Контакты
Подписка 2024

Обзор изменений законодательства ИБ за ноябрь-декабрь 2018

Надежда Голубева, 07/02/19

golubeva_mФСТЭК России сообщает о разработанной примерной программе повышения квалификации для специалистов, работающих в сфере обеспечения безопасности объектов критической информационной инфраструктуры.

Получить программу могут следующие организации по обращению в соответствующее подразделение ФСТЭК России:

  1. В центральный аппарат обращение направляют федеральные органы исполнительной власти.
  2. В управление ФСТЭК России по федеральному округу обращение направляют:
  • органы исполнительной власти субъектов РФ;
  • организации с государственным участием;
  • организации оборонно-промышленного комплекса;
  • организации, осуществляющие образовательную деятельность.

Порядок установки средств обнаружения компьютерных атак в сетях электросвязи

В конце ноября был опубликован новый проект документа Минкомсвязи, определяющий порядок монтажа и эксплуатации оборудования, взаимодействующего с ГосСОПКа в части обнаружения компьютерных атак в сетях электросвязи.

Пока в документе не выделяются конкретные разделы. Предлагаются положения об этапах согласования установки, монтажа оборудования и процесса эксплуатации, а также определены полномочия ФСБ России и организации, на сети электросвязи которой устанавливаются средства обнаружения.

Стоит отметить, что устанавливать средства обнаружения может только сторонняя организация, имеющая необходимые лицензии и заключившая госконтракт с ФСБ России. Сообщать о плановых отключениях средств обнаружения, которые могут повлечь нарушение функционирования средства поиска атак, можно только заказным письмом за 14 дней. Обсуждение проекта еще не окончено, поэтому можно активно предлагать свои поправки и формулировки.

Новый ГОСТ о требованиях к аттестующим органам

Появился стандарт, определяющий требования к органам аттестации объектов информатизации, в которых ведется обработка государственной тайны. Так, если организация является таким органом аттестации, то она должна отвечать нескольким требованиям по наличию:

  • организационно-распорядительных документов: нормативные правовые акты, методические документы, национальные стандарты, определяющие процедуру аттестации, а также документы, определяющие задачи, функции, права и обязанности организации. Кроме того, должен быть обеспечен учет, хранение и актуализация перечисленных документов;
  • работников с необходимой квалификацией:

- руководитель работ с минимальным стажем в области аттестации 5 лет при наличии высшего образования по направлению «Информационная безопасность" (при его отсутствии или при отсутствии профессиональной переподготовки, – 10 лет);
- инженеры (не менее трех) с высшим образованием по направлению «Информационная безопасность» или прошедшим профессиональную переподготовку;

  • средств измерений и испытаний, прошедших проверку в установленном порядке и имеющих необходимые сертификаты соответствия;
  • лицензий:

- на работу с информацией, составляющей государственную тайну;
- на оказание услуг в части технической защиты информации, составляющей государственную тайну;

  • объектов информатизации: в их число входят автоматизированные системы для обработки информации, составляющей государственную тайну, а также помещения со средствами защиты для обсуждения такой информации.

В приложении к документу приведена форма Положения об аттестации, которым обязана руководствоваться организация. В дополнение к нему также необходимо иметь перечни документов, технических и программных средств для проведения аттестации, а также перечень работников, имеющих нужный уровень квалификации.

Правила взаимодействия с Единой биометрической системой для МВД России и ФСБ России

Постановлением правительства установлены правила передачи сведений из единой биометрической системы в МВД России и ФСБ России для реализации их полномочий в целях безопасности государства и противодействия терроризму.

Сведения будут предоставляться по запросу вышеназванных органов на безвозмездной основе по запросу. В запросе должен быть указан идентификатор учетной записи лица, о котором запрашиваются сведения, или его изображение.

Отмечается, что взаимодействие между органами и оператором единой биометрической системы осуществляется в электронной форме. Единственным требованием в части безопасности передаваемых сведений является использование усиленной квалифицированной электронной подписи (подтвержденной аккредитованным удостоверяющим центром).

Требования к техническим средствам операторов связи для исполнения «пакета Яровой»

Наконец появились требования к информационным системам операторов связи. С помощью технических и программных средств таких систем осуществляется сбор, накопление, хранение, поиск и предоставление уполномоченным государственным органам информации пользователей услуг оператора связи (голосовая информация, изображения, звуки и др.).

Документ весьма обширный и подробный. В приложениях содержится полный перечень накапливаемой информации, требования к функционированию различных каналов (управления, данных, мониторинга и др.), требования к параметрам протокола ASN.1 (формат кодирования данных для их использования на любом техническом средстве, имеющим представление об этом стандарте) и прочие сведения.

Отмечается, что требования обязательны для применения в отношении указанных средств, подлежащих установке на сетях операторов связи, осуществляющих деятельность в рамках лицензий на оказание услуг связи.

Растущая потребность в отечественном программном обеспечении

Правительство усиленно продвигает импортозамещение в области программного обеспечения (ПО), что можно заметить по регулярно появляющимся нормативным актам.

На Минкомсвязи возложена функция централизованных госзакупок в части антивирусного ПО в рамках перехода на использование российского ПО.

Кроме того, появились методические рекомендации по исполнению переходных мероприятий. Изменения коснутся только государственных компаний, к 2021 году доля закупок которых в части российского ПО должна составлять не менее 85%. Рекомендовано назначить лицо, ответственное за мероприятия по переходу, занимающее должность не ниже заместителя руководителя. Также следует сформировать проектную группу и осуществлять мониторинг реализации планов по переходу на использование отечественного ПО.

В приложении к рекомендациям приведены формы плана мероприятий перехода и предоставления госкомпаниями сведений о ходе реализации плана мероприятий. Также указаны показатели и соответствующие им индикаторы эффективности перехода, на которые следует ориентироваться компаниям при достижении своих целевых показателей.

Стоит отметить, что в обществе тенденция импортозамещения не вызывает восторга. Пользователи ведут дискуссии на форумах на тему нехватки отечественных разработок для конкретных рабочих задач, сложность и дороговизну замены ПО, которая может столкнуться в том числе и с техническими сложностями использования нужного «железа».

Темы:ЗаконодательствоПраво и нормативы

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Отечественные ИT-платформы
3 апреля. Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Участвуйте в онлайн-конференции!
Статьи по той же темеСтатьи по той же теме

  • Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных
    Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
    На каких основаниях операторы ПДн привлекаются к ответственности и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?
  • Закон об ИТ-аутсорсинге: как он отразится на ИБ?
    Максим Захаров, управляющий партнер юридической фирмы Bishenov&Partners
    Участники финансового рынка все чаще прибегают к аутсорсингу ИТ-услуг – почему произошел этот переход и к чему он приведет?
  • Обзор изменений в законодательстве. Ноябрь-декабрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Порядок перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ, ужесточение административной и уголовной ответственности в области обработки ПДн и другие важные изменения
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП
  • Обзор изменений в законодательстве в мае и июне 2023 года
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в трансграничную передачу ПДн, в положение о ФСТЭК, ограничения на мессенджеры, методические рекомендации к процессу управления уязвимостями и др.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
21 марта. Российские платформы виртуализации
Жми, чтобы участвовать