Обзор изменений в законодательстве за май 2016

Дата: 14.06.2016
Автор: Юлия Добровольская, ведущий аналитик

Новые требования к межсетевым экранам

Из информационного сообщения ФСТЭК России стало известно об утверждении новых требований к межсетевым экранам. Помимо шести классов межсетевых экранов (самый низкий класс — шестой, самый высокий — первый) в новых требованиях выделяется пять типов межсетевых экранов от «А» до «Д», различающихся по следующим признакам:

  • размещение (место применения) межсетевого экрана (на физической границе между сегментами сети, на узле информационной системы, в АСУ ТП и др.);
  • тип исполнения межсетевого экрана (программное или программно-техническое).

Кроме того, новые требования устанавливают соответствие между классами МЭ и классами информационных систем, в которых они должны применяться:

  • МЭ 6-го класс: в ГИС 3-го и 4-го класса защищенности, в АСУ ТП — 3-го класса защищенности, в ИСПДн при необходимости обеспечения 3-го и 4-го уровня защищенности ПДн;
  • МЭ 5-го класса — в ГИС и АСУ ТП 2-го класса защищенности, в ИСПДн при необходимости обеспечения 2-го уровня защищенности ПДн;
  • МЭ 4-го класса — в ГИС и АСУ ТП — 1-го класса защищенности, ИСПДн при необходимости обеспечения 1-го уровня защищенности ПДн;
  • МЭ 1-го, 2-го и 3-го классов — в информационных системах, обрабатывающих информацию, содержащую государственную тайну.

Новые требования вступят в силу с 1 декабря 2016.

Ограничение сервисов VoIP

В прошедшем месяце на публичное обсуждение вынесен законопроект, вносящий изменения в правила присоединения сетей эклектросвязи и их взаимодействия.

Предлагаемая редакция документа предусматривает исключение операторов, предоставляющих услуги связи по передаче голосовой информации (то есть VoIP), из списка тех, кому разрешено присоединяться к местным и другим сетям. Учитывая широкое использование технологии VoIP в различных сервисах связи, таких как Skype и Viber, предлагаемые изменения могут значительно ограничить возможности пользователей данных сервисов в совершении звонков на стационарные или мобильные телефоны и наоборот.

Обновленные требования к платежным приложениям

Вслед за новой версией PCI DSS, рассмотренной в предыдущем обзоре, в мае была опубликована новая версия стандарта безопасности данных для платежного программного обеспечения PA-DSS.

К важным изменениям в PA-DSS версии 3.2 относится обновление требований по приведению в соответствие с PCI DSS v3.2.
Также внесены изменения в «Руководство по внедрению PA-DSS», содержащее рекомендации по настройке платежных приложений, обеспечивающие соответствие PCI DSS. В том числе внесены изменения в части осуществления процедур безопасной установки исправлений и обновлений программ, а также инструкций по защите данных о держателях карт при использовании журналов отладки.