Обзор изменений в законодательстве за апрель 2013

Дата: 14.05.2013

Пассажирские автобусы, грузоперевозки и защита информации

1-го апреля 2013 года вступил в силу приказ Минтранса от 13 февраля 2013 года №36 «Об утверждении требований к тахографам, устанавливаемым на транспортные средства, категорий и видов транспортных средств, оснащаемых тахографами, правил использования, обслуживания и контроля работы тахографов, установленных на транспортные средства». На первый взгляд может показаться, что данный документ никак не связан с информационно безопасностью и может быть интересен только транспортным компаниям, осуществляющим грузо- и пассажироперевозки. Однако на самом деле установленные требования напрямую затрагивают вопросы использования сертифицированных средств криптографической защиты информации, квалифицированной ЭП и защиты ПДн, в том числе биометрических ПДн.
 
Компонентами тахографа среди прочего являются:
— программно-аппаратное шифровальное (криптографическое) средство (блок СКЗИ тахографа), входящее в состав бортового устройства;
— карты тахографа, представляющие собой внешние устройства.

В соответствии с приказом Минтранса разработка, производство и техническое обслуживание карт и блоков СКЗИ тахографа должны осуществляться в соответствии с ПКЗ-2005. Таким образом, для разработчиков и мастерских, выпускающих и обслуживающих тахографы и карты, становится необходимым получение соответствующей лицензии ФСБ России. При этом транспортные компании, использующие в своих транспортных средствах тахографы, обладающие возможностью передачи информации по открытым каналам связи GSM/GPRS, также подпадают под требования лицензируемой деятельности.

Кроме того, карты тахографа должны соответствовать требованиям к материальным носителям биометрических ПДн, а система разграничения доступа к ним — требованиям к защите ПДн при их обработке в ИСПДн. Помимо этого, установка тахографов предполагает использование квалифицированной электронной подписи.

По мнению экспертов, данные требования создают новые сегменты рынков СКЗИ и ЭП, а также значительно расширяют список потенциальных лицензиатов ФСБ России.

 

Минкомсвязь стоит на защите прав абонентов

 
Минкомсвязь России подготовило два проекта изменений в Федеральный закон «О связи», касающихся регулирования контентных услуг, рассылок по сетям электросвязи и спама.

Первая часть изменений устанавливает необходимость получения прямого согласия абонентов на предоставление контентных услуг и списание денежных средств с их лицевых счетов. Помимо этого, в проекте закона предлагается закрепить необходимость информирования пользователей о стоимости и содержании услуг до получения их согласия на предоставление услуг.

Вторая часть законопроекта вводит ограничение на осуществление SMS-рассылок, а также позволяет оператору связи фильтровать сообщения и блокировать рассылки, отнесенные к спаму.

 

Совершенствование КоАП

Правительство РФ внесло в Госдуму законопроект, направленный на соблюдение должностными и юридическими лицами требований по защите информации. Предлагаемые изменения предусматривают дополнение статьи 13.12 КоАП «Нарушение правил защиты информации» новыми частями, устанавливающими ответственность за неприменение средств защиты информации или непринятие правовых и организационных мер, направленных на защиту информации. В текущей редакции КоАП административная ответственность предусматривается только за правонарушения, связанные с использованием несертифицированных средств защиты информации. При этом неприменение средств защиты информации или непринятие правовых и организационных мер, направленных на защиту информации, не влечет за собой административной ответственности.
 

Страны с адекватной защитой ПДн

С сегодняшнего дня вступает в силу приказ Роскомнадзора «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных», который должен учитывается при осуществлении трансграничной передачи ПДн. В этот перечень попали следующие страны:
 
— Австралия — Австралийский союз
— Аргентинская Республика
— Государство Израиль
— Республика Кабо-Верде
— Канада
— Королевство Марокко
— Малайзия
— Мексиканские Соединенные Штаты
— Монголия
— Новая Зеландия
— Республика Ангола
— Республика Бенин
— Республика Корея
— Республика Перу
— Республика Сенегал
— Республика Чили
— Тунисская Республика
— Швейцарская Конфедерация
— Специальный административный район Гонконг Китайской Народной Республики

При сопоставлении утвержденного Роскомнадзором перечня с европейским, пересечение будет только по четырем странам: Аргентине, Австралии, Канаде и Швейцарии.

Стоит отметить, что вопрос, связанный с определением перечня иностранных государств, обеспечивающих адекватную защиту ПДн, не является столь критичным и связан лишь с небольшим упрощением процедуры трансграничной передачи ПДн в страны, попавшие в него.

 

Новинки NIST

NIST опубликовал проект документа Special Publication 800-162 Guide to Attribute Based Access Control (ABAC) Definition and Considerations, который определяет базовые понятия и методологию атрибутного управления доступом (ABAC), а также содержит рекомендации по его использованию.

Методология атрибутного управления доступом заключается в предоставлении субъекту разрешения на выполнение операций с объектом на основе вычисления значений набора атрибутов, связанных с субъектом, объектом и запрашиваемыми операциями.

Документ содержит описание основных функциональных компонентов и сценариев использования атрибутного управления доступом, рассматривает конкретные механизмы его реализации и принципы внедрения на предприятии.

Еще одним новым документом NIST, опубликованным в апреле, является NIST IR-7924 Reference Certificate Policy, представляющий собой шаблон Политики применения сертификатов, содержащий инструкции и пояснения по доработке политики для конкретной организации. Документ определяет политику безопасности в отношении применения сертификатов на всех этапах жизненного цикла, начиная от их генерации и заканчивая аннулированием или истечением срока действия, а также регламентирует операционную работу удостоверяющих центров. В состав мер, направленных на обеспечение безопасности сертификатов, входит:

— обеспечение физической безопасности;
— распределение ролей и функциональных обязанностей по обеспечению безопасности;
— определение требования к квалификации персонала, обучение;
— управление сетевой безопасностью;
— управление криптографическими ключами, включающее процедуры смены ключей и действия при их компрометации;
— аудит событий.