Обзор изменений в законодательстве за июль 2014

Дата: 15.08.2014
Автор: Юлия Добровольская, старший аналитик

Новые рекомендации Банка России

Банк России опубликовал на своем сайте рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014), которые вводятся в действие с 1-го сентября 2014-го года.

Документ содержит требования к организации работ по обеспечению ИБ на 7 стадиях жизненного цикла АБС:

1. Разработки технического задания
2. Проектирования АБС
3. Создания и тестирования АБС
4. Приемки и ввода в действие
5. Эксплуатации
6. Сопровождения и модернизации АБС
7. Снятия с эксплуатации.

В Приложении к РС БР ИББС-2.6-2014 приводится список из 122 типовых недостатков в реализации функций безопасности АБС, а также рекомендации по контролю исходного кода АБС и оценке ее защищенности, включая проведение пентестов и выявление известных уязвимостей программного обеспечения.

Среди проблем АБС с точки зрения безопасности выделены как общие недостатки, характерные для всех АБС и банковских приложений, так и недостатки приложений дистанционного банковского обслуживания и электронных средств платежа, веб-приложений, СУБД, ОС, телекоммуникационного оборудования и технологий виртуализации.

Рекомендуемыми ЦБ методами анализа исходного кода являются:

— контроль кода вручную;
— статический анализ кода;
— динамический анализ кода.

Защита информации в АСУ ТП

30 июня Минюстом был зарегистрирован долгожданный приказ  ФСТЭК России №31 от 14.03.2014 по защите АСУ ТП. И уже в июле ФСТЭК России опубликовала разъяснения отдельных положений 31-го приказа, в том числе были даны комментарии о применении установленных требований для обеспечения безопасности информации в ключевых системах информационной инфраструктуры, а также проведении аттестации АСУ ТП на соответствие требованиям по защите информации.

Детальный обзор приказа №31 с учетом информационного сообщения ФСТЭК России приведен в аналитической записке.

Закон о блогерах в действии

С 1 августа 2014 года в РФ вступил в силу так называемый «закон о блогерах», который рассматривался нами ранее в июньском обзоре. Для исполнения закона Роскомнадзор создал специальный сайт http://97-fz.rkn.gov.ru, на котором обязан зарегистрироваться (по своей инициативе либо по требованию Роскомнадзора или правоохранительных органов) в качестве СМИ автор блога, чьи страницы посещает более 3 тысяч человек в сутки.

Новые документы PCI DSS v.3.0

Совет PCI SSC опубликовал обновленную концепцию поэтапного подхода к выполнению требований PCI DSS версии 3.0.

Основное назначение данного документа — предложить упорядоченный перечень поэтапного подхода по приведению компании в соответствие требованиям PCI DSS. Документ предлагает 6 последовательных этапов работ, которые может использовать компания для обработки рисков в порядке уменьшения их приоритета:


1. удаление критичных аутентификационных данных и ограничение хранения данных о держателях карт;
2. защита периметра, внутренних и беспроводных сетей;
3. обеспечение безопасности платежных приложений;
4. управление и контроль доступа к сети и среде данных о держателях карт;
5. защита хранимых данных о держателях карт;
6. устранение оставшихся несоответствий.

В обновленной версии концепции учтены изменения, внесенные в стандарт PCI DSS версии 3.0 в сравнении с версией 2.0. В частности, изменен приоритет выполнения ряда требований стандарта PCI DSS, а также приведено соответствие новых и измененных требований стандарта конкретным этапам работ.

Кроме того, был опубликован новый документ, Information Supplement: Third-Party Security Assurance, содержащий рекомендации по обеспечению безопасного взаимодействия с поставщиками услуг, которые имеют доступ к данным держателей карт или могут повлиять на безопасность данных держателей карт.

Безопасность критической инфраструктуры NIST

В феврале этого года NIST опубликовал первую версию методики по повышению уровня информационной безопасности критически важных объектов — «Framework for Improving Critical Infrastructure Cybersecurity».

В рамках методики под критически важной инфраструктурой подразумевается совокупность систем и активов, настолько жизненно важных для государства, что уничтожение таких систем и активов будет иметь пагубные последствия для национальной безопасности.

Документ основывается на использовании процесса управления рисками и включает в себя три основные части:

— Framework Core — основа;
— Framework Profile — профили безопасности;
— Framework Implementation Tiers — уровни реализации мер защиты информации.

Framework Core включает в себя следующие компоненты:

— Функции — базовые направления деятельности по обеспечению ИБ, такие как как идентификация, защита, обнаружение, реагирование и восстановление.
— Меры обеспечения безопасности, например, управление активами, контроль доступа, обнаружение вторжений.
— Содержание мер обеспечения безопасности, включающее описание организационных и технических мер защиты информации.
— Ссылки на стандарты, включающие указание на конкретные разделы руководств, лучших практик и стандартов, иллюстрирующие методы выполнения соответствующих мер защиты.

В Framework Implementation Tiers определяется 4 основных уровня реализации мер защиты информации, определяющих организацию процесса управления рисками ИБ, характеризующих строгость и сложность применяемых методов и степень интегрированности процесса в общий процесс управления рисками.

Уровень 1. Частичный (Partial)
Организационные меры управления рисками формализованы и отчасти выполняются. Приоритеты развития и управлением ИБ не зависят от выявления рисков.

Уровень 2. Информированный о рисках (Risk Informed)
Процесс управления рисками утвержден руководством организации, но не установлен в качестве общей политики безопасности. Определение приоритетов поддержания ИБ зависит от текущих угроз организации.

Уровень 3. Повторяемый (Repeatable)
Практика управления рисками утверждена в политике организации. Организационные меры ИБ постоянно изменяются и дополняются на основе требований бизнеса и изменений внешних и внутренних факторов.

Уровень 4. Адаптивный (Adaptive)
Процесс управления рисками. Организация адаптирует своим методы обеспечения ИБ на основе сведений, полученных по результатам расследования инцидентов и вероятностных оценок за предыдущие и текущие периоды жизненного цикла системы. Безопасность является непрерывным процессом совершенствования, позволяющим своевременно реагировать на изменение и возникновение угроз.

Framework Profile являются инструментом, позволяющим организации определить мероприятия, необходимые для снижения рисков и повышения уровня ИБ в соответствии с задачами всей организации и отдельных её структурных подразделений, учитывающим требования законодательства, регуляторов и лучших практик.

Кроме того, документ NIST определяет порядок взаимодействия и осуществления бизнес-процессов при реализации предложенной методики, описывает распределение информационных потоков в рамках организации и содержит рекомендации по использованию методики.

Для создания новой или совершенствования существующей программы обеспечения ИБ рекомендуется выполнение семи базовых шагов:

Шаг 1. Идентификация
Шаг 2. Создание текущего профиля
Шаг 3. Проведения оценки рисков
Шаг 4. Создание целевого профиля
Шаг 5. Определение, анализ и приоритезация недостатков
Шаг 6. Реализация плана действий
Шаг 7. Достижение и поддержание уровня защищенности.

В приложении к документу приводится детальное описание Framework Core, методология по обеспечению прав и свобод граждан в процессе осуществления мер по обеспечению ИБ, а также области дальнейшего совершенствования методики повышения уровня ИБ критически важных объектов.