Обзор изменений в законодательстве за январь 2015

Дата: 02.02.2015
Автор: Юлия Добровольская, старший анлитик

Защита информации для организаторов торговли

26 января в «Вестнике Банка России» было опубликовано Положение Банка России от 17 октября 2014 г. N 437-П «О деятельности по проведению организованных торгов», определяющее порядок проведения организованных торгов требования, включая требования к порядку хранения и защиты информации.

Согласно новому документу, вступающему в силу уже 6 февраля, организатор торговли должен разработать и утвердить внутренний документ, устанавливающий требования к порядку хранения и защиты информации и документов, связанных с проведением организованных торгов, а также к сроку их хранения.
Выделяются следующие основные направления реализации мер защиты:

  • обеспечение защиты информации при управлении доступом и регистрацией;
  • обеспечение защиты информации на этапах жизненного цикла автоматизированных систем;
  • обеспечение защиты информации средствами антивирусной защиты;
  • обеспечение защиты информации при использовании ресурсов информационно-телекоммуникационной сети «Интернет»;
  • обеспечение защиты информации с использованием средств криптографической защиты информации;
  • обеспечение защиты информации при назначении и распределении ролей;
  • организация деятельности службы информационной безопасности;
  • управление рисками нарушения защиты информации;
  • регламентация и документирование деятельности по обеспечению защиты информации;
  • повышение осведомленности работников в области обеспечения защиты информации;
  • обнаружение инцидентов информационной безопасности и реагирование на них;
  • мониторинг и анализ обеспечения защиты информации;
  • своевременное совершенствование обеспечения защиты информации.

В целом, сформулированные в документе требования соответствуют требованиям, установленным в  Положении банка России №382-П. Исключение составляют меры защиты, связанные с управлением рисками и анализом обеспечения защиты информации.

Кроме того, отдельным пунктом нового Положения выделены требования к мерам, направленным на защиту баз данных от ошибок и несанкционированного доступа (НСД), включающие:

  • определение порядка доступа к базам данных и защиту от НСД к базам данных;
  • определение парольной политики;
  • предотвращение сбоев и ошибок в работе средств проведения торгов;
  • осуществление ежедневного резервного копирования информации.

Относительно работы с программно-техническими средствами, предназначенными для осуществления деятельности по проведению организованных торгов, документом устанавливается необходимость проведения регулярного (не реже одного раза в два года) контроля (аудита) основных процессов создания и эксплуатации автоматизированных систем, входящих в состав средств проведения торгов, включая контроль обеспечения информационной безопасности, с привлечением независимых консультантов.

Документ вступает в силу уже 6 февраля.

Зарегистрировано в Минюсте

В январе в Минюсте были зарегистрированы два документа в области информации и информатизации:

  • Приказ Минтранса России от 05.09.2014 №242, уточняющий порядок передачи сведений о пассажирских перевозках при формировании автоматизированных централизованных баз персональных данных о пассажирах в автоматическом режиме. Теперь помимо персональных данных пассажиров в автоматизированные централизованные базы будут включаться данные экипажа транспортных средств
  • Приказ Роскомнадзора от 22.12.2014 №188, определяющий порядок ведения реестра организаторов распространения информации в сети «Интернет» (интернет-площадки, блог-хостинг платформы). Сведения, содержащиеся в реестре, размещаются Роскомнадзором на сайте www.97-fz.rkn.gov.ru, и могут быть предоставлены по запросу в форме бумажных и электронных выписок.

Новые ГОСТы

Еще в прошлом году список принятых российских стандартов в сфере обеспечения информационной безопасности пополнили сразу три новых ГОСТ Р:


Данные стандарты будут введены в действие с 1 июня 2015 года.

ГОСТ Р ИСО/МЭК 27007-2014 представляет собой дополнение к рекомендациям стандарта ИСО 19011:2011, определяющего требования к проведению аудита систем менеджмента, применительно к системам управления информационной безопасности. Документ содержит подробное руководство по организации и проведению аудитов систем менеджмента информационной безопасности, включая:

  • разработку, реализацию, мониторинг и совершенствование программы аудита;
  • подготовку отчета об аудите и действия по его результатам;
  • определение компетентности аудиторов и критериев его оценки.

Практическое руководство по аудиту СМИБ, содержащееся в приложении к ГОСТ Р, включает описание критериев и предполагаемых свидетельств аудита.

ГОСТ Р 56045-2014 содержит детальное описание процесса проверки мер и средств контроля и управления информационной безопасностью, включая сбор предварительной информации, разработку контрольного перечня для проверок, получение, документирование и анализ свидетельств, а также подбор персонала для проведения аудита.

В стандарте выделяется и подробно описывается три следующих метода проверок мер и средств контроля и управления информационной безопасностью:

  • изучение;
  • опрос;
  • тестирование.

В соответствующих разделах документа приводится набор атрибутов и их значения для каждого из методов.

В приложении к стандарту представлено подробное практическое руководство по проверке технического соответствия, включающее перечень предполагаемых свидетельств и рекомендуемый метод проверки.

Первая часть ИСО/МЭК 27034 содержит общий обзор безопасности приложений и определяет базовые понятия, принципы и процессы, касающиеся обеспечения безопасности приложений.

В стандарте приводится четыре базовых принципа безопасности приложений:

1. Безопасность является требованием.
2. Безопасность приложений зависит от контекста.
3. Соразмерность инвестиций в обеспечение безопасности приложений.
4. Безопасность приложений должна демонстрироваться

Само понятие обеспечения безопасности приложений определяется как процесс применения мер и средств контроля и управления и измерений к приложениям организации с целью осуществления менеджмента риска безопасности приложений — риска, возникающего в организации при использовании конкретного приложения. В качестве компонентов рисков безопасности приложений рассматриваются:

  • угрозы, направленные на информацию, которая доступна приложениям;
  • уязвимости приложения;
  • влияние успешного использования уязвимостей угрозами, которое определяется расходами, понесенными организацией в результате нарушения доступности, целостности или конфиденциальности критических данных приложений.

Согласно стандарту, менеджмент безопасности приложений включает пять процессов:

  • Определение требований и среды приложений.
  • Оценка рисков безопасности приложений.
  • Создание и поддержка нормативной структуры приложений.
  • Подготовка к работе и эксплуатация приложений.
  • Аудит безопасности приложений.

В документе приводится описание каждого из перечисленных процессов в соответствии с устанавливаемым в ИСО/МЭК 27005 процессе менеджмента рисков.

В приложениях к стандарту содержатся примеры сопоставления подходов, изложенных в ИСО/МЭК 27034, существующим стандартам и процессам разработки приложений.

В целом, ИСО/МЭК 27034 может быть применим для приложений, разработанных в рамках организации, приобретенных у третьей стороны, а также в случаях аутсорсинга разработки или эксплуатации приложений.