За последние несколько дней прошло несколько различных совещаний и встреч в части нормативного регулирования вопросов обеспечения информационной безопасности. А так как информации достаточно много, то держа ее в себе, боюсь что-то забыть. Поэтому выплесну все на страницы блога в той или иной степени глубины и детальности.
Начну с традиционной темы - персональных данных. И хотя многие операторы ПДн уже забили болт на эту тему, работа по ней ведется активная. Например, приказ Роскомнадзора со списком адекватных стран ушел на регистрацию в Минюст. Правда, учитывая оперативность этого органа, ждать скоро принятия этого приказа не стоит ;-) Кстати о Минюсте - на днях он организует встречу экспертов по части мониторинга правоприменительной практики по ФЗ-152. Да и сам закон претерпевает некоторые изменения - при Совете Федерации функционирует рабочая группа, которая обсуждает поправки в действующие нормы. Не могу сказать, что поправок много - есть среди них как концептуальные (например, в части термина "персональные данные"), так и технические. По срокам доработки этих поправок и внесения законопроекта в Госдуму говорить еще рано.
Второе направление регулирование традиционно захватывает Банк России, который готовит целый набор новых документов по ИБ. Во-первых, это новая редакция 382-П и 2831-У. В первом из них изменений не так много и касаются они преимущественно требований по хранению информации о действиях клиентов в течении определенного периода времени и предоставления этой информации по запросу правоохранительных органов. Это "старая" тема , которая перекочевала из проекта поправок в 262-П в сторону 382-П. Пожалуй, ради нее эпопея с внесением изменений в 382-П и затевалась, т.к. других существенных норм в нем не появилось. Проект уже согласован внутри ЦБ, прошлел согласование с ФСТЭК и находится на согласовании с ФСБ. Так что предлагаемые в него сообществом правки так и остались на бумаге - их, надеюсь, учтут в следующей версии 382-П. А вот 2831-У по отчетности меняется достаточно сильно - информация, предоставляемая в ЦБ, лучше систематизирована (правда, ее станет и существенно больше).
Другая тема, озвученная ГУБЗИ в Магнитогорске, - разработка единого пространства доверия с операторами связи, чья инфраструктура используется при оказании услуг по переводу денежных средств (как минимум, ДБО). Тут Минкомсвязь совместно с Банком России решило вернуться к теме " Базового уровня информационной безопасности операторов связи " (он же рекомендации ITU-T X.sbno)и сделать именно эти требования (с некоторыми доработками) условиемподключения (выбора) банков к инфраструктуре оператора связи. При этом Банком России будут разработаны рекомендации по выбору именно тех операторов, которые прошли процедуру добровольной сертификации на соответствие "базовому уровню".В рамках такой сертификации проверяются следующие требования:
Ну и совсем вдогонку ЦБшной тематике. В рамках ПК1 ТК 122 по стандартизации вопросов ИБ для финансовых организаций на прошлой неделе был намечен план на 2013-й год, в котором (он сейчас утверждается) зафиксирован ряд документов, которые будут разрабатываться и выпускаться под эгидой ДРР и ГУБЗИ. О большиснтве из них уже говорилось в Магнитогорске.
Ну и совсем последний документ, который сейчас зреет в недрах наших властных структур - "Основные направления государственной политики в области формирования у граждан культуры информационной безопасности". Сейчас он проходит экспертизу экспертным сообществом после чего будет доступен для широкой публики, которая сможет предложить свои мысли и предложения по его доработке. Это также должно произойти в обозримом будущем.
Вот такой небольшой перечень последних изменений в нормативной базе, которая готовится поразить отечественную отрасль ИБ в самое ближайшее время. Это помимо 17-го и 21-го приказов ФСТЭК, находящихся на регистрации в Минюсте и разрабатываемого проекта приказа ФСБ по защите персональных данных. Меньше месяца назад я делал обзор планируемых изменений в области регулирования ИБ и такой скачок вперед... Жизнь российского специалиста по ИБ становится все чудесатее и чудесатее ;-)
Начну с традиционной темы - персональных данных. И хотя многие операторы ПДн уже забили болт на эту тему, работа по ней ведется активная. Например, приказ Роскомнадзора со списком адекватных стран ушел на регистрацию в Минюст. Правда, учитывая оперативность этого органа, ждать скоро принятия этого приказа не стоит ;-) Кстати о Минюсте - на днях он организует встречу экспертов по части мониторинга правоприменительной практики по ФЗ-152. Да и сам закон претерпевает некоторые изменения - при Совете Федерации функционирует рабочая группа, которая обсуждает поправки в действующие нормы. Не могу сказать, что поправок много - есть среди них как концептуальные (например, в части термина "персональные данные"), так и технические. По срокам доработки этих поправок и внесения законопроекта в Госдуму говорить еще рано.
Второе направление регулирование традиционно захватывает Банк России, который готовит целый набор новых документов по ИБ. Во-первых, это новая редакция 382-П и 2831-У. В первом из них изменений не так много и касаются они преимущественно требований по хранению информации о действиях клиентов в течении определенного периода времени и предоставления этой информации по запросу правоохранительных органов. Это "старая" тема , которая перекочевала из проекта поправок в 262-П в сторону 382-П. Пожалуй, ради нее эпопея с внесением изменений в 382-П и затевалась, т.к. других существенных норм в нем не появилось. Проект уже согласован внутри ЦБ, прошлел согласование с ФСТЭК и находится на согласовании с ФСБ. Так что предлагаемые в него сообществом правки так и остались на бумаге - их, надеюсь, учтут в следующей версии 382-П. А вот 2831-У по отчетности меняется достаточно сильно - информация, предоставляемая в ЦБ, лучше систематизирована (правда, ее станет и существенно больше).
Другая тема, озвученная ГУБЗИ в Магнитогорске, - разработка единого пространства доверия с операторами связи, чья инфраструктура используется при оказании услуг по переводу денежных средств (как минимум, ДБО). Тут Минкомсвязь совместно с Банком России решило вернуться к теме " Базового уровня информационной безопасности операторов связи " (он же рекомендации ITU-T X.sbno)и сделать именно эти требования (с некоторыми доработками) условиемподключения (выбора) банков к инфраструктуре оператора связи. При этом Банком России будут разработаны рекомендации по выбору именно тех операторов, которые прошли процедуру добровольной сертификации на соответствие "базовому уровню".В рамках такой сертификации проверяются следующие требования:
- к снижению рисков;
- к разработке приложений;
- к методам защиты;
- к системе обнаружения спама;
- к техническим и организационным мерам;
- к системам обнаружения и предупреждения атак;
- к передаче и хранению информации;
- к действиям при утрате баз данных;
- к предупреждению пользователей об угрозах;
- к политике безопасности оператора связи;
- к разграничению ответственности;
- к должностным инструкциям;
- к лицензиям и сертификатам;
- к доступу к коммуникационному оборудованию;
- к правилам доступа;
- к обновлению программного обеспечения;
- к использованию антиспуффинговых антифишинговых фильтров;
- к использованию антивирусного программного обеспечения;
- к действиям над сообщениями, зараженными вредоносным кодом;
- к серверу электронной почты;
- к использованию средств защиты от атак типа "отказ в обслуживании";
- к журналам регистрации событий информационной безопасности;
- к журналам регистрации действий персонала;
- к фильтрации трафика по запросу клиента;
- к процессам взаимодействия с пользователями.
Ну и совсем вдогонку ЦБшной тематике. В рамках ПК1 ТК 122 по стандартизации вопросов ИБ для финансовых организаций на прошлой неделе был намечен план на 2013-й год, в котором (он сейчас утверждается) зафиксирован ряд документов, которые будут разрабатываться и выпускаться под эгидой ДРР и ГУБЗИ. О большиснтве из них уже говорилось в Магнитогорске.
Ну и совсем последний документ, который сейчас зреет в недрах наших властных структур - "Основные направления государственной политики в области формирования у граждан культуры информационной безопасности". Сейчас он проходит экспертизу экспертным сообществом после чего будет доступен для широкой публики, которая сможет предложить свои мысли и предложения по его доработке. Это также должно произойти в обозримом будущем.
Вот такой небольшой перечень последних изменений в нормативной базе, которая готовится поразить отечественную отрасль ИБ в самое ближайшее время. Это помимо 17-го и 21-го приказов ФСТЭК, находящихся на регистрации в Минюсте и разрабатываемого проекта приказа ФСБ по защите персональных данных. Меньше месяца назад я делал обзор планируемых изменений в области регулирования ИБ и такой скачок вперед... Жизнь российского специалиста по ИБ становится все чудесатее и чудесатее ;-)
