Матеріали про екстремізм, тероризм, інтернеті
В огляді висвітлені зміни в законодавстві в сфері інформаційної безпеки за 2015 рік.
Лютий
Продовження термінів сертифікатів відповідності на засоби захисту інформації
ФСТЕК Росії опублікувала Інформаційне повідомлення , Який роз'яснює процедуру продовження термінів дії сертифікатів відповідності на засоби захисту інформації. Нагадаємо, що відповідно до Постанови уряду «Про сертифікації засобів захисту інформації» , Обов'язковій сертифікації підлягають засоби захисту інформації, призначені для захисту державної таємниці та іншої інформації з обмеженим доступом, а також кошти, що використовуються в управлінні екологічно небезпечними об'єктами. В інших випадках сертифікація є добровільною і здійснюється за ініціативою розробника, виробника або споживача кошти защіти.Інформаціонное повідомлення роз'яснює процедуру продовження термінів дії сертифікатів відповідності, ініційовану споживачем. Оскільки термін дії сертифіката відповідності не може перевищувати п'яти років, після закінчення даного терміну засіб захисту підлягає повторній сертифікації. Заявник на сертифікацію засоби захисту інформації не пізніше, ніж за три місяці до закінчення терміну дії сертифіката повинен прийняти рішення про продовження або про відмову в продовженні терміну дії сертифіката відповідності і проінформувати організації, які експлуатують даний засіб, будь-яким доступним способом.
У разі, якщо Заявник на сертифікацію відмовляє у продовженні терміну дії сертифіката, організація, яка експлуатує даний засіб захисту, може самостійно організувати продовження терміну дії даного сертифікату відповідності. Продовження терміну дії сертифіката відповідності, що ініціюється споживачем, можливо в наступних випадках:
- засіб захисту інформації функціонує з необхідною ефективністю;
- в організації є в наявності експлуатаційна документація на засіб захисту інформації;
- на засобі захисту інформації або в експлуатаційній документації кошти є в наявності знак відповідності ФСТЕК Росії для маркування сертифікованої продукції;
- своєчасно проведено щорічний контроль відповідності вимогам безпеки інформації системи захисту інформації об'єкта інформатизації, до складу якої входить засіб захисту інформації.
Для самостійного продовження терміну дії сертифіката відповідності на засіб захисту інформації організація, яка експлуатує даний засіб, завчасно (до того моменту, коли закінчиться дія старого сертифіката) направляє в ФСТЕК Росії наступні документи:
- заявку;
- протоколи оцінки ефективності засобу захисту інформації або протоколи оцінки захищеності інформації від несанкціонованого доступу.
Протоколи повинні бути оформлені не раніше, ніж за 12 місяців до дня відправки заявки, при проведенні атестаційних випробувань або щорічного контролю відповідності системи захисту інформації об'єкта інформатизації вимогам безпеки інформації.
Березень
Банк даних загроз безпеки інформації
Відповідно до інформаційним повідомленням ФСТЕК Росії 11 березня був відкритий доступ до інформаційного ресурсу www.bdu.fstec.ru, який містить банк даних загроз безпеки інформації.
Банк даних включає в себе базу даних вразливостей ПЗ, а також перелік і опис загроз безпеки інформації, найбільш характерних для державних інформаційних систем, ІСПДн і АСУ ТП. Зараз в базі 162 загрози і 10299 вразливостей, проте їх кількість буде збільшуватися, тому що база продовжує поповнюватися. Взяти участь в її розширенні може будь-хто, повідомивши про нову уразливість або загрозу через спеціальну форму .
База даних вразливостей ПЗ включає:
- коротку характеристику уразливості;
- назва, версію і вендора ПО;
- клас уразливості (вразливість коду, вразливість архітектури, вразливість багатофакторна);
- найменування ОС і тип апаратної платформи;
- базовий вектор CVSS;
- рівень небезпеки уразливості;
- можливих заходів щодо їх усунення;
- статус уразливості (підтверджена в ході досліджень, підтверджена виробником, потенційна вразливість);
- наявність експлойта;
- опис і тип помилки CWE.
Серед різних типів ПО в окрему групу виділено ПО АСУ ТП, для якого на даний момент в базі є 20 вразливостей.
Опис загроз в базі містить наступну інформацію:
- короткий опис загрози, включаючи умови її реалізації з точки зору можливостей порушників і наявності вразливостей в системах і технологіях;
- об'єкт впливу;
- джерело загрози (внутрішній або зовнішній порушник) із зазначенням рівня потенціалу (високий, середній, низький), згадка про який було раніше в наказах ФСТЕК Росії №17 і №21;
- наслідки реалізації загрози (порушення конфіденційності, цілісності, доступності).
Серед усіх загроз безпеці можна виділити специфічні загрози, визначені для конкретного типу систем або технології. Так, наприклад, банк даних містить загрози для:
- грід-систем;
- хмарних технологій;
- технології віртуалізації;
- суперкомп'ютера;
- бездротових мереж;
- BIOS.
Окремих груп загроз для ГІС, ІСПДн і АСУ ТП в банку даних не виділено, що, безумовно, викликає питання в частині узгодженості даного переліку з іншими нормативними документами, наприклад, Базовою моделлю загроз безпеки ПДН. Однак за інформацією, отриманою від представників ФСТЕК Росії, представлену базу даних слід використовувати тільки в якості додаткового джерела інформації.
Серед переліку об'єктів впливу, що розглядаються при описі загроз, зустрічаються деякі розбіжності та невідповідності в термінології. Крім того, присутній сумнів і в повноті списку об'єктів впливу. Наприклад, інформація, що захищається, як об'єкт впливу, зустрічається в базі двічі, що не може не здатися дивним.
Незважаючи на ряд недоліків, не можна не відзначити зручність створеного ресурсу, що передбачає, крім іншого, інструменти фільтрації за всіма основними параметрами опису загроз і вразливостей, а також корисні розділи, що містять основні терміни з посиланнями на нормативні документи і навіть калькулятор CVSS.
Квітень
план імпортозаміщення
Першого квітня Мінкомзв'язку Росії опубліковано наказ «Про затвердження плану імпортозаміщення програмного забезпечення» , Відповідно до якого до 1 липня повинні бути опрацьовані питання, пов'язані з:
- державною підтримкою реалізації плану імпортозаміщення;
- розробкою нових нормативних актів, що передбачають надання вітчизняному ПО преференцій;
- залученням зацікавлених російських ІТ-організацій до проекту імпортозаміщення за напрямками реалізації плану.
Затверджений план імпортозаміщення ПО включає 14 основних напрямків розробки ПО, в тому числі ПО інформаційної безпеки, СУБД, клієнтські і серверні ОС, для трьох груп сегментів ринку:
- сегменти ринку корпоративного ПО, за якими вже є заділ у вигляді конкурентоспроможних вітчизняних продуктів. Для таких сегментів пропонується введення преференцій вітчизняної продукції при здійсненні закупівель за державний рахунок;
- сегменти ринку корпоративного ПО, за якими немає достатнього зачепила у вигляді конкурентоспроможних вітчизняних продуктів. Для даних сегментів пропонується надавати підтримку колективної розробки ПО;
- сегменти ринку програмного забезпечення, пов'язані з галузевою специфікою (промисловість, охорона здоров'я, транспорт і ін.).
Документація ФСТЕК Росії
13 квітня на сайті ФСТЕК Росії було опубліковано інформаційне повідомлення про затвердження нових версій переліків нормативної документації, необхідної претендентам ліцензій і ліцензіатам ФСТЕК Росії в області технічного захисту і розробки засобів захисту конфіденційної інформації.
В цілому, список документів, обов'язкових для виконання робіт і надання послуг в рамках ліцензованої діяльності, був значно розширений за рахунок нових профілів захисту, розроблених ФСТЕК Росії в період з 2012 по 2014 рік.
Травень
Російський державний сегмент мережі «Інтернет»
завдяки новому указом Президента , Підписаним в кінці травня, більшість громадян РФ дізналися про існуючий у нас в країні сегменті мережі «Інтернет» для федеральних та інших органів державної влади, керованому Федеральною службою охорони Російської Федерації.
Даний сегмент був створений ще 7 років тому для підключення інформаційних систем органів державної влади по захищених каналах зв'язку. І в новому Указі Президента визначається конкретний засіб, що забезпечує захист інформації при підключенні через російський сегмент. Їм є державна система виявлення, попередження і ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації.
Нові методики моделювання загроз безпеці ФСТЕК Росії і ФСБ Росії
Напередодні Дня Перемоги на сайті ФСТЕК Росії було опубліковано нове інформаційне повідомлення про проект нового методичного документа, що встановлює методику визначення загроз безпеки інформації. Даний документ винесено на розгляд громадськості та в термін до 10 червня організовано збір пропозицій та зауважень до проекту від усіх зацікавлених організацій.
Саме час уточнити, які нормативні документи ФСТЕК Росії на даний момент регламентують порядок визначення і моделювання загроз безпеці інформації. До них відносяться:
Обидва документи призначені для використання в конкретній галузі захисту інформації, а саме, в сфері захисту персональних даних. З виходом наказу ФСТЕК Росії №17, орієнтованого на захист інформації, що обробляється ГІС, виникла природна потреба в розробці нового документа, що охоплює більш широкий спектр категорій, що захищається.
Плани по розробці нової методики визначення загроз були озвучені ФСТЕК Росії ще в 2013 році відразу після публікації двох нових наказів. Крім того, в тексті самих наказів були явні «недомовленості» щодо загроз і порушників безпеки, що також вказувало на готуються нововведення.
Нова Методика визначення загроз безпеки інформації в інформаційних системах головним чином, розрахована на органи державної влади та місцевого самоврядування (далі - органи влади), але також може бути використана операторами ПДН. При цьому Методика не скасовує дію Базовою моделі загроз безпеки ПДН, а застосовується спільно з нею і банком даних загроз безпеки інформації , Сформованим ФСТЕК Росії.
Методика визначення загроз безпеки інформації в інформаційних системах містить рекомендації щодо реалізації безперервного процесу, що включає наступні етапи:
1. Визначення області застосування процесу визначення загроз.
2. Ідентифікація джерел загроз і загроз безпеки інформації.
3. Оцінка ймовірності (можливості) реалізації загроз безпеці інформації та ступеня можливого збитку.
4. Моніторинг та переоцінка загроз безпеки інформації.
Для визначення актуальності загроз автори документа пропонують враховувати наступні показники:
- ймовірність (при наявності відповідних статистичних даних) або можливість реалізації загрози;
- ступінь шкоди від реалізації загрози.
У додатках до Методики наводяться Рекомендації щодо формування експертної групи і проведення експертної оцінки при визначенні загроз безпеки інформації, а також Структура моделі загроз безпеки інформації з рекомендаціями за змістом пропонованих розділів.
Крім ФСТЕК Росії питань моделювання загроз безпеці приділяється увага і з боку ФСБ Росії. Так, ФСБ Росії були опубліковані нові Методичні рекомендації по розробці нормативних правових актів, що визначають загрози безпеки персональних даних.
Даний документ призначений для органів влади, які здійснюють функції з вироблення державної політики та нормативно-правового регулювання у встановленій сфері діяльності, а також приймають нормативні правові акти, в яких визначаються актуальні загрози безпеці ПДО при їх обробці в ІСПДн. Крім того, сформульовані рекомендації можуть застосовуватися операторами ПДО при ухваленні рішення про використання засобів криптографічного захисту інформації для захисту ПДН.
Нові Методичні рекомендації ФСБ Росії фокусуються на питаннях:
- опису ІСПДн в залежності від типів експлуатованих ІСПДн і наявності в ІСПДн загроз, які можуть бути нейтралізовані тільки за допомогою засобів криптографічного захисту інформації;
- визначення актуальних загроз безпеки ПДН виходячи з можливостей джерел атак.
Даний документ явно передбачається використовувати разом з «Методичними рекомендаціями щодо забезпечення за допомогою кріптосредств безпеки ПДО при їх обробці в ІСПДн з використанням засобів автоматизації», які містить детальний опис класифікації можливих порушників, порядок визначення характеристик безпеки і методологію формування моделі загроз в цілому.
Липень
Роскомнадзор коментує Закон про персональні дані
Нещодавно «Російська газета» випустила збірник постатейних коментарів до Федерального закону «Про персональні дані». У ньому аналізуються різні питання обробки персональних даних, роз'яснюються спірні положення закону, а також наводяться практичні приклади його застосування. Документ є платним, паперову та електронну версії можна придбати за 265 р. і 100 р. відповідно.
Зміна Переліку відомостей конфіденційної інформації
13 липня 2015 року був підписаний Указ Президента РФ № 357 «Про внесення змін до Переліку відомостей конфіденційного характеру, затверджений Указом Президента Російської Федерації від 6 березня 1997 № 188». Перелік відомостей конфіденційного характеру, вік якого налічує вже 18 років, був доповнений і уточнений. Відтепер до відомостей конфіденційного характеру крім іншого відносяться дані, що містяться в особових справах засуджених, а також відомості про примусове виконання судових актів, актів інших органів і посадових осіб (крім загальнодоступних даних).
Реєстр російського ПО
Федеральний закон «Про інформацію» знову зазнав змін. згідно новому Федеральному закону , Що вступає в дію 1 січня 2016 року, в нашій країні створюється єдиний реєстр російських програм для електронних обчислювальних машин і баз даних (далі - реєстр російського ПО). Визнання ВО «що відбувається з Російської Федерації» буде здійснюватися на підставі чотирьох основних критеріїв, визначених документом.
Російські засоби захисту на сторожі національних платіжних систем
за повідомленнями зі ЗМІ ЦБ РФ розробив проект нового документа, що містить вимоги до апаратного та програмного забезпечення для національно значущих платіжних систем ( «Юністрім», «Близько», «Бест», CONTACT і ще 14 систем з реєстру ЦБ). Згідно з документом, при переказі грошових коштів оператор повинен буде використовувати технічні засоби захисту інформації тільки російських розробників.
Припинення підтримки Windows Server 2003 і Windows Server 2003 R2
На сайті ФСТЕК Росії опубліковано нове інформаційне повідомлення від 19 червня 2015 р N 240/24/2497 про застосування сертифікованих за вимогами безпеки інформації операційних систем Windows Server 2003 і Windows Server 2003 R2 в умовах припинення їх підтримки розробником. Аналогічно до порядку, передбаченому раніше для Windows XP, в зв'язку з широким використанням сертифікованих версій ОС Windows Server 2003 (R2) до серпня 2017 року встановлюється перехідний період, протягом якого видані раніше сертифікати відповідності на операційні системи будуть дійсні. Для зниження ризиків ІБ протягом перехідного періоду рекомендується реалізувати ряд додаткових заходів захисту, визначених у документі.
У повідомленні ФСТЕК Росії також йдеться про необхідність врахування додаткових загроз безпеки інформації при проведенні атестації за вимогами захисту інформації інформаційних систем, що працюють під управлінням операційних системи Windows Server 2003 (R2). При цьому повторна атестація інформаційних систем, що працюють під управлінням цих операційних систем, атестованих до 15 липня 2015 року, не потрібно.
Серпень
Захист БД клієнтів банків
Слідом за набрав чинності 1 вересня ФЗ №242 , Що вводить заборону на зберігання ПДН російських громадян за кордоном, Центробанк Росії ухвалив про необхідність розміщення електронних баз даних про клієнтів на території Російської Федерації. відповідне Вказівка ЦБ РФ було Зареєстровано в Мін'юсті 18 серпня. Відтепер банки, що використовують зарубіжні сервери і центри обробки даних, будуть змушені змінити свої ІТ-майданчики і перенести сервери на територію РФ.
Реєстр порушників прав суб'єктів персональних даних
З 1 вересня 2015 року Було Створено автоматизованого інформаційну систему «Реєстр порушників прав суб'єктів персональних даних». Реєстр буде включати в себе доменні імена, покажчики сторінок і адреси сайтів, що містять інформацію, оброблювану з порушенням законодавства про персональні дані.
Створення, формування і ведення системи здійснюватиме Роскомнадзор відповідно до правилами , Затвердженими Урядом РФ.
вересень
Сайт як інструмент ФАС
Тепер принт-скріни сторінок сайту можуть бути використані ФАС для фіксації факту появи незаконної реклами в Інтернеті. согласно письму ФАС Росії від 28.08.2015 № АК / 45828/15 «Про рекламу в мережі" Інтернет ", в якості підстави для подальшого адміністративного впливу можуть бути використані також результати пошуку в архіві Інтернету ( https://archive.org/web/).
При цьому ФАС Росії роз'яснює особливості застосування законодавства про рекламу при її розміщенні в мережі Інтернет. Так, інформація про товари, розміщена на сайті (в соціальних мережах) їх виробника або продавця, не є рекламою, якщо вона призначена для інформування відвідувачів про реалізовані товари, асортименті і правилах користування. Чи не є рекламою і інформація про знижки на товари та промо-акцій. Однак спливає банер або будь-який інший спосіб залучення уваги до конкретного товару і його виділення серед однорідних товарів може бути визнаний рекламою.
Щодо перевірок Роскомнадзор
7 вересня Роскомнадзор офіційно сообщил про те, що будь-які компанії, які обробляють ПДН в Росії, незалежно від наявності або відсутності юридичної адреси в нашій країні, можуть бути і будуть, при необхідності, перевірені на предмет дотримання 242-ФЗ. Крім того, на сайті Роскомнадзора була опублікована принципова схема взаємодії Роскомнадзора з перевіряються компаніями іноземної юрисдикції.
Пріоритет вільного ПЗ
Слідом за законом , Яка передбачає створення реєстру російських програм, а також можливість введення обмежень на використання зарубіжних товарів і послуг з 1 січня 2016 р у вересні стало відомо про початок роботи над текстом законопроекту, спрямованого на встановлення пріоритету вільного ПЗ перед пропрієтарним при проведенні держзакупівель.
Однією з прихованих цілей розробки нового закону називається економія державного бюджету. Так, загальний очікуваний економічний ефект від введення подібних змін оцінюється законотворцями в 500 млрд на рік.
Безумовно, дані законотворчі ініціативи викликають великі побоювання з боку розробників ПЗ, так як встановлення нових правил на ринку ПО може негативно позначитися і на вітчизняних компаніях, що розробляють свої продукти.
Незважаючи на це внесення законопроекту в Думу очікується вже в кінці листопада 2015 року, а його вступ в силу з 1 січня 2016 р
Жовтень
Єдина система Цодов
7 жовтня урядом РФ була затверджена Концепція перекладу обробки і зберігання державних інформаційних ресурсів в систему федеральних і регіональних центрів обробки даних. Дана концепція вказує на необхідність організації системи центрів обробки даних, керовану одним оператором, для централізації інформаційно телекомунікаційної інфраструктури інформаційних систем органів влади. При цьому основним підходом до реалізації системи центрів обробки даних є використання «хмарних» технологій.
Концепція містить ключові вимоги до системи центрів обробки даних і її об'єктів, включаючи забезпечення резервування каналів зв'язку і катастрофостійкості рішень, використовуваних при створенні системи, вимоги до надійності і забезпечення захисту інформації. Зокрема, захист інформації в системі центрів обробки даних передбачає:
- своєчасне виявлення загроз безпеки інформації та вразливостей;
- реалізацію необхідних заходів і засобів захисту інформації;
- забезпечення підключення до державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси РФ;
- реалізацію заходів щодо періодичного внутрішньому і зовнішньому контролю стану забезпечення інформаційної безпеки.
Відповідно до Концепції перехід на використання системи центрів обробки даних повинен здійснюватися поетапно відповідно до плану заходів на період з 2015 по 2021 рік, наведеному в додатку до Концепції. Однак реалізація положень Концепцій викликає велику кількість питань, головним чином пов'язаних з відсутністю національних стандартів в області забезпечення ІБ при використанні «хмарних» технологій.
листопад
Заборона на іноземне ПО
16 листопада Прем'єр-міністр Росії Дмитро Медведєв підписав Постанову , Згідно з яким з 1 січня 2016 р вступлять в силу зміни, що забороняють використання іноземного ПО в держорганах при наявності російських аналогів.
Використання іноземного ПО буде дозволено тільки в тих, випадках, коли реєстр російського ПЗ не містить його аналогів, або всі існуючі аналоги не задовольняють заявленим технічним вимогам. При цьому, неможливість дотримання заборони повинна бути документально обгрунтована. Порядок розробки такого обґрунтування визначено в додатку до Постанови.
Крім заборони на допуск іноземного ПО для цілей здійснення закупівель для забезпечення державних і муніципальних служб, Постанова затверджує Правила формування та ведення єдиного реєстру російського ПО. Відповідальним за формування і ведення реєстру призначено Міністерство зв'язку і масових комунікацій Російської Федерації. Для включення ПО в реєстр правовласник повинен направити в Мінкомзв'язку відповідну заяву.
Огляд підготовлений на основі матеріалів сайту http://www.ussc.ru/blog/