Access web Add modules industryArtboard 58 Analyse App control Created with Sketch. Adv_Artboard 21 industryArtboard 61 Oficer Adv_Artboard 22 Ресурс 31 Business process icon Created with Sketch. Business Shape Created with Sketch. Artboard 13 Central policy Certificate Chain Adv_Artboard 27 Combined Shape Copy 3 Created with Sketch. Artboard 50 Artboard 48 Artboard 51 Artboard 47 Artboard 46 Artboard 49 Shape Created with Sketch. Cloud B7B55A6B-30C0-4E73-9637-1794E793654E Created with sketchtool. B3F1D6A1-80F6-48B0-9EBD-786404E82049 Created with sketchtool. Shape Created with Sketch. Соц.Ответств._Artboard 29 Cup Artboard 12 Delete Develop Mobile control Detect data Corporate devices icon Created with Sketch. Use Development Монтажная область 52 Effective Ресурс 29 icon Created with Sketch. Created with Sketch. industryArtboard 56 Соц.Ответств._Artboard 28 785FDCCF-4DD0-4D89-92DF-A0C4AC73109E Created with sketchtool. 5F4F180E-E1AA-4429-9F5C-BB866CAD85FA Created with sketchtool. Ресурс 26 Fill 1 Created with Sketch. Flash Adv_Artboard 23 Ресурс 28 industryArtboard 54 Ресурс 35 Adv_Artboard 19 Hidden app Adv_Artboard 24 Page 1 Created with Sketch. CityArtboard 17 1451A714-6689-46A8-8D48-D7A246F52BE2 Created with sketchtool. industryArtboard 59 Like Group 9 Created with Sketch. Locking Mail Main modules Adv_Artboard 20 Created with Sketch. Messenger Microscope CityArtboard 18 industryArtboard 55 Effective PC Ресурс 30 Report PC IT Ресурс 34 industryArtboard 60 Shape Created with Sketch. 4658DE58-0BFB-4713-AC6C-19C0753FDB86 Created with sketchtool. Photocamera Printer automatic scan icon Created with Sketch. Report icon Created with Sketch. Safe web_1 Safe Safety CityArtboard 14 industryArtboard 57 Scale Соц.Ответств._Artboard 30 Lingvo search Technology search Shape Created with Sketch. Secure Computer Flash Messenger Notebook Printer Smartphone Web Server 56B89AD1-943C-4CF7-8FC3-C3DD35C6EE7C Created with sketchtool. Skills industryArtboard 53 Smartphone Facebook Copy_White Created with Sketch. LinkedIN Copy_White Created with Sketch. Telegram_White Created with Sketch. Twitter_White Created with Sketch. VK_White Created with Sketch. Socials icon Created with Sketch. Structure web Created with Sketch. Created with Sketch. Fill 1 Created with Sketch. Adv_Artboard 25 Update_1 Created with Sketch. Created with Sketch. Artboard 11 Fill 1 Created with Sketch. Web 1 2_1 3 4 Created with Sketch. Safe

Новости законодательства

27 июля 2012

В «трёхглавый» закон внесут изменения

Новый законопроект, вносящий изменения в ФЗ-149 «Об информации, информационных технологиях и защите информации» опубликован  на сайте федеральной службы и на ресурсе Минэкономразвития  с целью проведения публичных консультаций.

В тексте закрепляется терминология  и практика защиты информационных систем в госорганах и на критически важных объектах. Определения даются угрозам безопасности информации и уязвимостям информационных систем.

По информации, полученной от экспертов, текст законопроекта будет дорабатываться  и параллельно находится в процессе согласования с Аппаратом правительства и федеральными органами исполнительной власти, связанными с данной тематикой. Публичные консультации о законопроекте будут проводиться  до 2 августа 2012 г, а прием заключений по результатам антикоррупционной экспертизы завершится 13 августа 2012 г.

23 июля 2012

Минэкономразвития опубликовал поправки к закону об информации

Текст законопроекта "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" выложен на сайте Минэкономразвития.

Законопроект направлен на повышение эффективности защиты информации в государственных информационных системах критически важных объектов. В частности, в нём закрепляются понятия угрозы безопасности информации и уязвимости информационной системы, права и обязанности заказчиков и операторов государственных операционных систем.

Согласно законопроекту, под угрозой безопасности информации понимается совокупность условий и факторов, создающих потенциальную или реальную опасность, связанную с неправомерным доступом к информации и (или) воздействием на нее.

Под уязвимостью информационной системы предлагается считать параметр информационной системы, в том числе информационных технологий и технических средств, характеризующий возможность реализации угрозы безопасности информации.

Заказчики и операторы государственных информационных систем на всех стадиях их создания и эксплуатации обязаны искать угрозы инфобезопасности, разрабатывать и внедрять системы защиты информации, а также обеспечивать защиту систем от неправомерного доступа.

Положения законопроекта вступают в силу с 1 января 2014 года.

17 июля 2012

Совбез определил планы по защите ИТ-инфраструктуры

В понедельник Совет безопасности РФ опубликовал на своем сайте документ, определяющий основные направления государственной политики по безопасности автоматизированных систем управления критически важных объектов инфраструктуры. К таким объектам относятся оборонные предприятия, системы энерго- и водоснабжения, телекоммуникации и т.д.

Политика Совбеза затрагивает следующие направления: совершенствование нормативно-правовой базы; государственного регулирования; промышленной и научно-технической политики; фундаментальной и прикладной науки, технологий и средств обеспечения безопасности автоматизированных систем управления КВО и критической информационной инфраструктуры; повышения квалификации кадров в области обеспечения безопасности автоматизированных систем управления КВО.

Реализация этих задач разделена на три этапа:  2012-2013 гг., 2014-2016 гг. и 2017-2020 гг. На первом этапе планируется разработать план мероприятий по реализации основных направлений политики. На втором этапе будет проводиться работа в области нормативно-правового регулирования. Третий этап, среди прочего, предусматривает внедрение комплексных систем защиты на объектах.

Николай Федотов

Комментирует главный аналитик InfoWatch Николай Федотов: "В документе учтено многое, но не все. В частности, документ составлен в старой территориально-патриотической парадигме, где размещение на соответствующей территории почти гарантирует отсутствие вражеского воздействия, а гражданство работников - отсутствие шпионов и диверсантов. Если и не гарантирует, то существенно снижает вероятность. В нынешней реальности это не так. Сейчас расположение компьютерного оборудования и линий связи в той или иной юрисдикции не затрудняет и не облегчает проведение разведывательных или диверсионных операций. Гражданство или прописка работников никак не влияет на их лояльность и вероятность саботажа. Неучет этих современных особенностей - явная слабость документа".

10 июля 2012

Создание списков запрещённых сайтов одобрено в первом чтении

6 июля в первом чтении принят законопроект о создании черных списков Интернет-сайтов, содержащих противоправный контент.

Инициатива о создании единого реестра «подозрительных» сайтов была внесена на рассмотрение Государственной Думой по причине массового распространения в Сети информации, негативно влияющей на психическое здоровье и нормальное развитие детей. В этот список депутаты предложили включить ресурсы с детским порно, сайты, пропагандирующие наркотические и психотропные вещества, а также содержащие призывы к самоубийству.

Ведение реестра запрещённых сайтов возложено на уполномоченный правительством федеральный орган. Владельцам таких сайтов через хостинг-провайдера будет направляться уведомление о незаконности контента. Если в течение суток эта информация с сайта удалена не будет, доступ к ресурсу автоматически заблокируют.

Законопроект в существующем виде подвергся активной критике со стороны специалистов, работающих в отрасли. Против ратификации документа без изменений и доработок выступил также Совет при президенте России по развитию гражданского общества и правам человека. В своём официальном заявлении, опубликованном на прошлой неделе, участники Совета указали, что те поправки, подготовленные к первому чтению, могут повлечь за собой массовое закрытие добросовестных ресурсов, не содержащих запрещенный к распространению контент. Кроме того, экспертов возмутило, что проведение поправок в законопроект проходило без широкого общественного обсуждения.

Наталья Касперская

Генеральный директор компании InfoWatch Наталья Касперская утверждает, что надо бороться не с противоправным контентом, а с людьми его производящими. «Закрывать сайты и блокировать их по IP-адресу бессмысленно. Сайт может сменить доменное имя или площадку хостинга и снова стать доступным. Так что по сути создание черных списков — сизифов труд», — утверждает г-жа Касперская.

 

03 июля 2012

Правительство Российской Федерации внесло на рассмотрение проект с изменениями Кодекса об административных правонарушениях

Суть нововведений сводится к существенному ужесточение штрафов за нарушения порядка обработки персональных данных – в 10 раз для граждан и в 50 раз для должностных и юридических лиц. Теперь максимальный размер наказания для юрлиц, впервые нарушивших закон, будет достигать полумиллиона рублей. При повторном нарушении сумма наказания  возрастет до миллиона рублей, а для должностных лиц предполагается ввести еще и годовую дисквалификацию. Новый законопроект также предусматривает штраф за нарушение порядка обработки персональных данных для индивидуальных предпринимателей – 30-50 тысяч рублей.

Срок давности привлечения нарушителей к ответственности планируется увеличить с нынешних 3 месяцев до 1 года. Функции контроля и наказания за нарушения при обработке персональных данных, согласно новому законопроекту, полностью перейдут к Роскоммнадзору.

Хайретдинов Рустэм

Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch: «Ужесточение наказания за неисполнение законов ‒ одна из мер повышения их эффективности. Очевидно, что после увеличения штрафов, ускорения процедуры их наложения и продление срока давности, многие компании, у которых эффективная стратегия относительно исполнения закона была "откупаться", поменяют ее на "исполнять требования". Также очевидно, что стоимость этого исполнения будет переложена на клиентов этих компаний, то есть за это заплатим мы с вами, как клиенты банков, сотовых компаний, медицинских учреждений. Хотим мы этого или нет, нас никто не спрашивал, поэтому будем надеяться, что те, кто этот закон принимал и внедрял, знают, что делают.

Но такая мера - не единственная, необходимая для исполнения законов. Чтобы закон о защите персональных данных работал, необходимо, чтобы были включены все рычаги. Прежде всего - неотвратимость наказания. Если закон будет применяться выборочно, по заказу или для сведения счетов, на общей защищенности повышение штрафов не скажется никак.

Также важно обеспечить квалифицированную и неподкупную экспертизу, поскольку те эксперты, которые будет налагать многомилионные штрафы, будут находиться под сильным давлением, как это сейчас происходит в других ведомствах, которые могут осложнить деятельность предприятий.

Имеет смысл вспомнить и о том, что закон называется «О защите персональных данных», а не «О надлежащем порядке обработки персональных данных». Принцип контролировать не защищенность информационных систем, не отсутствие перемещения персональных данных, доверенных компании или госоргану за пределы их информационных систем, а лишь наличие некоторых программных средств в информационной системе, работает только там, где компании понятия не имеют, как защищать информацию и строго следуют требованиям регуляторов. Западная статистика утечек персональных данных из аттестованных и сертифицированных систем, показывает, что «надлежащий порядок обработки» и защищенность – совсем не одно и то же. Но пока наши регуляторы не спешат воспользоваться наработками корпоративного сообщества, накопившего огромный опыт не бумажной, а практической безопасности».

03 июля 2012

Путин создал новое ведомство

Владимир Путин подписал Указ о создании нового управления ‒ по применению информационных технологий и развитию электронной демократии.

Предполагается, что основной задачей ведомства будет решение проблем развития информационных технологий в стране.

Пока не утверждено положение о новом управлении, остаётся не понятным, кто станет его главой, каковы его цели и задачи и как разделяться полномочия между новым ведомством, Правительством и Минкомсвязи.

Николай Федотов

Комментирует главный аналитик InfoWatch Николай Федотов: «Электронная демократия, она же прямая демократия ‒ это следующий этап эволюции после демократии представительной, которая применяется уже около 2500 лет. Чего именно ожидать от новой формы, пока никто не знает. Но многие сходятся на мысли, что она сильно изменит мир.

В арсенале у политиков прежнего поколения есть испытанное средство: на каждое явление или вызов создавать организационную структуру. Оно не всегда срабатывает, но придумать что-то другое сложно».

25 июня 2012

Как лебедь, рак и щука решали вопрос о лицензировании ТЗКИ

На сайте ФСТЭК появилась информационное сообщение с разъяснениями по поводу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации. Вопрос о том, какие юрлица и в каких случаях обязаны получить лицензию на ТЗКИ,  до сих пор оставался открытым и не раз обсуждался в ходе тематических встреч, совещаний, конференций и иных мероприятий, проводимых органами государственной власти и организациями по вопросам защиты информации.

Теперь официальная позиция ФСТЭК базируется на трёх НЕ: если организация не извлекает прибыли от деятельности по технической защите конфиденциальной информации, эта деятельность не прописана в учредительных документах и не осуществляется по поручению обладателя информации конфиденциального характера или заказчика информационной системы в соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации», лицензия не нужна.

Согласно этому заявлению, вопрос решен, и большинству организаций теперь не требуется искать обоснования для отсутствия у них лицензии. Эксперты считают такое мнение неоднозначным.

Михаил Емельянников

Михаил Емельянников,  экcперт в области информационной безопасности и безопасности бизнеса: «ФСТЭК достаточно чётко заявил, что считает лицензирование обязательным, только в тех случаях, когда ТЗКИ связана с получением прибыли. Однако, будучи Федеральным органом исполнительной власти, ФСТЭК обязан действовать в рамках закона. Помимо ФСТЭК существуют еще и прокуратура и требования законодательства, в которых указано, что занятие видами деятельности, предусматривающими наличие лицензии без таковой, является административным правонарушением. В Постановлении Правительства №79 указано, что установка любого средства защиты, включая антивирус на компьютер, где обрабатывается информация, доступ к которой ограничен Федеральным законом, подпадает под лицензированный вид деятельности. Поэтому, несмотря на то, что позиция ФСТЭК достаточно здравая, по моему убеждению, существующих противоречий с лицензированием она не решает.

22 июня 2012

Банк России определился с порядком контроля деятельности национальной платёжной системы

Банк России принял два акта, касающихся национальной платёжной системы (НПС): положение  о наблюдении в национальной платежной системе и указание об обеспечении защиты при переводах денежных средств. Эти документы продолжают череду подзаконных актов, призванных регулировать работу субъектов НПС, которые вступают в силу с 1-го июля этого года.

В положении устанавливается порядок наблюдения Банка России за деятельностью операторов НПС, а также за развитием платежных систем и их инфраструктуры. Согласно этому документу, не реже 1 раза в год ЦБР будет осуществлять оценку платёжных систем на соответствие рекомендациям Банка России. Для мониторинга будет использоваться информация, полученная в рамках надзора в НПС, а также при взаимодействии с субъектами НПС, федеральными органами исполнительной власти, центральными банками и иными органами надзора в национальных платёжных системах иностранных государств. В ходе проверок Банк России вправе запрашивать информацию об оказываемых платёжными системами услугах, в том числе, об уровне защиты информации при переводах денежных средств, об информационно-коммуникационных технологиях, электронных носителях и технических устройствах, используемых при предоставлении платежных услуг, а также о попытках мошенничества или сетевых взломов, сопровождаемых проникновением в информационную систему субъектов НПС.

С таким же интервалом будут готовиться обзоры результатов всего наблюдения с выводами о состоянии рынков платёжных услуг, динамике их развития, а также информацией об инновациях в области переводов денежных средств, клиринга и операционных услуг.

Второй документ определяет формы отчётности по обеспечению защиты информации при осуществлении переводов денежных средств операторами платёжных систем, операторами по переводу денежных средств и операторами  услуг платёжной инфраструктуры. В указании также прописываются сроки предоставления и методики составления этой отчётности.

Вадим Здор

Вадим Здор, ведущий консультант по вопросам защиты информации компании InfoWatch: «Эти документы описывают процесс аудита, который, по моему мнению, в целом, плодотворно отразиться на работе платежных систем. Подконтрольные организации будут отсылать в ЦБР заполненный ими перечень вопросов о состоянии средств защиты информации и транзакций в электронном виде. Тот факт, что такая проверка будет проводиться не реже 1 раза в два года, заставит субъекты НПС обращать более пристальное внимание на организацию информационной безопасности при осуществлении платёжных операций.»

18 июня 2012

Национальная платёжная система перестала быть национальной

Официальный  сайт Правительства Российской Федерации сообщает о подписании Постановления №584 «Об утверждении положения о защите информации в платёжной системе», которое вступает в силу 1 июля 2012 года. Проект документа, регулирующий вопросы обеспечения защиты информации в Национальной платёжной системе, был размещён на сайте ФСТЭК в начале года. В целом, документ описывает риск-ориентированный подход к защите информации при осуществлении денежных операций платёжными компаниями. Данная схема знакома участникам рынка и прописана в большом количестве законодательных актов. Текст Постановления по сравнению с его проектом сильно сократился – из него изъята вся дублирующая информация. Исчезло название «национальной», число пунктов уменьшилось  до 9.

По мнению экспертов,  документ не содержит каких-либо кардинальных нововведений и оставляет многие вопросы открытыми.

Согласно новому проекту, поправки в части регулирования обработки персданных должны быть внесены в 18 законов, в том числе в закон «Об образовании», «О прокуратуре Российской Федерации», «Об актах гражданского состояния», «О негосударственных пенсионных фондах», «О государственной дактилоскопической регистрации в Российской Федерации», «О системе государственной службы Российской Федерации», «О связи» и «О лотереях» и т. д.

Михаил Емельянников, экcперт в области информационной безопасности и безопасности бизнеса: «Самый главный вопрос, возникающий при изучении Положения, - тот же, что и был к ФЗ «О национальной платежной системе»: требования к защите банковской тайны, которую обязаны гарантировать операторы и агенты (субагенты), будут установлены Банком России, исходя из смысла части 3 той же статьи 27 закона, или же банковская тайна – "иная информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации"? Если последнее, то защиту каких сведений будет определять Банк России?»

Алексей Лукацкий, бизнес-консультант по безопасности: «Вызывал у меня вопросы пункт "обеспечение защиты информации при использовании информационно-телекоммуникационных сетей общего пользования"; особенно применительно к ДБО и мобильным платежам. Очень уж много там непростых моментов».

 

15 июня 2012

Минкомсвязи разработал новую порцию поправок к законопроекту 2005 года

Официальный сайт Минкомсвязи России сообщает о подготовке проекта поправок к законопроекту «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных». Этот законопроект был внесен в Госдуму еще в 2005 году и до сих пор находится на стадии рассмотрения.

Согласно новому проекту, поправки в части регулирования обработки персданных должны быть внесены в 18 законов, в том числе в закон «Об образовании», «О прокуратуре Российской Федерации», «Об актах гражданского состояния», «О негосударственных пенсионных фондах», «О государственной дактилоскопической регистрации в Российской Федерации», «О системе государственной службы Российской Федерации», «О связи» и «О лотереях» и т. д.

В блоге Алексея Лукацкого предложения нового документа описываются как несерьезные: «Собственно ничего нового в этом проекте нет — просто опять вытащили на свет злополучный и отнафталиненный законопроект 217355-4 (еще 2005 года). Было бы неплохо в явной форме зафиксировать мысль, что образовательные учреждения обрабатывают ПДн для реализации своей основной деятельности и без ПДн их деятельность невозможна. То же самое касается социальной помощи, ЗАГСов, НПФ, детей на попечении, ОСАГО, нотариусов и т.д. Но нет, мы опять выстраиваем формулировки так, что там сам черт ногу сломит, а уж про двойственности и тройственность формулировок и говорить не хочется».

Вадим Здор

«Как обычно, эти поправки не вносят каких-либо полезных изменений в законопроект, кроме перспектив дополнительной бумажной волокиты в виде письменных согласий абонентов и клиентов на обработку их персональной информации. Как и где эти письменные согласия будут храниться, каким образом они будут привязаны к записям ПДн в различных системах, — остается загадкой. Также непонятна их роль (письменных согласий) в случае расследования инцидентов утери или утечки ПДн.

Пытаясь юридически оформить документ по стандартам зарубежных аналогов, законодатели не предпринимают никаких действий по созданию плана действий фактической защиты ПДн. Т.е. компании, обрабатывающие ПДн должны будут сами позаботиться об адекватных средствах защиты собираемой, обрабатываемой и хранимой информации. Системы защиты от утечек являются логическим компонентом необходимой инфраструктуры, и следование стандартам ISO27001 вполне адресует эту проблему и без дополнительных законопроектов», — комментирует эту новость Вадим Здор, ведущий эксперт по информационной безопасности InfoWatch.

 

Подписаться на Новости законодательства

Подпишитесь на рассылку INFOWATCH