Обзор изменений в законодательстве за ноябрь 2015

Дата: 11.12.2015
Автор: Юлия Добровольская, ведущий аналитик

Запрет на иностранное ПО

16 ноября Премьер-министр России Дмитрий Медведев подписалпостановление, согласно которому с 1 января 2016 г. вступят в силу изменения, запрещающие использование иностранного ПО в госорганах при наличии российских аналогов.

Использование иностранного ПО будет разрешено только в тех, случаях, когда реестр российского ПО не содержит его аналогов, либо все существующие аналоги не удовлетворяют заявленным техническим требованиям. При этом, невозможность соблюдения запрета должна быть документально обоснована. Порядок разработки такого обоснования определен в приложении к Постановлению.

Помимо запрета на допуск иностранного ПО для целей осуществления закупок для обеспечения государственных и муниципальных служб, Постановление утверждает Правила формирования и ведения единого реестра российского ПО. Ответственным за формирование и ведение реестра назначено Министерство связи и массовых коммуникаций Российской Федерации. Для включения ПО в реестр правообладатель должен направить в Минкомсвязи соответствующее заявление.

Предотвращение утечек информации в банках

В конце ноября была опубликована окончательная редакция проекта рекомендаций в области стандартизации Банка России РС БР ИББС-2.9-20ХХ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Предотвращение утечек информации». Данный документ устанавливает рекомендации по мониторингу и контролю информационных потоков с целью выявления и предотвращения утечек информации в результате действия работников организации банковской системы РФ.

Для защиты от возможных утечек информации стандартом предусматриваются следующие меры:

  • определение перечня категорий информации конфиденциального характера;
  • идентификация и учет информационных ресурсов, содержащих информацию конфиденциального характера или используемых для ее обработки;
  • определение категорий возможных внутренних нарушителей и актуальных угроз, связанных с их действиями;
  • выполнение процессов мониторинга и контроля информационных потоков — потенциальных каналов утечки информации конфиденциального характера.

В документе приводится примерный состав категорий информации, рекомендуемых для включения в класс «информация конфиденциального характера». В частности, выделяется две основные группы такой информации:

1) Информация, конфиденциальность которой охраняется законодательством РФ (банковская тайна, персональные данные, информация, входящая в состав кредитной истории, и др.).

2) Информация, конфиденциальность которой обеспечивается в соответствии с требованиями внутренних документов банковских организаций (информация об управлении и планировании коммерческой деятельности организации, информация о ее финансовом состоянии и др.).

Для учета информационных активов или объектов среды информационных активов (средств вычислительной техники и переносных носителей информации), рекомендуется использовать средства автоматизации. При этом, стандарт подробно определяет правила типизации информационных ресурсов, а также обработки информации конфиденциального характера на бумажных и переносных носителях информации.

Согласно рекомендациям, все внутренние нарушители могут быть разделены на следующие категории:

Категория А — пользователи автоматизированных банковских систем (А1 — доверенные пользователи, А2 — обычный пользователи, А3 — пользователи в «зоне риска», например, сотрудники на испытательном сроке);
Категория Б — эксплуатационный персонал;
Категория В — технический и вспомогательный персонал
Категория Г — лица, не являющиеся работниками банковской организации, но обладающие доступом к информации конфиденциального характера (аудиторы, партнеры и подрядчики, государственные органы).

Для каждой категории в документе приводится описание возможностей нарушителей и потенциальные каналы утечки информации.

При реализации работ по защите информации от потенциальных каналов утечки рекомендуется учитывать результаты оценки рисков, на основе которых должны определяться приоритеты и очередность выполнения тех или иных мероприятий.

Для обеспечения мониторинга и контроля потенциальных каналов утечки информации рекомендуется реализовать следующие процессы ИБ:

1) Мониторинг, контроль и блокирование:

  • использования сервисов электронной почты при передаче информации на внешние адреса электронной почты;
  • использования беспроводных сетей и сети Интернет с использованием информационной инфраструктуры организации;
  • удаленного доступа к информационной инфраструктуре организации с использованием сети Интернет;
  • копирования информации на переносные носители информации;
  • печати и (или) копирования информации на бумажных носителях;
  • использования средств факсимильной связи;
  • использования личных средств связи (телефоны, смартфоны, планшеты и т. п.);
  • использования и (или) доступа к информации конфиденциального характера на переносных носителях информации за пределами информационной инфраструктуры организации.

2) Мониторинг публикации информации конфиденциального характера в сети Интернет, в том числе социальных сетях и форумах.

3) Блокирование возможности доступа к информации конфиденциального характера на средствах вычислительной техники за пределами информационной инфраструктуры организации.

4) Мониторинг и анализ действий возможных внутренних нарушителей по доступу к информационным активам.

5) Контроль передачи (выноса) средств вычислительной техники за пределы организации.

6) Контроль физического доступа с целью предотвращения визуального и слухового ознакомление с информацией.

Документы Банка России для некредитных финансовых организаций

С начала ноября открыт cбор замечаний и предложений по проектам двух новых стандартов по обеспечению ИБ для крупных (СТО БР ИБНФО Б-1.0) и малых (СТО БР ИБНФО М-1.0) некредитных финансовых организаций, подготовленных Банком России.

Требования двух новых стандартов во многом идентичны, однако СТО БР ИБНФО М-1.0 представляет собой упрощение СТО БР ИБНФО Б-1.0 для малых предприятий, для которых применение требований стандарта СТО БР ИБНФО Б-1.0 в полном объеме может быть затруднительным с учетом ограничений в ресурсном обеспечении и использования достаточно простой информационной инфраструктуры. Сокращенный состав требований, приведенный в стандарте СТО БР ИБНФО М-1.0, направлен на обеспечение минимального уровня ИБ.

Структура новых стандартов совпадает с аналогичным документом для организаций банковской системы СТО БР ИББС-1.0: основными разделами документов являются модели угроз и модели нарушителей ИБ, система ИБ и система менеджмента ИБ некредитных финансовых предприятий. Различие заключается в составе предъявляемых требований, общий объем которых по сравнению с требованиями к банковским организациями существенно меньше. Сравнительный анализ требований трех документов приведен в таблице.