Обзор изменений в законодательстве за май 2015

Дата: 01.06.2015
Автор: Юлия Добровольская, старший аналитик

Поправки в «антипиратский» закон

С 1 мая в России вступили в силу поправки к «антипиратскому закону», ужесточающие законодательство в области защиты интересов правообладателей.

Согласно внесенным изменениям:

  • действие закона отныне распространяется не только на видеоизображения, но и на другие виды контента (музыка, тексты, программное обеспечение), за исключением фотографий;
  • для возможности досудебного урегулирования споров между правообладателями и интернет-площадками каждый интернет-сайт обязан теперь публиковать свои контакты, чтобы владельцы прав на контент могли отправить им требование удалить незаконно размещенный контент;
  • повторное нарушение закона одним и тем же интернет-ресурсом в пользу одного истца ведет к бессрочной блокировке этого сайта. Реестр заблокированных таким образом сайтов будет вести Роскомнадзор.

Российский государственный сегмент сети «Интернет»

Благодаря новому Указу Президента, подписанному в конце мая, большинство граждан РФ узнали о существующем у нас в стране сегменте сети «Интернет» для федеральных и иных органов государственной власти, управляемом Федеральной службой охраны Российской Федерации.

Данный сегмент был создан еще 7 лет назад для подключения информационных систем органов государственной власти по защищенным каналам связи. И в новом Указе Президента определяется конкретное средство, обеспечивающее защиту информации при подключении через российский сегмент. Им является государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации.

Новые методики моделирования угроз безопасности ФСТЭК России и ФСБ России

Накануне Дня Победы на сайте ФСТЭК России было опубликовано новоеинформационное сообщение о проекте нового методического документа, устанавливающего методику определения угроз безопасности информации. Данный документ вынесен на рассмотрение общественности и в срок до 10 июня организован сбор предложений и замечаний по проекту от всех заинтересованных организаций.

Самое время уточнить, какие нормативные документы ФСТЭК России на данный момент регламентируют порядок определения и моделирования угроз безопасности информации. К ним относятся:

Оба этих документа предназначены для использования в конкретной области защиты информации, а именно, в сфере защиты персональных данных. С выходом приказа ФСТЭК России №17, ориентированного на защиту информации, обрабатываемой ГИС, возникла естественная потребность в разработке нового документа, охватывающего более широкий спектр категорий защищаемой информации.

Планы по разработке новой методики определения угроз были озвучены ФСТЭК России еще в 2013 году сразу после публикации двух новых приказов. Кроме того, в тексте самих приказов были явные «недоговоренности» относительно угроз и нарушителей безопасности, что также указывало на готовящиеся нововведения.

Новая Методика определения угроз безопасности информации в информационных системах главным образом, рассчитана на органы государственной власти и местного самоуправления (далее — органы власти), но также может быть использована операторами ПДн. При этом Методика не отменяет действие Базовой модели угроз безопасности ПДн, а применяется совместно с ней и банком данных угроз безопасности информации, сформированным ФСТЭК России.

Методика определения угроз безопасности информации в информационных системах содержит рекомендации по реализации непрерывного процесса, включающего следующие этапы:
1. Определение области применения процесса определения угроз.
2. Идентификация источников угроз и угроз безопасности информации.
3. Оценка вероятности (возможности) реализации угроз безопасности информации и степени возможного ущерба.
4. Мониторинг и переоценка угроз безопасности информации.

Для определения актуальности угроз авторы документа предлагают учитывать следующие показатели:

  • вероятность (при наличии соответствующих статистических данных) или возможность реализации угрозы;
  • степень ущерба от реализации угрозы.

В приложениях к Методике приводятся Рекомендации по формированию экспертной группы и проведению экспертной оценки при определении угроз безопасности информации, а также Структура модели угроз безопасности информации с рекомендациями по содержанию предлагаемых разделов.

Помимо ФСТЭК России вопросам моделирования угроз безопасности уделяется внимание и со стороны ФСБ России. Так, ФСБ России были опубликованы новые Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных.

Данный документ предназначен для органов власти, осуществляющих функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, а также принимающих нормативные правовые акты, в которых определяются актуальные угрозы безопасности ПДн при их обработке в ИСПДн. Кроме того, сформулированные рекомендации могут применяться операторами ПДн при принятии решения об использовании средств криптографической защиты информации для защиты ПДн.

Новые Методические рекомендации ФСБ России фокусируются на вопросах:

  • описания ИСПДн в зависимости от типов эксплуатируемых ИСПДн и наличия в ИСПДн угроз, которые могут быть нейтрализованы только с помощью средств криптографической защиты информации;
  • определения актуальных угроз безопасности ПДн исходя из возможностей источников атак.

Данный документ явно предполагается использовать вместе с «Методическими рекомендациями по обеспечению с помощью криптосредств безопасности ПДн при их обработке в ИСПДн с использованием средств автоматизации», которые содержит детальное описание классификации возможных нарушителей, порядок определения характеристик безопасности и методологию формированию модели угроз в целом.

Wi-Fi нового поколения в РФ

На днях Министерство связи и массовых коммуникаций Российской Федерации утвердило внесение изменений в правила применения оборудования радиодоступа для беспроводной передачи данных в диапазоне частот от 30 МГц до 66 ГГц, позволяющих использовать на территории РФ оборудование связи современных стандартов IEEE 802.11ac и IEEE 802.11ad.

Применение новых стандартов позволит повысить скорость передачи данных по Wi-Fi до 7 Гбит/с, снизить энергопотребление мобильных устройств при использовании беспроводных сетей, а также, в перспективе, реализовать беспроводное соединение компьютеров с принтерами, портативными жесткими дисками, мониторами и другим периферийным оборудованием.

ISACA о безопасности АСУ ТП

Безопасность индустриальных систем (АСУ ТП) стала темой очередного документа ISACA «Industrial Control Systems: A Primer for the Rest of Us».

Документ содержит краткое описание архитектуры индустриальных систем, их основных компонентов и функциональных блоков. Кроме того, приводятся упрощенные схемы внедрения распределенных систем управления, SCADA-систем и программно-логических контроллеров (ПЛК).

Используя наработки NIST и ENISA, авторы документа проводят анализ сходств и отличий в подходах к обеспечению и требованиям ИБ АСУ ТП по сравнению с обычными информационными системами, а также рассматривают основные угрозы ИБ, которым подвержены индустриальные системы, включая описание возможных нарушителей.

Кроме того, в документе приводится ряд интересных статистических данных. Так, наиболее широко используемой уязвимостью называется переполнение буфера, наибольший объем реализованных угроз приходится на APT-атаки, а лидером по числу выявленных уязвимостей среди вендоров является Siemens (по данным ISC-CERT за март 2015 года).