Обзор изменений в законодательстве за февраль 2013

Дата: 31.03.2013

О том, чего все так ждали

Приказ ФСТЭК «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», проект которого активно обсуждался с декабря прошлого года, был подписан 18-го февраля и отправлен на регистрацию в Минюст РФ. Вступление в действие данного документа должно привнести некоторую ясность в сложившуюся законодательную неопределенность в сфере защиты ПДн, и теперь мы с нетерпением ждем его официального опубликования.

 

Роскомнадзор, копии паспортов и биометрические ПДн

Благодаря блоггеру Андрею Прозорову, стало известным официальное мнение Роскомнадзора относительно вопроса, связанного с отнесением скан-копий (ксерокопий) паспортов и фотографий субъектов к биометрическим ПДн.

Согласно полученным ответам:

1. Фотография лица субъекта, в том числе фото на копии или скан-копии паспорта, с указанием дополнительных ПДн субъекта относится к биометрическим ПДн.

2. Использование и хранение фотографий субъектов ПДн на корпоративном портале, а также в системе управления контролем доступа (и в других информационных системах) подпадает под нормы ч. 1 ст. 11 152-ФЗ (биометрические ПДн).

Между тем, мнение экспертов в ИБ-сообществе по данному вопросу разделилось. Первые принимают ответ Роскомнадзора как данность, разводят руками от безысходности и, ссылаясь на выданные предписания, рекомендуют выполнять требования законодательства по защите биометрических ПДн. Другие — считают такой ответ регулятора неправомочным и, при необходимости, готовы оспаривать решение в суде.

 

Безопасность ДБО

В рамках прошедшего Инфофорума 2013 были анонсированы новые методические рекомендации Банка России по безопасности ДБО, включающие 9 групп требований:

1. Требования по идентификации и аутентификации клиентов.

2. Требования по идентификации и аутентификации клиента и удаленного банка.

3. Требования по аутентификации и регистрации операций.

4. Требования по защите транзакций.

5. Требования к криптографической подсистеме

6. Требования по хранению ключей.

7. Требования по безопасности программного окружения.

8. Требования к журналам и аудиту.

9. Технологические требования.

Состав требований для конкретной системы ДБО зависит от определяемого уровня безопасности: минимального, стандартного или повышенного.

По оценкам экспертов новые рекомендации не должны вызвать особых трудностей для банков с точки зрения их толкования и выполнения.

 

MUST DO при хищении денежных средств в системах ДБО

«Методические рекомендации о порядке действий в случае выявления хищения денежных средств в системах ДБО, использующих электронные устройства клиента», утвержденные Ассоциацией российских банков и НП «Национальный платежный совет» в феврале этого года, содержат краткие инструкции по действиям пострадавших клиентов, банка получателя и банка плательщика в случае выявления хищения денежных средств в системах ДБО. Данные рекомендации направлены на обеспечение сохранности доказательств и возможности оперативного расследования факта хищения денежных средств. Одним из примеров рекомендаций для банков является обеспечение регистрации и хранение информации, относящейся к работе клиентов в системах ДБО не менее трех лет с момента последнего использования клиентом системы ДБО.

 

PCI DSS в «облаках» и для мобильных устройств

PCI Security Standards Council (PCI SSC) подготовил новые рекомендации по защите платежной информации и соответствию стандарту PCI DSS

— PCI DSS Cloud Computing Guidelines Information Supplement — рекомендации по выбору облачных решений и провайдеров.

— PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users — рекомендации для торгово-сервисных предприятий и конечных клиентов при использовании мобильных устройств для осуществления платежей.

Рекомендации PCI DSS Cloud Computing Guidelines Information Supplement призваны разрешить проблему подтверждения соответствия стандарту PCI DSS при обработке платежной информации в облачной среде. Документ кратко раскрывает суть технологии облачных вычислений, определяет особенности взаимоотношений и распределения обязанностей по защите платежной информации между клиентами и облачными провайдерами. Основной акцент сделан на разъяснении 12 базовых требований стандарта для каждого типа сервисной модели облачных вычислений, а также рассмотрении рисков и проблем безопасности, связанных с перемещением процесса обработки платежной информации в «облако».

Документ PCI Mobile Payment Acceptance Security Guidelines for Merchants as End-Users содержит рекомендации, направленные на снижение рисков, связанных с использованием мобильных устройств для осуществления платежей. Выделяется три основных направления:

— обеспечение физической и логической безопасности мобильных устройств, включающее защиту от несанкционированного доступа, антивирусную защиту и др.;

— защита платежной информации от перехвата при ее передаче и хранении на мобильных устройствах;

— защита компонентов программно-аппаратных решений, используемых для мобильных платежей.

 

Взгляд NIST на электронную аутентификацию

NIST опубликовал проект документа Special Publication 800-63-2, Electronic Authentication Guideline, который описывает технические рекомендации по реализации электронной аутентификации, в том числе по аутентификации удаленных подключений пользователей к ИТ-системам через открытые каналы связи. Документ содержит детальное описание процесса аутентификации и его основных участников, рассматривает основные угрозы и определяет технические рекомендации в следующих направлениях:

—идентификация и регистрация субъекта доступа;

—управление токенами (аутентификаторами) и учетными данными субъекта доступа;

—протоколы, используемые для осуществления механизма аутентификации;

—передача результатов удаленной аутентификации третьим сторонам (в том числе в рамках Single-Sign-On).

 

ISO продлевает жизнь электронной подписи

ISO разработал новый стандарт ISO 14533, направленный на формирование подходов, способных обеспечить долгосрочную подлинность электронной подписи с целью развития ее использования в электронной торговле. Требования ISO 14533 также призваны обеспечить совместимость электронных подписей при проверке подлинности документов, обрабатываемых в различных информационных системах.

Новый стандарт состоит из двух частей:

— ISO 14533 -1:2012 Processes, data elements and documents in commerce, industry and administration — Long term signature profiles — Part 1: Long term signature profiles for CMS Advanced Electronic Signatures (CAdES)

— ISO 14533-2:2012 Processes, data elements and documents in commerce, industry and administration — Long term signature profiles — Part 2: Long term signature profiles for XML Advanced Electronic Signatures (XAdES).