Обзор изменений в законодательстве за июнь 2016

Дата: 13.07.2016
Автор: Юлия Добровольская, ведущий аналитик

Стандарт безопасной разработки ПО

В начале июня стало известно о введении в действие нового национального стандарта ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», утвержденного Росстандартом.

Новый стандарт устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного программного обеспечения (ПО) и обеспечением оперативного устранения выявленных пользователями ошибок и уязвимостей программ.

Меры по разработке безопасного ПО определяются для каждого этапа жизненного цикла ПО:

  • анализ требований к ПО;
  • проектирование архитектуры программы;
  • конструирование и комплексирование ПО;
  • тестирование ПО;
  • инсталляция и приёмка ПО;
  • эксплуатация ПО;
  • менеджмент документацией и конфигурацией ПО;
  • управление инфраструктурой среды разработки;
  • управление людскими ресурсами.

Для каждой группы мер в стандарте определяются цели и результаты их реализации.

Стандарт предназначен для разработчиков и производителей ПО, а также для организаций, выполняющих оценку соответствия процесса разработки ПО установленным требованиям.

Защита информации в кредитных рейтинговых агентствах

Банк России в своем указании установил требования к сохранности и защите информации, полученной в процессе деятельности кредитных рейтинговых агентств.

Кредитное рейтинговое агентство на постоянной основе должно обеспечивать сохранность и защиту информации, полученной в процессе своей деятельности, включая сведения, полученные агентством от рейтингуемого лица, а также созданные агентством в процессе рейтинговой деятельности.

Предусмотренные указанием ЦБ РФ организационные и технические меры по обеспечению сохранности и защиты информации включают:

  • разработку внутренних документов, регламентирующих порядок обеспечения сохранности и защиты информации;
  • создание структурного подразделения или назначение работника, ответственного за обеспечение сохранности информации;
  • хранение информации на территории РФ и размещение резервных копий информации в местах, отличных от мест размещения носителей информации;
  • недопущение воздействия на объекты информационной инфраструктуры, в результате которого нарушается их функционирование;
  • обеспечение сохранности и защиты информации при взаимодействии с третьими лицами, которым предоставляется доступ к информации;
  • совершенствование методов и средств обеспечения сохранности и защиты информации;
  • обеспечение документирования деятельности, направленной на обеспечение сохранности и защиты информации;
  • и др.

Противодействие терроризму «по-новому»

7 июля Президент РФ подписал закон, вносящий изменения в антитеррористическое законодательство Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности.

В рамках принятия антитеррористических мер операторов связи и организаторов распространения информации в сети Интернет обязали хранить информацию пользователей и передавать ее уполномоченным органам.

В частности:

  • информацию о фактах приема, передачи, доставки и/или обработки (т. е. метаданные) голосовой информации, текстовых сообщений, изображений, звуков, видео- или иных сообщений пользователей услугами связи операторы связи обязаны хранить в течение 3-х лет с момента окончания осуществления таких действий. Аналогичное требование для организаторов распространения информации в сети Интернет устанавливает необходимость хранения такой информации, а также информации о пользователях в течение 1 года.
  • текстовые сообщения пользователей, голосовую информацию, изображения, звуки, видео-, иные сообщения пользователей (т. е. содержание звонков и переписки) операторы связи и организаторов распространения информации в сети Интернет обязаны хранить до 6 месяцев с момента окончания их приема, передачи, доставки и/или обработки.

При этом, хранение информации должно осуществляться на территории РФ.

Помимо прочего, организаторы распространения информации в сети Интернет обязаны предоставлять в ФСБ России информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых или обрабатываемых электронных сообщений.

Кроме того, закон предусматривает значительное увеличение штрафов за несоблюдение оператором связи установленного порядка идентификации абонентов: от 800 тыс. (ранее от 3 тыс.) до 1 млн. рублей (ранее 500 тыс.).

Изменения коснулись и операторов почтовой связи, которые теперь обязаны принимать меры по недопущению к пересылке в почтовых отправлениях запрещенных предметов и веществ. Для этого разрешается использование рентгенотелевизионных, радиоскопических установок, стационарных, переносных и ручных металлодетекторов, газоаналитической и химической аппаратуры, а также других устройств.

Закон вступает в силу с 20 июля 2016 года, за исключением пунктов, устанавливающих для операторов связи и организаторов распространения информации в сети Интернет сроки хранения информации о содержании звонков и переписки, которые вступят в силу с 1 июля 2018 года. Именно к этому сроку операторам связи и Интернет-провайдерам придется решить глобальные технические и экономические вопросы, связанные с реализации новых требований, которые, по независимым оценкам, потребуют порядка 2,2 трлн. руб.