Возможно многие уже слышали о ФЗ Яровой вносящем изменения в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности. Текст тут. Рекомендую ознакомится самостоятельно.
Так как данные поправки касаются операторов связи и других ИТ компаний, а также вносят изменения в 149-ФЗ об информации, информатизации и защиты информации, то они всколыхнули ИТ сообщество и продвинутых пользователей. Была очень большая волна критики со стороны операторов связи, облачных операторов и западных диссидентов. Цитировать большого смысла не вижу.
Видео ответ на эту критику от самой Ирины Яровой можно посмотреть тут
Далее кратко разберу пункты / требования, которые могут быть интересны и касаться информационной безопасности:
а) ФСБ России и СВР РФ имеет право запрашивать доступ (в том числе) к ИС и БД госорганов [уже вступили в силу]
б) правительство РФ должно установить требования к автоматизированной информационной системе оформления воздушных перевозок (сейчас используются в основном западные системы) - в том числе меры по защите таких систем (и возможно требования разместить на территории РФ) [срок к которому должны быть разработаны требования не установлен]
в) поправки в КОАП РФ ст. 13.6 - использование несертифицированных СКЗИ (когда они требуются законодательством - ПДн или другие случаи) - штраф до 300 тыс. рублей и конфискация СКЗИ [уже вступили в силу]
г) поправки в КОАП РФ ст 13.17 - разглашение охраняемой законом информации (ГТ или, например, ПДн) через СМИ или сеть Интернет - штраф до 1 млн. рублей [уже вступили в силу]
д) поправки в КОАП РФ ст 13.31 - повышение ответственности операторов связи (соцсети, е-почты) до 1 млн. руб. за нарушение требований о хранении информации пользователей, и непредоставление в ФСБ России криптоключей для расшифровки данных [уже вступили в силу]
е) операторы связи и организаторы распространения информации в сети Интернет (соцсети, блогинговые платформы, публичные электронные почты, файловые обменники, форумы и т.п.) обязаны хранить на территории РФ - логи и сам контент (сообщения, голос, видео) и предоставлять её по запросам ФСБ и МВД. Но сроки и порядок хранения контента ещё установит правительство РФ [по хранению логово – уже вступили в силу, по хранению контента - вступают в силу с 1 июля 2018 года]
ж) сервисы, которые предоставляют возможность зашифрованного взаимодействия пользователей (whatsup, telegram, …) обязаны предоставлять в ФСБ России ключи для расшифровки [уже вступили в силу]
Кроме этого, вчера был опубликован перечень поручений президента РФ в рамках выполнения данного законодательства:
1) Правительству РФ при участии ФСБ России разработать подзаконные НПА в срок до 1 ноября 2016 года
2) Минпромторгу России и Минкомсвязи России – провести анализ возможности производства отечественного оборудования и ПО необходимого для хранения контента – до 1 сентября 2016
3) ФСБ России утвердить порядок передачи ключей шифрования и сертификации средств шифрования до 20 июля 2016
Краткие выводы:
1) как видно, не всё так гладко в видео ответе Ирины Яровой. Большинство требований вступило в силу уже сейчас. По части уже вступивших в силу обязанностей, требования будут уточнятся подзаконными актами в ближайшие месяцы, но это не отменят того что статьи КОАП уже вступили в действие и штрафовать за непредставление ключей шифрования или несертифицированную криптографию можно уже сейчас
2) появилось несколько дорогих статей КОАП РФ которые касаются всех организаций.
Особенно интересует пикантная статья про применение несертифицированных средств кодирования (шифрования). Ситуации с просроченными сертификатами, отсутствием сертификатов или оценкой соответствия в форме отличной от сертификации может караться существенной суммой штрафа.
3) большая часть новых требований касается операторов связи и организаторов распространения информации в сети Интернет (соцсети, блогинговые платформы, публичные электронные почты, файловые обменники, форумы и т.п.) - им предстоит большая работа по переносу хранилищ на территорию РФ, корректировка процессов логирования и шифрования данных пользователей
Но наиболее затратная часть (про хранение контента) вступит в силу через 2 года. До этого Правительство РФ и ФСБ России должны разработать детальные требования к срокам и порядку хранения
В самих требованиях по хранению логов, контента, ключей шифрования - чего то неожиданного не вижу. СОРМ и раньше работал. Просто он не охватывал некоторые каналы и часть операторов по преступной халатности хранила данные в западных ЦОДах, которые прослушиваются местными спецслужбами