Контакты
Подписка
МЕНЮ
Контакты
Подписка

Обзор изменений законодательства ИБ за ноябрь-декабрь 2018

Надежда Голубева, 07/02/19

golubeva_mФСТЭК России сообщает о разработанной примерной программе повышения квалификации для специалистов, работающих в сфере обеспечения безопасности объектов критической информационной инфраструктуры.

Получить программу могут следующие организации по обращению в соответствующее подразделение ФСТЭК России:

  1. В центральный аппарат обращение направляют федеральные органы исполнительной власти.
  2. В управление ФСТЭК России по федеральному округу обращение направляют:
  • органы исполнительной власти субъектов РФ;
  • организации с государственным участием;
  • организации оборонно-промышленного комплекса;
  • организации, осуществляющие образовательную деятельность.

Порядок установки средств обнаружения компьютерных атак в сетях электросвязи

В конце ноября был опубликован новый проект документа Минкомсвязи, определяющий порядок монтажа и эксплуатации оборудования, взаимодействующего с ГосСОПКа в части обнаружения компьютерных атак в сетях электросвязи.

Пока в документе не выделяются конкретные разделы. Предлагаются положения об этапах согласования установки, монтажа оборудования и процесса эксплуатации, а также определены полномочия ФСБ России и организации, на сети электросвязи которой устанавливаются средства обнаружения.

Стоит отметить, что устанавливать средства обнаружения может только сторонняя организация, имеющая необходимые лицензии и заключившая госконтракт с ФСБ России. Сообщать о плановых отключениях средств обнаружения, которые могут повлечь нарушение функционирования средства поиска атак, можно только заказным письмом за 14 дней. Обсуждение проекта еще не окончено, поэтому можно активно предлагать свои поправки и формулировки.

Новый ГОСТ о требованиях к аттестующим органам

Появился стандарт, определяющий требования к органам аттестации объектов информатизации, в которых ведется обработка государственной тайны. Так, если организация является таким органом аттестации, то она должна отвечать нескольким требованиям по наличию:

  • организационно-распорядительных документов: нормативные правовые акты, методические документы, национальные стандарты, определяющие процедуру аттестации, а также документы, определяющие задачи, функции, права и обязанности организации. Кроме того, должен быть обеспечен учет, хранение и актуализация перечисленных документов;
  • работников с необходимой квалификацией:

- руководитель работ с минимальным стажем в области аттестации 5 лет при наличии высшего образования по направлению «Информационная безопасность" (при его отсутствии или при отсутствии профессиональной переподготовки, – 10 лет);
- инженеры (не менее трех) с высшим образованием по направлению «Информационная безопасность» или прошедшим профессиональную переподготовку;

  • средств измерений и испытаний, прошедших проверку в установленном порядке и имеющих необходимые сертификаты соответствия;
  • лицензий:

- на работу с информацией, составляющей государственную тайну;
- на оказание услуг в части технической защиты информации, составляющей государственную тайну;

  • объектов информатизации: в их число входят автоматизированные системы для обработки информации, составляющей государственную тайну, а также помещения со средствами защиты для обсуждения такой информации.

В приложении к документу приведена форма Положения об аттестации, которым обязана руководствоваться организация. В дополнение к нему также необходимо иметь перечни документов, технических и программных средств для проведения аттестации, а также перечень работников, имеющих нужный уровень квалификации.

Правила взаимодействия с Единой биометрической системой для МВД России и ФСБ России

Постановлением правительства установлены правила передачи сведений из единой биометрической системы в МВД России и ФСБ России для реализации их полномочий в целях безопасности государства и противодействия терроризму.

Сведения будут предоставляться по запросу вышеназванных органов на безвозмездной основе по запросу. В запросе должен быть указан идентификатор учетной записи лица, о котором запрашиваются сведения, или его изображение.

Отмечается, что взаимодействие между органами и оператором единой биометрической системы осуществляется в электронной форме. Единственным требованием в части безопасности передаваемых сведений является использование усиленной квалифицированной электронной подписи (подтвержденной аккредитованным удостоверяющим центром).

Требования к техническим средствам операторов связи для исполнения «пакета Яровой»

Наконец появились требования к информационным системам операторов связи. С помощью технических и программных средств таких систем осуществляется сбор, накопление, хранение, поиск и предоставление уполномоченным государственным органам информации пользователей услуг оператора связи (голосовая информация, изображения, звуки и др.).

Документ весьма обширный и подробный. В приложениях содержится полный перечень накапливаемой информации, требования к функционированию различных каналов (управления, данных, мониторинга и др.), требования к параметрам протокола ASN.1 (формат кодирования данных для их использования на любом техническом средстве, имеющим представление об этом стандарте) и прочие сведения.

Отмечается, что требования обязательны для применения в отношении указанных средств, подлежащих установке на сетях операторов связи, осуществляющих деятельность в рамках лицензий на оказание услуг связи.

Растущая потребность в отечественном программном обеспечении

Правительство усиленно продвигает импортозамещение в области программного обеспечения (ПО), что можно заметить по регулярно появляющимся нормативным актам.

На Минкомсвязи возложена функция централизованных госзакупок в части антивирусного ПО в рамках перехода на использование российского ПО.

Кроме того, появились методические рекомендации по исполнению переходных мероприятий. Изменения коснутся только государственных компаний, к 2021 году доля закупок которых в части российского ПО должна составлять не менее 85%. Рекомендовано назначить лицо, ответственное за мероприятия по переходу, занимающее должность не ниже заместителя руководителя. Также следует сформировать проектную группу и осуществлять мониторинг реализации планов по переходу на использование отечественного ПО.

В приложении к рекомендациям приведены формы плана мероприятий перехода и предоставления госкомпаниями сведений о ходе реализации плана мероприятий. Также указаны показатели и соответствующие им индикаторы эффективности перехода, на которые следует ориентироваться компаниям при достижении своих целевых показателей.

Стоит отметить, что в обществе тенденция импортозамещения не вызывает восторга. Пользователи ведут дискуссии на форумах на тему нехватки отечественных разработок для конкретных рабочих задач, сложность и дороговизну замены ПО, которая может столкнуться в том числе и с техническими сложностями использования нужного «железа».

Темы:ЗаконодательствоПраво и нормативы
Комментарии

More...