Решил свести в одну заметку все основные нормативно-правовые акты, которые были приняты в России в уходящем году, а также составить список НПА, которые стали известны в качестве проектов, вероятность принятия которых в 2017-м году очень высока. Итак, вот что было принято в этом году:
- С 1-го января вступил в силу так называемый «закон о забвении» или официально Федеральный закон от 13 июля 2015 г. N 264-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации». С этим законом вообще странная ситуация — такая норма уже заложена в закон о персданных и КоАП. Правда сумма штрафов там смешная была, в отличие от дополняющего закон о забвении Федерального закона от 30 декабря 2015 г. N 439-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который устанавливает ответственность за данный вид нарушения в размере до 100 тысяч рублей.
- В последний день 2015-го года была утверждена новая Стратегия национальной безопасности. В Стратегии говорится и про киберугрозы, но не могу сказать, что много. Материал в этой части изложен несистемно — основное внимание уделяется традиционным угрозам.
- Постановление Правительства №399 от 6 мая 2016-го года «Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса», которое утверждает соответствующие правила организации повышения квалификации.
- В июле 2015-го года был принят новый закон №162-ФЗ «О стандартизации в Российской Федерации«. Этот закон вступил в силу 29-го сентября 2015-го года, но в полной мере он заработал с 1-го июля 2016-го года. Именно с этой даты стала действовать статья 6-я, которая определяет, что ГОСТы в области защиты информации могут быть обязательными к применению, чем первым, скорее всего, воспользуется Банк России, который свой СТО БР ИББС уже переводит в статус ГОСТа и, согласно заседанию ТК122 в конце декабря 2016-го года, планируется, что это произойдет уже в 2017-м году. Хотя в такую оперативность я не верю — обычно с момента внесения текста стандарта в Ростехрегулирование до его принятия проходит не менее года-двух. Так что по моей оценке СТО БР ИББС (в модифицированном варианте) станет обязательным в 2018-м году.
- В июне было подписано Постановление Правительства РФ от 15.06.2016 №541 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности», которое вступает в силу 17 июня 2017-го года и которое вносит изменения в правила лицензирования деятельности по технической защите конфиденциальной информации и по разработке средства защиты конфиденциальной информации.
- В марте Минюст утвердил долгожданное Указание Банка России от 10.12.2015 N 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных».
- Также в марте Минюст утвердил и другое Указание Банка России №3893-У от 11.12.2015 «О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством обращения в кредитную организацию». В 4-м приложении к нему утвержден порядок использования СКЗИ при обмене электронными сообщениями между ЦБ и кредитными организациями в целях направления запросов и получения информации из Центрального каталога кредитных историй. Приложение 5 к этому Указанию определяет порядок обеспечения ИБ при использовании СКЗИ.
- Банк России ввел в действие с 1-го мая 2016 года новые рекомендации по стандартизации, посвященные выявлению и предотвращению утечек информации (РС БР ИББС-2.9-2016).
- В декабре Банка России принял новый стандарт по сбору и анализу технических данных при реагировании на инциденты (СТО БР ИББС-1.3-2016), которые вступают с 1-го января 2017-го года.
- В июле был принят нашумевший законопроект Яровой (Федеральный закон от 6 июля 2016 г. №374-ФЗ «О внесении изменений в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности» и Федеральный закон от 6 июля 2016 г. №375-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности»), который ввел новые правила к операторам связи в части хранении всех данных по всем пользователям на территории России в течение длительного периода времени. Помимо этого он установил невыполнимые требования к передаче ключей шифрования для мессенджеров спецслужбам России.
- Президент в течение года выпустил несколько поручений, касающихся ИБ:
- по итогам форума «Интернет экономика» — там много всего — импортозамещение, Интернет вещей, образование, мониторинг информационных угроз (до сих пор непонятно, что это такое), «личные данные» (хрень, которую до сих пор разгребают эксперты), шифрование данных (следствием этого стал в т.ч. и «закон Яровой»)
- об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования (нужно завершить к 1-му декабря 2017 года)
- по вопросам отдельных мер государственного регулирования в сфере противодействия терроризму и обеспечения общественной безопасности — ответственность за несертифицированные средства шифрования, порядок сертификации средств шифрования в Интернет, передача ключей шифрования в ФСБ. Ответ ФСБ не заставил себя долго ждать.
- о преимущественном использовании госорганами единой инфраструктуры электронного правительства.
- PCI Council 28 апреля принял новую версию стандарта PCI DSS 3.2, которая вступила в силу с 1-го ноября 2016-го года.
- ФСБ России 23.03.2016 утвердила два новых административных регламента — №182 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению лицензионного контроля деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)» и №185 «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению лицензионного контроля деятельности по разработке и производству средств защиты конфиденциальной информации».
- ТК26 (читаем 8-й Центр ФСБ) выпустил давно обещанный документ с принципами разработки и модернизации шифровальных (криптографических) средств защиты информации.
- Приказом ФСТЭК России от 9 февраля 2016 г. №9 были утверждены Требования к межсетевым экранам, которые вступают в силу с 1 декабря 2016 г.
- Банк России выпустил Положение от 24.08.2016 №552-П «Положение о требованиях к защите информации в платежной системе Банка России». Несколько раз подступался к этому документу, но все как-то неполучается сформулировать свои мысли по нему. Думаю, до конца года все-таки допишу заметку про него.
- 5 декабря Президент подписал новую Доктрину информационной безопасности России, которой я еще посвящу отдельную заметку (документ этот непростой — с бухты барахты о нем писать не хочется).
- Федеральная служба охраны утвердила приказ от 7 сентября 2016 г. №443 г. Москва «Об утверждении Положения о российском государственном сегменте информационно-телекоммуникационной сети «Интернет», в котором, среди прочего требуется подключение RSNet к ГосСОПКЕ.
- Постановление Правительства от 13 августа 2016 года №789 установило порядок использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме с помощью мобильного телефона, смартфона, планшета и порядок передачи результатов оказания государственных и муниципальных услуг в электронном виде третьим лицам.
Список появившихся, но пока непринятых нормативных актов тоже немаленький:
- Правительство, как и обещало, внесло в Госдуму законопроект «О внесении изменений в федеральные законы в части наделения федерального органа исполнительной власти полномочием по установлению порядка осуществления государственного контроля за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных».
- Банк России начал процедуру рассмотрения новых рекомендаций по стандартизации «Квалификационные требования к специалистам по информационной безопасности организаций кредитно-финансовой сферы Российской Федерации», а также по аутсорсингу ИБ, включая и предоставление услуг по ИБ из облаков.
- Также Банк России начал и практически завершил разработку ГОСТа «Базовый состав организационных и технических мер защиты информации», на который будут ссылаться многие из положений и указаний Банка России.
- Неожиданно в Госдуму был внесен законопроект «О безопасности критических информационных инфраструктур», который, если будет принят в текущей редакции (а такая вероятность есть, так как авторы законопроекта на встрече с экспертами не высказали энтузиазма и желания вносить поправки), сильно ограничит конкуренцию в этой сфере и отбросит сегмент ИБ КИИ назад. Помимо него были внесены еще два законопроекта — «О внесении изменений в законодательные акты РоссийскойФедерациивсвязиспринятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» и «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в связи с принятием Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации».
- Начата работа на проектом Стратегии развития информационного общества Российской Федерации на 2017 — 2030 годы, в которой есть фрагменты и про критическую инфраструктуру.
- Минкомсвязь подготовил проект приказа «О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346», который уточняет процедуру исключения оператора ПДн из соответствующего реестра операторов ПДн.
- Министерство связи и массовых коммуникаций РФ опубликовало проект постановления правительства «О внесении изменений в Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
- Минкомсвязь выложило проект Указа Президента «О создании и функционировании специального сегмента системы межведомственного электронного взаимодействия в целях обеспечения обмена между органами власти, государственными внебюджетными фондами и организациями информацией, доступ к которой ограничен», суть которого понятна из названия.
- ЦБ подготовил проект требований к работе сайтов страховщиков и Российского союза автостраховщиков (РСА), направленных на обеспечение бесперебойности работы при продажах электронных полисов ОСАГО.
- поправки в закон о связи
- Проект федерального закона «О внесении изменений в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации» в части расширения сферы действия требований ФСТЭК не только на ГИС, а также обязательность уведомления ФСБ и ФСТЭК об инцидентах ИБ. За принятием законопроекта последует и принятие новой редакции 17-го приказа ФСТЭК.
- Законопроект «О мерах по обеспечению информационной безопасности Российской Федерации», похоже, так и не взлетит.
- Законопроект «О внесении изменений в Федеральный закон «О связи», наделяющий российский сегмент Интернет статусом критической инфраструктуры, вызвал большое количество споров и, думаю, подвергнется критике еще не раз.
- И напоследок 4 проекта Постановлений Правительства под «закон Яровой» — тут, тут, тут и тут.
Вот так выглядит картина основного нормотворчества по информационной безопасности в уходящем году.
Спасибо большое! Очень удобная и ёмкая статья