одного раза в два года) контроля (аудита) основных процессов создания и эксплуатации автоматизированных систем, входящих в состав средств проведения торгов, включая контроль обеспечения информационной безопасности, с привлечением независимых консультантов.

Документ вступает в силу уже 6 февраля.

Зарегистрировано в Минюсте

В январе в Минюсте были зарегистрированы два документа в области информации и информатизации:

• Приказ Минтранса России от 05.09.2014 №242, уточняющий порядок передачи сведений о пассажирских перевозках при формировании автоматизированных централизованных баз персональных данных о пассажирах в автоматическом режиме. Теперь помимо персональных данных пассажиров в автоматизированные централизованные базы будут включаться данные экипажа транспортных средств
• Приказ Роскомнадзора от 22.12.2014 №188, определяющий порядок ведения реестра организаторов распространения информации в сети «Интернет» (интернет-площадки, блог-хостинг платформы). Сведения, содержащиеся в реестре, размещаются Роскомнадзором на сайте www.97-fz.rkn.gov.ru, и могут быть предоставлены по запросу в форме бумажных и электронных выписок.

Новые ГОСТы

Еще в прошлом году список принятых российских стандартов в сфере обеспечения информационной безопасности пополнили сразу три новых ГОСТ Р:

• ГОСТ Р ИСО/МЭК 27007-2014 Информационная технология. Методы и средства обеспечения безопасности. Руководства по аудиту систем менеджмента информационной безопасности;
• ГОСТ Р 56045-2014 Информационная технология. Методы и средства обеспечения безопасности. Рекомендации для аудиторов в отношении мер и средств контроля и управления информационной безопасностью;
• ГОСТ Р ИСО/МЭК 27034-1-2014 Информационная технология. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия.

Данные стандарты будут введены в действие с 1 июня 2015 года.

ГОСТ Р ИСО/МЭК 27007-2014 представляет собой дополнение к рекомендациям стандарта ИСО 19011:2011, определяющего требования к проведению аудита систем менеджмента, применительно к системам управления информационной безопасности. Документ содержит подробное руководство по организации и проведению аудитов систем менеджмента информационной безопасности, включая:

• разработку, реализацию, мониторинг и совершенствование программы аудита;
• подготовку отчета об аудите и действия по его результатам;
• определение компетентности аудиторов и критериев его оценки.

Практическое руководство по аудиту СМИБ, содержащееся в приложении к ГОСТ Р, включает описание критериев и предполагаемых свидетельств аудита.

ГОСТ Р 56045-2014 содержит детальное описание процесса проверки мер и средств контроля и управления информационной безопасностью, включая сбор предварительной информации, разработку контрольного перечня для проверок, получение, документирование и анализ свидетельств, а также подбор персонала для проведения аудита.

В стандарте выделяется и подробно описывается три следующих метода проверок мер и средств контроля и управления информационной безопасностью:

• изучение;
• опрос;
• тестирование.

В соответствующих разделах документа приводится набор атрибутов и их значения для каждого из методов.

В приложении к стандарту представлено подробное практическое руководство по проверке технического соответствия, включающее перечень предполагаемых свидетельств и рекомендуемый метод проверки.

Первая часть ИСО/МЭК 27034 содержит общий обзор безопасности приложений и определяет базовые понятия, принципы и процессы, касающиеся обеспечения безопасности приложений.

В стандарте приводится четыре базовых принципа безопасности приложений:

1. Безопасность является требованием.
2. Безопасность приложений зависит от контекста.
3. Соразмерность инвестиций в обеспечение безопасности приложений.
4. Безопасность приложений должна демонстрироваться

Само понятие обеспечения безопасности приложений определяется как процесс применения мер и средств контроля и управления и измерений к приложениям организации с целью осуществления менеджмента риска безопасности приложений — риска, возникающего в организации при использовании конкретного приложения. В качестве компонентов рисков безопасности приложений рассматриваются:

• угрозы, направленные на информацию, которая доступна приложениям;
• уязвимости приложения;
• влияние успешного использования уязвимостей угрозами, которое определяется расходами, понесенными организацией в результате нарушения доступности, целостности или конфиденциальности критических данных приложений.

Согласно стандарту, менеджмент безопасности приложений включает пять процессов:

• Определение требований и среды приложений.
• Оценка рисков безопасности приложений.
• Создание и поддержка нормативной структуры приложений.
• Подготовка к работе и эксплуатация приложений.
• Аудит безопасности приложений.

В документе приводится описание каждого из перечисленных процессов в соответствии с устанавливаемым в ИСО/МЭК 27005 процессе менеджмента рисков.

В приложениях к стандарту содержатся примеры сопоставления подходов, изложенных в ИСО/МЭК 27034, существующим стандартам и процессам разработки приложений.

В целом, ИСО/МЭК 27034 может быть применим для приложений, разработанных в рамках организации, приобретенных у третьей стороны, а также в случаях аутсорсинга разработки или эксплуатации приложений.