Материалы об экстремизме, терроризме, интернете

Национальный центр информационного противодействия терроризму и экстремизму в образовательной среде и сети Интернет

Обзор изменений в законодательстве в сфере информационной безопасности за 2015 год

В обзоре освещены изменения в законодательстве в сфере информационной безопасности за 2015 год.

Февраль

Продление сроков сертификатов соответствия на средства защиты информации

ФСТЭК России опубликовала Информационное сообщение, разъясняющее процедуру продления сроков действия сертификатов соответствия на средства защиты информации. Напомним, что в соответствии с Постановлением правительства«О сертификации средств защиты информации», обязательной сертификации подлежат средства защиты информации, предназначенные для защиты государственной тайны и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. В остальных случаях сертификация является добровольной и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты.Информационное сообщение разъясняет процедуру продления сроков действия сертификатов соответствия, инициируемую потребителем. Поскольку срок действия сертификата соответствия не может превышать пяти лет, по истечении данного срока средство защиты подлежит повторной сертификации. Заявитель на сертификацию средства защиты информации не позднее, чем за три месяца до окончания срока действия сертификата должен принять решение о продлении или об отказе в продлении срока действия сертификата соответствия и проинформировать организации, эксплуатирующие данное средство, любым доступным способом.

В случае, если Заявитель на сертификацию отказывает в продлении срока действия сертификата, организация, эксплуатирующая данное средство защиты, может самостоятельно организовать продление срока действия данного сертификата соответствия. Продление срока действия сертификата соответствия, инициируемое потребителем, возможно в следующих случаях:

- средство защиты информации функционирует с требуемой эффективностью;

- в организации имеется в наличии эксплуатационная документация на средство защиты информации;

- на средстве защиты информации или в эксплуатационной документации средства имеется в наличии знак соответствия ФСТЭК России для маркирования сертифицированной продукции;

- своевременно проведен ежегодный контроль соответствия требованиям безопасности информации системы защиты информации объекта информатизации, в состав которой входит средство защиты информации.

Для самостоятельного продления срока действия сертификата соответствия на средство защиты информации организация, эксплуатирующая данное средство, заблаговременно (до того момента, когда истечет действие старого сертификата) направляет в ФСТЭК России следующие документы:

  • заявку;
  • протоколы оценки эффективности средства защиты информации или протоколы оценки защищенности информации от несанкционированного доступа.

Протоколы должны быть оформлены не ранее, чем за 12 месяцев до дня отправки заявки, при проведении аттестационных испытаний или ежегодного контроля соответствия системы защиты информации объекта информатизации требованиям безопасности информации.

 

Март

Банк данных угроз безопасности информации

В соответствии с информационным сообщением ФСТЭК России 11 марта был открыт доступ к информационному ресурсу www.bdu.fstec.ru, содержащему банк данных угроз безопасности информации.

Банк данных включает в себя базу данных уязвимостей ПО, а также перечень и описание угроз безопасности информации, наиболее характерных для государственных информационных систем, ИСПДн и АСУ ТП. Сейчас в базе 162 угрозы и 10299 уязвимостей, однако их количество будет увеличиваться, так как база продолжает пополняться. Принять участие в ее расширении может любой желающий, сообщив о новой уязвимости или угрозе через специальную форму.

База данных уязвимостей ПО включает:

  • краткую характеристику уязвимости;
  • название, версию и вендора ПО;
  • класс уязвимости (уязвимость кода, уязвимость архитектуры, уязвимость многофакторная);
  • наименование ОС и тип аппаратной платформы;
  • базовый вектор CVSS;
  • уровень опасности уязвимости;
  • возможные меры по устранению;
  • статус уязвимости (подтверждена в ходе исследований, подтверждена производителем, потенциальная уязвимость);
  • наличие эксплойта;
  • описание и тип ошибки CWE.

Среди различных типов ПО в отдельную группу выделено ПО АСУ ТП, для которого на данный момент в базе имеется 20 уязвимостей.

Описание угроз в базе содержит следующую информацию:

  • краткое описание угрозы, включая условия ее реализации с точки зрения возможностей нарушителей и наличия уязвимостей в системах и технологиях;
  • объект воздействия;
  • источник угрозы (внутренний или внешний нарушитель) с указанием уровня потенциала (высокий, средний, низкий), упоминание о котором было ранее в приказах ФСТЭК России №17 и №21;
  • последствия реализации угрозы (нарушение конфиденциальности, целостности, доступности).

Среди всех угроз безопасности можно выделить специфические угрозы, определенные для конкретного типа систем или технологии. Так, например, банк данных содержит угрозы для:

  • грид-систем;
  • облачных технологий;
  • технологии виртуализации;
  • суперкомпьютера;
  • беспроводных сетей;
  • BIOS.

Отдельных групп угроз для ГИС, ИСПДн и АСУ ТП в банке данных не выделено, что, безусловно, вызывает вопросы в части согласованности данного перечня с другими нормативными документами, например, Базовой моделью угроз безопасности ПДн. Однако по информации, полученной от представителей ФСТЭК России, представленную базу данных следует использовать только в качестве дополнительного источника информации.

Среди перечня объектов воздействия, рассматриваемых при описании угроз, встречаются некоторые расхождения и несоответствия в терминологии. Кроме того, присутствует сомнение и в полноте списка объектов воздействия. Например, защищаемая информация, как объект воздействия, встречается в базе дважды, что не может не показаться странным.

Несмотря на ряд недостатков, нельзя не отметить удобство созданного ресурса, предусматривающего, помимо прочего, инструменты фильтрации по всем основным параметрам описания угроз и уязвимостей, а также полезные разделы, содержащие основные термины со ссылками на нормативные документы и даже калькулятор CVSS.

 

Апрель

План импортозамещения

Первого апреля Минкомсвязи России опубликован приказ «Об утверждении плана импортозамещения программного обеспечения», в соответствии с которым до 1 июля должны быть проработаны вопросы, связанные с:

  • государственной поддержкой реализации плана импортозамещения;
  • разработкой новых нормативных актов, предусматривающих предоставление отечественному ПО преференций;
  • привлечением заинтересованных российских ИТ-организаций к проекту импортозамещения по направлениям реализации плана.

Утвержденный план импортозамещения ПО включает 14 основных направлений разработки ПО, в том числе ПО информационной безопасности, СУБД, клиентские и серверные ОС, для трех групп сегментов рынка:

  • сегменты рынка корпоративного ПО, по которым уже имеется задел в виде конкурентоспособных отечественных продуктов. Для таких сегментов предлагается введение преференций отечественной продукции при осуществлении закупок за государственный счет;
  • сегменты рынка корпоративного ПО, по которым нет достаточного задела в виде конкурентоспособных отечественных продуктов. Для данных сегментов предлагается оказывать поддержку коллективной разработки ПО;
  • сегменты рынка программного обеспечения, связанные с отраслевой спецификой (промышленность, здравоохранение, транспорт и др.).

Документация ФСТЭК России

13 апреля на сайте ФСТЭК России было опубликовано информационное сообщение об утверждении новых версий перечней нормативной документации, необходимой соискателям лицензий и лицензиатам ФСТЭК России в области технической защиты и разработки средств защиты конфиденциальной информации.

В целом, список документов, обязательных для выполнения работ и оказания услуг в рамках лицензируемой деятельности, был значительно расширен за счет новых профилей защиты, разработанных ФСТЭК России в период с 2012 по 2014 год.

 

Май

Российский государственный сегмент сети «Интернет»

Благодаря новому Указу Президента, подписанному в конце мая, большинство граждан РФ узнали о существующем у нас в стране сегменте сети «Интернет» для федеральных и иных органов государственной власти, управляемом Федеральной службой охраны Российской Федерации.

Данный сегмент был создан еще 7 лет назад для подключения информационных систем органов государственной власти по защищенным каналам связи. И в новом Указе Президента определяется конкретное средство, обеспечивающее защиту информации при подключении через российский сегмент. Им является государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Новые методики моделирования угроз безопасности ФСТЭК России и ФСБ России

Накануне Дня Победы на сайте ФСТЭК России было опубликовано новоеинформационное сообщение о проекте нового методического документа, устанавливающего методику определения угроз безопасности информации. Данный документ вынесен на рассмотрение общественности и в срок до 10 июня организован сбор предложений и замечаний по проекту от всех заинтересованных организаций.

Самое время уточнить, какие нормативные документы ФСТЭК России на данный момент регламентируют порядок определения и моделирования угроз безопасности информации. К ним относятся:

Оба этих документа предназначены для использования в конкретной области защиты информации, а именно, в сфере защиты персональных данных. С выходом приказа ФСТЭК России №17, ориентированного на защиту информации, обрабатываемой ГИС, возникла естественная потребность в разработке нового документа, охватывающего более широкий спектр категорий защищаемой информации.

Планы по разработке новой методики определения угроз были озвучены ФСТЭК России еще в 2013 году сразу после публикации двух новых приказов. Кроме того, в тексте самих приказов были явные «недоговоренности» относительно угроз и нарушителей безопасности, что также указывало на готовящиеся нововведения.

Новая Методика определения угроз безопасности информации в информационных системах главным образом, рассчитана на органы государственной власти и местного самоуправления (далее — органы власти), но также может быть использована операторами ПДн. При этом Методика не отменяет действие Базовой модели угроз безопасности ПДн, а применяется совместно с ней и банком данных угроз безопасности информации, сформированным ФСТЭК России.

Методика определения угроз безопасности информации в информационных системах содержит рекомендации по реализации непрерывного процесса, включающего следующие этапы:
1. Определение области применения процесса определения угроз.
2. Идентификация источников угроз и угроз безопасности информации.
3. Оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба.
4. Мониторинг и переоценка угроз безопасности информации.

Для определения актуальности угроз авторы документа предлагают учитывать следующие показатели:

  • вероятность (при наличии соответствующих статистических данных) или возможность реализации угрозы;
  • степень ущерба от реализации угрозы.

В приложениях к Методике приводятся Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации, а также Структура модели угроз безопасности информации с рекомендациями по содержанию предлагаемых разделов.

Помимо ФСТЭК России вопросам моделирования угроз безопасности уделяется внимание и со стороны ФСБ России. Так, ФСБ России были опубликованы новые Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных.

Данный документ предназначен для органов власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, а также принимающих нормативные правовые акты, в которых определяются актуальные угрозы безопасности ПДн при их обработке в ИСПДн. Кроме того, сформулированные рекомендации могут применяться операторами ПДн при принятии решения об использовании средств криптографической защиты информации для защиты ПДн.

Новые Методические рекомендации ФСБ России фокусируются на вопросах:

  • описания ИСПДн в зависимости от типов эксплуатируемых ИСПДн и наличия в ИСПДн угроз, которые могут быть нейтрализованы только с помощью средств криптографической защиты информации;
  • определения актуальных угроз безопасности ПДн исходя из возможностей источников атак.

Данный документ явно предполагается использовать вместе с «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации», которые содержит детальное описание классификации возможных нарушителей, порядок определения характеристик безопасности и методологию формированию модели угроз в целом.

 

Июль

Роскомнадзор комментирует Закон о персональных данных

 Недавно «Российская газета» выпустила сборник постатейных комментариев к Федеральному закону «О персональных данных». В нем анализируются различные вопросы обработки персональных данных, разъясняются спорные положения закона, а также приводятся практические примеры его применения. Документ является платным, бумажную и электронную версии можно приобрести за 265 р. и 100 р. соответственно.

Изменение Перечня сведений конфиденциальной информации

13 июля 2015 года был подписан Указ Президента РФ № 357 «О внесении изменений в Перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 г. № 188». Перечень сведений конфиденциального характера, возраст которого насчитывает уже 18 лет, был дополнен и уточнен. Отныне к сведениям конфиденциального характера помимо прочего относятся данные, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц (кроме общедоступных данных).

Реестр российского ПО

Федеральный закон «Об информации» вновь претерпел изменения. Согласно новому Федеральному закону, вступающему в действие 1 января 2016 года, в нашей стране создается единый реестр российских программ для электронных вычислительных машин и баз данных (далее – реестр российского ПО). Признание ПО «происходящим из Российской Федерации» будет осуществляться на основании четырех основных критериев, определяемых документом.

Российские средства защиты на страже национальных платежных систем

По сообщениям из СМИ ЦБ РФ разработал проект нового документа, содержащий требования к аппаратному и программному обеспечению для национально значимых платежных систем («Юнистрим», «Близко», «Бэст», CONTACT и еще 14 систем из реестра ЦБ). Согласно документу, при переводе денежных средств оператор должен будет использовать технические средства защиты информации только российских разработчиков.

Прекращение поддержки Windows Server 2003 и Windows Server 2003 R2

На сайте ФСТЭК России опубликовано новое информационное сообщение от 19 июня 2015 г. N 240/24/2497 о применении сертифицированных по требованиям безопасности информации операционных систем Windows Server 2003 и Windows Server 2003 R2 в условиях прекращения их поддержки разработчиком. Аналогично порядку, предусмотренному ранее для Windows XP, в связи с широким использованием сертифицированных версий ОС Windows Server 2003 (R2) до августа 2017 г. устанавливается переходный период, в течение которого выданные ранее сертификаты соответствия на операционные системы будут действительны. Для снижения рисков ИБ в течение переходного периода рекомендуется реализовать ряд дополнительных мер защиты, определенных в документе.

В сообщении ФСТЭК России также говорится о необходимости учета дополнительных угроз безопасности информации при проведении аттестации по требованиям защиты информации информационных систем, работающих под управлением операционных системы Windows Server 2003 (R2). При этом повторная аттестация информационных систем, работающих под управлением этих операционных систем, аттестованных до 15 июля 2015 года, не требуется.

 

Август

Защита БД клиентов банков

Вслед за вступившим в силу 1 сентября ФЗ №242, вводящим запрет на хранение ПДн российских граждан за границей, Центробанк России постановил о необходимости размещения электронных баз данных о клиентах на территории Российской Федерации. Соответствующее Указание ЦБ РФ было Зарегистрировано в Минюсте 18 августа. Отныне банки, использующие зарубежные серверы и центры обработки данных, будут вынуждены сменить свои ИТ-площадки и перенести серверы на территорию РФ.

Реестр нарушителей прав субъектов персональных данных

С 1 сентября 2015 года создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Реестр будет включать в себя доменные имена, указатели страниц и адреса сайтов, содержащих информацию, обрабатываемую с нарушением законодательства о персональных данных.

Создание, формирование и ведение системы будет осуществлять Роскомнадзор в соответствии с правилами, утвержденными Правительством РФ.

 

Сентябрь

Сайт как инструмент ФАС

Теперь принт-скрины страниц сайта могут быть использованы ФАС для фиксации факта появления незаконной рекламы в Интернете. Согласно письму ФАС России от 28.08.2015 № АК/45828/15 «О рекламе в сети „Интернет“, в качестве основания для дальнейшего административного воздействия могут быть использованы также результаты поиска в архиве Интернета (https://archive.org/web/).

При этом ФАС России разъясняет особенности применения законодательства о рекламе при ее размещении в сети Интернет. Так, информация о товарах, размещенная на сайте (в социальных сетях) их производителя или продавца, не является рекламой, если она предназначена для информирования посетителей о реализуемых товарах, ассортименте и правилах пользования. Не является рекламой и информация о скидках на товары и проводимых акциях. Однако всплывающий баннер или любой другой способ привлечения внимания к конкретному товару и его выделение среди однородных товаров может быть признан рекламой.

О проверках Роскомнадзор

7 сентября Роскомнадзор официально сообщил о том, что любые компании, обрабатывающие ПДн в России, вне зависимости от наличия или отсутствия юридического адреса в нашей стране, могут быть и будут, при необходимости, проверены на предмет соблюдения 242-ФЗ. Кроме того, на сайте Роскомнадзора была опубликована принципиальная схема взаимодействия Роскомнадзора с проверяемыми компаниями иностранной юрисдикции.

Приоритет свободного ПО

Вслед за законом, предусматривающим создание реестра российских программ, а также возможность ввода ограничений на использование зарубежных товаров и услуг с 1 января 2016 г., в сентябре стало известно о начале работы над текстом законопроекта, направленного на установление приоритета свободного ПО перед проприетарным при проведении госзакупок.


Одной из скрытых целей разработки нового закона называется экономия государственного бюджета. Так, общий ожидаемый экономический эффект от введения подобных изменений оценивается законотворцами в 500 млрд в год.

Безусловно, данные законотворческие инициативы вызывают большие опасения со стороны разработчиков ПО, так как установление новых правил на рынке ПО может негативно сказаться и на отечественных компаниях, разрабатывающих свои продукты.

Несмотря на это внесение законопроекта в Думу ожидается уже в конце ноября 2015 г., а его вступление в силу с 1 января 2016 г.

 

Октябрь

Единая система ЦОДов

7 октября правительством РФ была утверждена Концепция перевода обработки и хранения государственных информационных ресурсов в систему федеральных и региональных центров обработки данных. Данная концепция указывает на необходимость организации системы центров обработки данных, управляемую одним оператором, для централизации информационно- телекоммуникационной инфраструктуры информационных систем органов власти. При этом основным подходом к реализации системы центров обработки данных является использование «облачных» технологий.

Концепция содержит ключевые требования к системе центров обработки данных и ее объектам, включая обеспечение резервирования каналов связи и катастрофоустойчивости решений, используемых при создании системы, требования к надежности и обеспечению защиты информации. В частности, защита информации в системе центров обработки данных предусматривает:

  • своевременное выявление угроз безопасности информации и уязвимостей;
  • реализацию необходимых мер и средств защиты информации;
  • обеспечение подключения к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;
  • реализацию мероприятий по периодическому внутреннему и внешнему контролю состояния обеспечения информационной безопасности.

В соответствии с Концепцией переход на использование системы центров обработки данных должен осуществляться поэтапно в соответствии с планом мероприятий на период с 2015 по 2021 год, приведенном в приложении к Концепции. Однако реализация положений Концепций вызывает большое количество вопросов, главным образом связанных с отсутствием национальных стандартов в области обеспечения ИБ при использовании «облачных» технологий.

 

Ноябрь

Запрет на иностранное ПО

16 ноября Премьер-министр России Дмитрий Медведев подписал постановление, согласно которому с 1 января 2016 г. вступят в силу изменения, запрещающие использование иностранного ПО в госорганах при наличии российских аналогов.

Использование иностранного ПО будет разрешено только в тех, случаях, когда реестр российского ПО не содержит его аналогов, либо все существующие аналоги не удовлетворяют заявленным техническим требованиям. При этом, невозможность соблюдения запрета должна быть документально обоснована. Порядок разработки такого обоснования определен в приложении к Постановлению.

Помимо запрета на допуск иностранного ПО для целей осуществления закупок для обеспечения государственных и муниципальных служб, Постановление утверждает Правила формирования и ведения единого реестра российского ПО. Ответственным за формирование и ведение реестра назначено Министерство связи и массовых коммуникаций Российской Федерации. Для включения ПО в реестр правообладатель должен направить в Минкомсвязи соответствующее заявление.

Обзор подготовлен на основе материалов сайта http://www.ussc.ru/blog/

Комментарии

Пока не добавлено ни одного комментария

Написать комментарий

Для добавления комментариев вам потребуется авторизация.