Обзор изменений в законодательстве за сентябрь 2014

Дата: 03.10.2014
Автор: Юлия Добровольская, старший аналитик

ФСБ об СКЗИ и не только

В конце августа в Минюсте был зарегистрирован приказ ФСБ от 10 июля 2014 г. N 378, вступивший в силу 28 сентября это года. Краткий анализ содержания нового документы мы уже приводили в майском обзоре. Дополнительно хочется отметить самое важное:

1. Данный приказ определяет не только порядок использования СКЗИ в части защиты ПДн, но и требования к хранению носителей ПДн (не обязательно зашифрованных носителей или носителей с зашифрованными данными), режиму безопасности помещений и другое. Таким образом, если для защиты ПДн не применяются СКЗИ, это не значит, что данный приказ учитывать не нужно.

2. Основным инструментом, упрощающим выполнение требования приказа, может являться Модель угроз, обосновывающая, например, неактуальность угроз нарушения конфиденциальности и угроз, связанных с наличием недекларированных возможностей ПО. Причем, по информации от экспертов в области ИБ, данное решение было предложено самими представителями 8-го Центра.

Хранить ПДн за границей или не хранить?

В День знаний в Госдуму был внесен законопроект №596277-6, который изменяет срок вступления в силу столь нашумевшего закона «О запрете хранения ПДн россиян за границей».
Содержание законопроекта очень простое: срок вступления 242-ФЗ переносится с 1-сентября 2016-го года на 1 января 2015-го года.

Относительного данного законопроекта занимательный пост в своем блоге опубликовал Алексей Лукацкий.

Облака — белокрылые лошадки

Еще один новый законопроект направлен на урегулирование вопросов использования услуг облачных вычислений для гос. органов, муниципалитетов и органов управления внебюджетными фондами. Основные понятия, связанные с технологией облачных вычислений, предлагается ввести на самом высоком уровне, закрепив их ФЗ «Об информации, информационных технологиях и о защите информации».

Согласно законопроекту, поставщик облачных услуг может быть только российским юр. лицом или ИП, а сама облачная инфраструктура может находится только на территории России. При этом поставщик не может считаться обладателем информации, созданной гос. органами в облачной инфраструктуре.

В качестве условия предоставления услуг облачных вычислений выделяется необходимость обеспечения:

— доступности информации, размещенной в облачной инфраструктуре, и ПО поставщика услуг;

— возможности обработки информации, включая ее полное удаление.

Требований по обеспечению конфиденциальности информации данный законопроект не определяет, однако предусматривает ответственность поставщика за нарушение достоверности, целостности, подлинности и конфиденциальности информации, если таковое последовало по причине неправильного функционирования и управления облачной инфраструктурой.

По мнению экспертов, вслед за принятием законопроекта, следует ожидать выхода соответствующих Постановлений Правительства, которые будут определять детальные требования и порядок предоставления услуг облачных вычислений.

Кратко об остальном

— Правительство подписало ПП-911 об отмене обязательного обезличивания ПДн в государственных и муниципальных органах, установленного ПП-211. Теперь решение об обезличивании отдается на откуп самому оператору ПДн.


— 17 сентября в Вестнике Банка России № 83 опубликовано указаниеЦентрального Банка Российской Федерации № 3361-У о внесении изменений в Положение Банка России №382-П, о проекте которых мы уже писали в мае.

Планы NIST по развитию Smart Grid

Американский институт стандартов NIST выпустил третью версию своего плана по реформированию устаревших энергосетей в новую инфраструктуру, которая позволит объединить коммуникационные и информационные технологии с системой поставки электроэнергии.


Значительные изменения были внесены в эталонную архитектуру Smart Grid, которая, теперь, гармонизирована с аналогичной моделью, разработанной Европейским союзом. Обновленная архитектура отражает растущую важность «распределенных энергетических ресурсов», которые включают в себя нетрадиционные источники, такие как солнечные и ветряные системы.

В разделе по информационной безопасности приводится описание деятельности 13 различных подгрупп Комитета по кибербезопасности Smart Grid (SGCC), включающих группы криптографии, облачных вычислений, управления рисками, тестирования и сертификации и др., а также определяются планы по будущим активностям по данному направлению.

NIST на защите BIOS

После выпуска стандарта для защиты BIOS на персональных компьютерах NIST предложил новые правила безопасности для BIOS серверов.

По мнению экспертов NIST, неавторизованная модификация BIOS вредоносными программами представляет собой серьезную угрозу, поскольку приводит к возможности сохранения работоспособности вредоносной программы даже после переустановки операционной системы.

Новый документ представляет собой руководство для производителей серверного оборудования и администраторов серверов с описанием методик, которые помогут избежать попадания вредоносного кода в BIOS.