Обзор изменений в законодательстве за апрель 2013

14 мая 2013

Новости

Обзор подготовлен аналитиком УЦСБ Юлией Новоселовой.

Пассажирские автобусы, грузоперевозки и защита информации

1-го апреля 2013 года вступил в силу приказ Минтранса от 13 февраля 2013 года №36 «Об утверждении требований к тахографам, устанавливаемым на транспортные средства, категорий и видов транспортных средств, оснащаемых тахографами, правил использования, обслуживания и контроля работы тахографов, установленных на транспортные средства». На первый взгляд может показаться, что данный документ никак не связан с информационно безопасностью и может быть интересен только транспортным компаниям, осуществляющим грузо- и пассажироперевозки. Однако на самом деле установленные требования напрямую затрагивают вопросы использования сертифицированных средств криптографической защиты информации, квалифицированной ЭП и защиты ПДн, в том числе биометрических ПДн.

Компонентами тахографа среди прочего являются:

— программно-аппаратное шифровальное (криптографическое) средство (блок СКЗИ тахографа), входящее в состав бортового устройства;

— карты тахографа, представляющие собой внешние устройства.

В соответствии с приказом Минтранса разработка, производство и техническое обслуживание карт и блоков СКЗИ тахографа должны осуществляться в соответствии с ПКЗ-2005. Таким образом, для разработчиков и мастерских, выпускающих и обслуживающих тахографы и карты, становится необходимым получение соответствующей лицензии ФСБ России. При этом транспортные компании, использующие в своих транспортных средствах тахографы, обладающие возможностью передачи информации по открытым каналам связи GSM/GPRS, также подпадают под требования лицензируемой деятельности.

Кроме того, карты тахографа должны соответствовать требованиям к материальным носителям биометрических ПДн, а система разграничения доступа к ним — требованиям к защите ПДн при их обработке в ИСПДн. Помимо этого, установка тахографов предполагает использование квалифицированной электронной подписи.

По мнению экспертов, данные требования создают новые сегменты рынков СКЗИ и ЭП, а также значительно расширяют список потенциальных лицензиатов ФСБ России.

Минкомсвязь стоит на защите прав абонентов

Минкомсвязь России подготовило два проекта изменений в Федеральный закон «О связи», касающихся регулирования контентных услуг, рассылок по сетям электросвязи и спама.

Первая часть изменений устанавливает необходимость получения прямого согласия абонентов на предоставление контентных услуг и списание денежных средств с их лицевых счетов. Помимо этого, в проекте закона предлагается закрепить необходимость информирования пользователей о стоимости и содержании услуг до получения их согласия на предоставление услуг.

Вторая часть законопроекта вводит ограничение на осуществление SMS-рассылок, а также позволяет оператору связи фильтровать сообщения и блокировать рассылки, отнесенные к спаму.

Совершенствование КоАП

Правительство РФ внесло в Госдуму законопроект, направленный на соблюдение должностными и юридическими лицами требований по защите информации. Предлагаемые изменения предусматривают дополнение статьи 13.12 КоАП «Нарушение правил защиты информации» новыми частями, устанавливающими ответственность за неприменение средств защиты информации или непринятие правовых и организационных мер, направленных на защиту информации. В текущей редакции КоАП административная ответственность предусматривается только за правонарушения, связанные с использованием несертифицированных средств защиты информации. При этом неприменение средств защиты информации или непринятие правовых и организационных мер, направленных на защиту информации, не влечет за собой административной ответственности.

Страны с адекватной защитой ПДн

С сегодняшнего дня вступает в силу приказ Роскомнадзора «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных», который должен учитывается при осуществлении трансграничной передачи ПДн. В этот перечень попали следующие страны:

— Австралия — Австралийский союз

— Аргентинская Республика

— Государство Израиль

— Республика Кабо-Верде

— Канада

— Королевство Марокко

— Малайзия

— Мексиканские Соединенные Штаты

— Монголия

— Новая Зеландия

— Республика Ангола

— Республика Бенин

— Республика Корея

— Республика Перу

— Республика Сенегал

— Республика Чили

— Тунисская Республика

— Швейцарская Конфедерация

— Специальный административный район Гонконг Китайской Народной Республики

При сопоставлении утвержденного Роскомнадзором перечня с европейским, пересечение будет только по четырем странам: Аргентине, Австралии, Канаде и Швейцарии.

Стоит отметить, что вопрос, связанный с определением перечня иностранных государств, обеспечивающих адекватную защиту ПДн, не является столь критичным и связан лишь с небольшим упрощением процедуры трансграничной передачи ПДн в страны, попавшие в него.

Новинки NIST

NIST опубликовал проект документа Special Publication 800-162 Guide to Attribute Based Access Control (ABAC) Definition and Considerations, который определяет базовые понятия и методологию атрибутного управления доступом (ABAC), а также содержит рекомендации по его использованию.

Методология атрибутного управления доступом заключается в предоставлении субъекту разрешения на выполнение операций с объектом на основе вычисления значений набора атрибутов, связанных с субъектом, объектом и запрашиваемыми операциями.

Документ содержит описание основных функциональных компонентов и сценариев использования атрибутного управления доступом, рассматривает конкретные механизмы его реализации и принципы внедрения на предприятии.

Еще одним новым документом NIST, опубликованным в апреле, является NIST IR-7924 Reference Certificate Policy, представляющий собой шаблон Политики применения сертификатов, содержащий инструкции и пояснения по доработке политики для конкретной организации. Документ определяет политику безопасности в отношении применения сертификатов на всех этапах жизненного цикла, начиная от их генерации и заканчивая аннулированием или истечением срока действия, а также регламентирует операционную работу удостоверяющих центров. В состав мер, направленных на обеспечение безопасности сертификатов, входит:

— обеспечение физической безопасности;

— распределение ролей и функциональных обязанностей по обеспечению безопасности;

— определение требования к квалификации персонала, обучение;

— управление сетевой безопасностью;

— управление криптографическими ключами, включающее процедуры смены ключей и действия при их компрометации;

— аудит событий.

Назад к списку