Новости законодательства по ИБ

За последние несколько дней прошло несколько различных совещаний и встреч в части нормативного регулирования вопросов обеспечения информационной безопасности. А так как информации достаточно много, то держа ее в себе, боюсь что-то забыть. Поэтому выплесну все на страницы блога в той или иной степени глубины и детальности.

Начну с традиционной темы — персональных данных. И хотя многие операторы ПДн уже забили болт на эту тему, работа по ней ведется активная. Например, приказ Роскомнадзора со списком адекватных стран ушел на регистрацию в Минюст. Правда, учитывая оперативность этого органа, ждать скоро принятия этого приказа не стоит 😉 Кстати о Минюсте — на днях он организует встречу экспертов по части мониторинга правоприменительной практики по ФЗ-152. Да и сам закон претерпевает некоторые изменения — при Совете Федерации функционирует рабочая группа, которая обсуждает поправки в действующие нормы. Не могу сказать, что поправок много — есть среди них как концептуальные (например, в части термина «персональные данные»), так и технические. По срокам доработки этих поправок и внесения законопроекта в Госдуму говорить еще рано.

Второе направление регулирование традиционно захватывает Банк России, который готовит целый набор новых документов по ИБ. Во-первых, это новая редакция 382-П и 2831-У. В первом из них изменений не так много и касаются они преимущественно требований по хранению информации о действиях клиентов в течении определенного периода времени и предоставления этой информации по запросу правоохранительных органов. Это «старая» тема, которая перекочевала из проекта поправок в 262-П в сторону 382-П. Пожалуй, ради нее эпопея с внесением изменений в 382-П и затевалась, т.к. других существенных норм в нем не появилось. Проект уже согласован внутри ЦБ, прошлел согласование с ФСТЭК и находится на согласовании с ФСБ. Так что предлагаемые в него сообществом правки так и остались на бумаге — их, надеюсь, учтут в следующей версии 382-П. А вот 2831-У по отчетности меняется достаточно сильно — информация, предоставляемая в ЦБ, лучше систематизирована (правда, ее станет и существенно больше).

Другая тема, озвученная ГУБЗИ в Магнитогорске, — разработка единого пространства доверия с операторами связи, чья инфраструктура используется при оказании услуг по переводу денежных средств (как минимум, ДБО). Тут Минкомсвязь совместно с Банком России  решило вернуться к теме «Базового уровня информационной безопасности операторов связи» (он же рекомендации ITU-T X.sbno) и сделать именно эти требования (с некоторыми доработками) условием подключения (выбора) банков к инфраструктуре оператора связи. При этом Банком России будут разработаны рекомендации по выбору именно тех операторов, которые прошли процедуру добровольной сертификации на соответствие «базовому уровню».В рамках такой сертификации проверяются следующие требования:

  • к снижению рисков;
  • к разработке приложений;
  • к методам защиты;
  • к системе обнаружения спама;
  • к техническим и организационным мерам;
  • к системам обнаружения и предупреждения атак;
  • к передаче и хранению информации;
  • к действиям при утрате баз данных;
  • к предупреждению пользователей об угрозах;
  • к политике безопасности оператора связи;
  • к разграничению ответственности;
  • к должностным инструкциям;
  • к лицензиям и сертификатам;
  • к доступу к коммуникационному оборудованию;
  • к правилам доступа;
  • к обновлению программного обеспечения;
  • к использованию антиспуффинговых антифишинговых фильтров;
  • к использованию антивирусного программного обеспечения;
  • к действиям над сообщениями, зараженными вредоносным кодом;
  • к серверу электронной почты;
  • к использованию средств защиты от атак типа «отказ в обслуживании»;
  • к журналам регистрации событий информационной безопасности;
  • к журналам регистрации действий персонала;
  • к фильтрации трафика по запросу клиента;
  • к процессам взаимодействия с пользователями.

Но и это не все, чем нас порадует Банк России в скором времени. Им подготовлен проект Указания «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных», который на этой неделе будет обсуждаться экспертным сообществом. Пожалуй, это будет первая отраслевая модель угроз ПДн, разработанная во исполнение действующей редакции ФЗ-152.

Ну и совсем вдогонку ЦБшной тематике. В рамках ПК1 ТК 122 по стандартизации вопросов ИБ для финансовых организаций на прошлой неделе был намечен план на 2013-й год, в котором (он сейчас утверждается) зафиксирован ряд документов, которые будут разрабатываться и выпускаться под эгидой ДРР и ГУБЗИ. О большиснтве из них уже говорилось в Магнитогорске.

Ну и совсем последний документ, который сейчас зреет в недрах наших властных структур — «Основные направления государственной политики в области формирования у граждан культуры информационной безопасности». Сейчас он проходит экспертизу экспертным сообществом после чего будет доступен для широкой публики, которая сможет предложить свои мысли и предложения по его доработке. Это также должно произойти в обозримом будущем.

Вот такой небольшой перечень последних изменений в нормативной базе, которая готовится поразить отечественную отрасль ИБ в самое ближайшее время. Это помимо 17-го и 21-го приказов ФСТЭК, находящихся на регистрации в Минюсте и разрабатываемого проекта приказа ФСБ по защите персональных данных. Меньше месяца назад я делал обзор планируемых изменений в области регулирования ИБ и такой скачок вперед… Жизнь российского специалиста по ИБ становится все чудесатее и чудесатее 😉

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Igor Lukanin

    Спасибо за новости!

    Нет ли новых вестей по поводу изменений ст. 13.11 КоАП по инициативе Роскомнадзора, которые не прошли в прошлом году, и о постановлении Правительства о госконтроле и надзоре в части ПДн (http://lukatsky.blogspot.ru/2013/01/blog-post_16.html) о котором не слышно с января?

    Ответить
  2. Алексей Лукацкий

    На следующей неделе узнаю в РКН

    Ответить
  3. Иван Бойцов

    >это будет первая отраслевая модель угроз ПДн

    Насколько я знаю, есть отраслевая модель угроз у роструда и минздравсоцразвития.

    Ответить
  4. Алексей Лукацкий

    Согласованная с ФСТЭК и (или) ФСБ?

    Ответить
  5. Svyazist

    ICU-09-2009-ОМ1 – Отраслевая модель угроз ОпСоСов http://infocomunion.ru/netcat_files/255/339/h_7a583ba09356abbb63c23c1fea2daed0

    Ответить
  6. Алексей Лукацкий

    Ни с кем не согласованная и разработанная не Минкомсвязью, а ИКСом

    Ответить
  7. Анна

    Подскажите, пожалуйста, 17-ый приказ будет открыт или ему присвоят гриф ДСП? В проекте этого приказа есть ссылки на дспшные ГОСТы

    Ответить
  8. Алексей Лукацкий

    17 и 21 будет открыт

    Ответить
  9. Igor Lukanin

    Алексей, прошу прощения за назойливость, но действительно пока ничего определенного про изменения ст. 13.11 КоАП и про постановление Правительства о госконтроле и надзоре в части ПДн сказать нельзя?

    Ответить