Обзор изменений в законодательстве за август 2015

Дата: 01.09.2015
Автор: Юлия Добровольская, старший аналитик

Защита БД клиентов банков

Вслед за вступившим в силу 1 сентября ФЗ №242, вводящим запрет на хранение ПДн российских граждан за границей, Центробанк России постановил о необходимости размещения электронных баз данных о клиентах на территории Российской Федерации. Соответствующее Указание ЦБ РФ было Зарегистрировано в Минюсте 18 августа. Отныне банки, использующие зарубежные серверы и центры обработки данных, будут вынуждены сменить свои ИТ-площадки и перенести серверы на территорию РФ.

Реестр нарушителей прав субъектов персональных данных

С 1 сентября 2015 года создается автоматизированная информационная система «Реестр нарушителей прав субъектов персональных данных». Реестр будет включать в себя доменные имена, указатели страниц и адреса сайтов, содержащих информацию, обрабатываемую с нарушением законодательства о персональных данных.

Создание, формирование и ведение системы будет осуществлять Роскомнадзор в соответствии с правилами, утвержденными Правительством РФ.

«Пакт о ненападении» в киберпространстве

По информации из СМИ экспертной группой специалистов ООН по международной информационной безопасности из 20 стран мира, включая Россию, США и Китай, был разработан доклад, определяющий соглашения об ограничении своих действий в информационном пространстве. В соответствии с договоренностями государства обязуются использовать кибертехнологии исключительно в мирных целях, не допуская реализацию компьютерных атак на объекты критически важной инфраструктуры друг друга и применение программно-аппаратных закладок в IT-продукции. Страны-участники соглашения обязуются оказывать содействие в борьбе с киберпреступниками, действующими с их территории, и не выдвигать бездоказательных обвинений в кибератаках по отношению друг к другу.

Впрочем, установленные в докладе ООН нормы носят лишь добровольный характер и не являются юридически обязующими. Однако экспертами подчеркивается важность данного события, которое, безусловно, укрепляет сотрудничество в области международной информационной безопасности.

SHA-3

Национальный институт стандартов и технологий США (NIST) выпустил окончательную версию своего нового стандарта «Защищенный алгоритм хешировании — 3» (Secure Hash Algorithm-3, SHA-3).

Разработка нового криптографического алгоритма велась в течение девяти лет в рамках открытого конкурса, в котором приняли участие 64 алгоритма, представленные специалистами из разных стран. Победителем конкурса стал Keccak — алгоритм хеширования переменной разрядности, который и лег в основу SHA-3.

В NIST отмечают, что SHA-3 сильно отличается от утвержденного в 2002 году SHA-2, однако новый стандарт не заменяет предыдущий, а предлагается в качестве резервного на случай, если в будущем надежность хеш-функции SHA-2 значительно снизится из-за роста мощности и производительности устройств, а также из-за появления новых методов криптоанализа.

Ключевым преимуществом нового алгоритма является возможность эффективной реализации на большом количестве аппаратных платформ, включая миниатюрные встраиваемые устройства (например, USB-флеш-накопитель).

Новые уязвимости SCADA

Команда экстренного реагирования на киберугрозы промышленных систем управления ICS-CERT опубликовала предупреждение о наличии критических уязвимостей в человеко-машинных интерфейсах SCADA-систем (Human-machine interface, HMI), разработанных Schneider Electric.

Schneider Electric Modicon M340 PLC Station P34 подвержен уязвимостям, которые могут быть проэксплуатированы злоумышленниками для осуществления DoS-атак и удаленного выполнения кода.