Обзор изменений в законодательстве за сентябрь 2013

Дата: 14.11.2013
Банк России дает разъяснения 
На официальном сайте Банка России были опубликованы ответы на типовые вопросы, связанные с реализацией Положения Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Всего было рассмотрено 16 вопросов, касающихся различных аспектов выполнения установленных требований, включая в том числе: 
— защиту ПДн при осуществлении переводов денежных средств; 
— соотнесение требований Положения Банка с Постановление Правительства РФ от 13 июня 2012г. №584 «Об утверждении Положения о защите информации в платежной системе»; 
— необходимость принятия мер по обработке несущественных рисков; 
— отнесение информации, содержащейся в уведомлении клиента о совершении каждой операции с использованием электронного средства платежа и в чеке банкомата, к защищаемой информации; 
— порядок информирования клиентов о различных угрозах и рисках при осуществлении переводов денежных средств, а также о мерах их нейтрализации; 
— возможность применения несертифицированных, но официально ввезенных на территорию России, СКЗИ при оказании услуг дистанционного банковского обслуживания; 
— необходимость выполнения требований Положений при осуществлении безналичных расчетов. 
 
Обновленный ISO 27001 
 
В конце прошлого месяца были опубликованы новые редакции стандартов ISO 27-й серии: ISO/IEC 27001:2013 и ISO/IEC 27002:2013. Сравнение старой и новой версий ISO/IEC 27001:2013 содержится в подготовленном BSI руководстве по переходу на новую версию стандарта. При пересмотре стандартов были учтены принципы и методология оценки рисков, изложенные в ISO 31000, а также требования директив ISO/IEC по унификации стандартов системы управления. 
По сравнению с прошлой версией стандарта ISO/IEC 27001 значительно изменилась структура документа. Выделены новые блоки требований «Leadership» (Лидерство) и «Support» (Поддержка), акцентирующие внимание, соответственно, на необходимости демонстрации приверженности руководства системе управления ИБ, а также предоставлении необходимых ресурсов, наличию компетенций, повышении осведомленности и управлению коммуникациями. 
Изменения произошли и в терминологической базе стандарта. Так вместо терминов stakeholders и asset owner появились соответственно Interested parties и Risk owner. 
В новой редакции документа исчезло упоминание превентивных мер, вместо которых предлагается использовать иной подход, заключающийся в оценке выявленных несоответствий и принятии корректирующих мер. 
Значительные изменения претерпели механизмы контроля, приведенные в приложении к стандарту. Их состав был серьезно переработан в части внутренней организации ИБ ( А.6.1 «Internal organisation»), контроля доступа (A.9 Access control), приобретения, разработки и обслуживания информационных систем (А.14 System acquisition, development and maintenance), и соответствия требованиям (А.18 Compliance). Помимо этого часть требований была исключена из состава механизмов контроля, а также выделены новые домены (A.13 Communications security, A.10 Cryptography, А.15 Supplier relationships). В целом число механизмов контроля сокращено до 114 (было 133). 
Изменения на методологическом уровне связаны с исключением из текста стандарта детального описания рекомендуемого подхода к оценке рисков и постоянному улучшению СУИБ. Теперь компания может самостоятельно выбирать подходящую методологию, а метод «актив — угроза — уязвимость» и модель PDCA останутся как лучшие практики для этого стандарта. 
В целом новая версия стандарта является более удобной и гармонизированной с современными стандартами ISO, однако отсутствие принципиально новых методологических изменений и слишком общий характер описания процессов управления ИБ снижает его практическую ценность в сравнении с другими методологиями (COBIT5, ITIL v3). 
 
ГОСТ по защите виртуализации и облачных вычислений 
 
На сайте технического комитета по стандартизации № 362 были опубликованы проекты новых ГОСТ по защите информации, разработанных ГНИИИ ПТЗИ ФСТЭК России: 
— ГОСТ Р ХХХХХ-20ХХ «Защита информации. Требования по защите информации, обрабатываемой с использованием с использованием технологий „облачных вычислений“. Основные положения»; 
— ГОСТ Р ХХХХХ-20ХХ «Защита информации. Требования по защите информации, обрабатываемой с использованием технологии виртуализации. Основные положения». 
По плану работ ТК-362, работы по проектам ГОСТ по виртуализации и облачным вычислениям должны быть завершены в ноябре и в декабре представлены в Росстандарт. 
Проект ГОСТ Р, посвященный защите информации, обрабатываемой с использованием технологии «облачных вычислений», определяет базовые термины и взаимосвязь между ними, состав и структуру информационных систем, построенных с использованием технологий «облачных вычислений», а также включает в себя обзор объектов защиты и угроз безопасности информации. Так как использование технологии «облачных вычислений» подразумевает всегда наличие двух сторон — поставщика и потребителя облачных услуг, все угрозы безопасности информации делятся в документе на два класса: для поставщиков облачных услуг и для потребителей. Характеристика угроз включает в себя описание способов их реализации и возможные последствия (нарушение целостности, доступности и конфиденциальности информации). Очевидно, что при определении сводного перечня угроз использовались существующие наработки Cloud Security Alliance (Top Threats to cloud computing). 
В зависимости от вида облачных услуг ГОСТ определяет требования по защите информации. Всего в документе рассматривается 13 видов облачных услуг: 
— аппаратное обеспечение как услуга (HaaS); 
— безопасность как услуга (SecaaS); 
— бизнес-процесс как услуга (BPaaS); 
— данные как услуга (DaaS); 
— доверие как услуга (TaaS); 
— инфраструктура как услуга (IaaS); 
— облачная среда разработки как услуга (SDPaaS); 
— общение как услуга (CaaS); 
— платформа как услуга (PaaS); 
— подключение как услуга (NaaS); 
— программное обеспечение как услуга (SaaS); 
— прозрачность как услуга (TraaaS); 
— рабочее место как услуга (WaaS). 
Требования по защите информации включают в себя следующие меры: 
— по идентификации и аутентификации субъектов и объектов доступа; 
— по управлению доступом субъектов к объектам; 
— по ограничению программной среды;
— по защите машинных носителей информации; 
— по удалению остаточной информации; 
— по регистрации событий безопасности; 
— по криптографической защите хранимой и передаваемой информации; 
— по антивирусной защите; 
— по обнаружению (предотвращению) вторжений; 
— по контролю (анализу) защищенности информации; 
— по обеспечению доступности информации; 
— по защите облачного сервера, его средств и систем связи и передачи данных; 
— по межсетевому экранированию; 
— по централизованному управлению. 
Можно заметить, что меры по защите информации во многом напоминают формулировки требований, используемых в 21-ом и 17-ом приказах ФСТЭК России. 
ГОСТ по защите информации, обрабатываемой с использованием технологии виртуализации, рассматривает требования по защите виртуализации в различных аспектах, включая виртуальные сети и СХД. Содержание документа во многом совпадает с положениями документов NIST, в частности, NIST 800-125 «Guide to Security for Full Virtualization Technologies», который, по-видимому, использовался при разработке ГОСТ. 
В рассматриваемом документе даются определения терминов «виртуализация», «виртуальная машина», «гипервизор», появившиеся ранее в 21-ом и 17-ом приказах ФСТЭК России. 
Среди объектов, подлежащих защит, рассматриваются: 
— файлы виртуальных жестких дисков и файлы с настройками ВМ; 
— гипервизоры; 
— системное и прикладное ПО, используемое в виртуализации, и их данные; 
— средства ЗИ и их данные; 
— каналы передачи данных; 
— сетевое оборудование и их данные; 
— резервные копии данных. 
В зависимости от типа виртуализации в ГОСТе определяется набор мер по защите информации. К рассматриваемым типам виртуализации относятся: 
1. Виртуализация аппаратного обеспечения 
2. Виртуализация программного обеспечения 
3. Виртуализация с использование гипервизора I типа 
4. Виртуализация с использование гипервизора II типа 
5. Виртуализация вычислительных сетей 
6. Виртуализация систем хранения 
По каждому из типов виртуализации приводится его описание, характеристика угроз безопасности информации и перечень мер по защите. 
В целом оба документа получились хорошо структурированными, не сложным для восприятия и достаточно подробными.