Список НПА по ИБ, принятых в 2016-м году

Список НПА по ИБ, принятых в 2016-м году
Решил свести в одну заметку все основные нормативно-правовые акты, которые были приняты в России в уходящем году, а также составить список НПА, которые стали известны в качестве проектов, вероятность принятия которых в 2017-м году очень высока. Итак, вот что было принято в этом году:
  1. С 1-го января вступил в силу так называемый " закон о забвении " или официально Федеральный закон от 13 июля 2015 г. N 264-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации". С этим законом вообще  странная  ситуация - такая норма уже заложена в закон о персданных и КоАП. Правда сумма штрафов там смешная была, в отличие от дополняющего закон о забвении Федерального закона от 30 декабря 2015 г. N 439-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", который устанавливает ответственность за данный вид нарушения в размере до 100 тысяч рублей.
  2. В последний день 2015-го года была  утверждена  новая Стратегия национальной безопасности. В Стратегии  говорится  и про киберугрозы, но не могу сказать, что много. Материал в этой части изложен несистемно - основное внимание уделяется традиционным угрозам.
  3. Постановление Правительства №399 от 6 мая 2016-го года "Об организации  повышения квалификации  специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса", которое утверждает соответствующие правила организации повышения квалификации. 
  4. В июле 2015-го года был  принят  новый закон №162-ФЗ " О стандартизации в Российской Федерации ". Этот закон вступил в силу 29-го сентября 2015-го года, но в полной мере он заработал с 1-го июля 2016-го года. Именно с этой даты стала действовать статья 6-я, которая определяет, что ГОСТы в области защиты информации могут быть обязательными к применению, чем первым, скорее всего, воспользуется Банк России, который свой СТО БР ИББС уже  переводит  в статус ГОСТа и, согласно заседанию ТК122 в конце декабря 2016-го года, планируется, что это произойдет уже в 2017-м году. Хотя в такую оперативность я не верю - обычно с момента внесения текста стандарта в Ростехрегулирование до его принятия проходит не менее года-двух. Так что по моей оценке СТО БР ИББС (в модифицированном варианте) станет обязательным в 2018-м году.
  5. В июне было  подписано  Постановление Правительства РФ от 15.06.2016 №541 "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности", которое вступает в силу 17 июня 2017-го года и которое вносит  изменения  в правила лицензирования деятельности по технической защите конфиденциальной информации и по разработке средства защиты конфиденциальной информации.
  6. В марте Минюст утвердил долгожданное  Указание  Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".
  7. Также в марте Минюст  утвердил  и другое Указание Банка России №3893-У от 11.12.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством обращения в кредитную организацию". В 4-м приложении к нему утвержден порядок использования СКЗИ при обмене электронными сообщениями между ЦБ и кредитными организациями в целях направления запросов и получения информации из Центрального каталога кредитных историй. Приложение 5 к этому Указанию определяет порядок обеспечения ИБ при использовании СКЗИ. 
  8. Банк России ввел в действие с 1-го мая 2016 года новые  рекомендации  по стандартизации, посвященные выявлению и предотвращению утечек информации (РС БР ИББС-2.9-2016).
  9. В декабре Банка России принял новый  стандарт  по сбору и анализу технических данных при реагировании на инциденты (СТО БР ИББС-1.3-2016), которые вступают с 1-го января 2017-го года.
  10. В июле был принят нашумевший законопроект Яровой (Федеральный закон от 6 июля 2016 г.  №374-ФЗ  "О внесении изменений в Федеральный закон "О противодействии терроризму" и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности" и Федеральный закон от 6 июля 2016 г.  №375-ФЗ  "О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности"), который ввел новые правила к операторам связи в части хранении всех данных по всем пользователям на территории России в течение длительного периода времени. Помимо этого он установил  невыполнимые  требования к передаче ключей шифрования для мессенджеров спецслужбам России.
  11. Президент в течение года выпустил несколько поручений, касающихся ИБ:
    • по  итогам форума  "Интернет экономика" - там  много   всего  - импортозамещение, Интернет вещей, образование, мониторинг информационных угроз (до сих пор непонятно, что это такое), "личные данные" (хрень, которую до сих пор разгребают эксперты), шифрование данных (следствием этого стал в т.ч. и "закон Яровой")  
    • об  обеспечении  разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на  использование  российских криптографических алгоритмов и средств шифрования (нужно завершить к 1-му декабря 2017 года)
    • по  вопросам  отдельных мер государственного регулирования в сфере противодействия терроризму и обеспечения общественной безопасности - ответственность за несертифицированные средства шифрования, порядок сертификации средств шифрования в Интернет, передача ключей шифрования в ФСБ.  Ответ ФСБ  не заставил себя долго ждать.
    • о преимущественном  использовании  госорганами единой инфраструктуры электронного правительства.
  12. PCI Council 28 апреля  принял  новую версию стандарта PCI DSS 3.2, которая вступила в силу с 1-го ноября 2016-го года.
  13. ФСБ России 23.03.2016 утвердила два новых административных регламента -  №182  "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению лицензионного контроля деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" и  №185  "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению лицензионного контроля деятельности по разработке и производству средств защиты конфиденциальной информации".
  14. ТК26 (читаем 8-й Центр ФСБ) выпустил давно обещанный документ с принципами разработки и модернизации шифровальных (криптографических) средств защиты информации.
  15. Приказом ФСТЭК России от 9 февраля 2016 г. №9 были  утверждены   Требования  к межсетевым экранам, которые  вступают  в силу с 1 декабря 2016 г.
  16. Банк России выпустил  Положение  от 24.08.2016 №552-П "Положение о требованиях к защите информации в платежной системе Банка России". Несколько раз подступался к этому документу, но все как-то неполучается сформулировать свои мысли по нему. Думаю, до конца года все-таки допишу заметку про него.
  17. 5 декабря Президент  подписал  новую Доктрину информационной безопасности России, которой я еще посвящу отдельную заметку (документ этот непростой - с бухты барахты о нем писать не хочется).
  18. Федеральная служба охраны  утвердила  приказ от 7 сентября 2016 г. №443 г. Москва "Об утверждении Положения о российском государственном сегменте информационно-телекоммуникационной сети "Интернет", в котором, среди прочего  требуется  подключение RSNet к ГосСОПКЕ.
  19. Постановление Правительства от 13 августа 2016 года №789  установило  порядок использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме с помощью мобильного телефона, смартфона, планшета и порядок передачи результатов оказания государственных и муниципальных услуг в электронном виде третьим лицам.
Список появившихся, но пока непринятых нормативных актов тоже немаленький:
  1. Правительство, как и обещало,  внесло  в Госдуму законопроект "О внесении изменений в федеральные законы в части наделения федерального органа исполнительной власти полномочием по установлению порядка осуществления государственного контроля за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных".
  2. Банк России начал процедуру рассмотрения новых рекомендаций по стандартизации "Квалификационные требования к специалистам по информационной безопасности организаций кредитно-финансовой сферы Российской Федерации", а также по аутсорсингу ИБ, включая и предоставление услуг по ИБ из облаков.
  3. Также Банк России начал и практически завершил разработку ГОСТа "Базовый состав организационных и технических мер защиты информации", на который будут ссылаться многие из положений и указаний Банка России.
  4. Неожиданно в Госдуму был внесен законопроект "О безопасности критических информационных инфраструктур", который, если будет принят в текущей редакции (а такая вероятность есть, так как авторы законопроекта на встрече с экспертами не высказали энтузиазма и желания вносить поправки), сильно  ограничит  конкуренцию в этой сфере и отбросит сегмент ИБ КИИ назад. Помимо него были внесены еще два законопроекта - "О внесении изменений в законодательные акты РоссийскойФедерациивсвязиспринятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" и "О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".
  5. Начата работа на  проектом  Стратегии развития информационного общества Российской Федерации на 2017 - 2030 годы, в которой есть фрагменты и про критическую инфраструктуру.
  6. Минкомсвязь подготовил проект приказа "О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346", который уточняет процедуру исключения оператора ПДн из соответствующего реестра операторов ПДн.
  7. Министерство связи и массовых коммуникаций РФ  опубликовало  проект постановления правительства «О внесении изменений в Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
  8. Минкомсвязь  выложило  проект Указа Президента "О создании и функционировании специального сегмента системы межведомственного электронного взаимодействия в целях обеспечения обмена между органами власти, государственными внебюджетными фондами и организациями информацией, доступ к которой ограничен", суть которого понятна из названия.
  9. ЦБ  подготовил  проект требований к работе сайтов страховщиков и Российского союза автостраховщиков (РСА), направленных на обеспечение бесперебойности работы при продажах электронных полисов ОСАГО.
  10. поправки в закон о связи
  11. Проект  федерального закона "О внесении изменений в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации" в части расширения сферы действия требований ФСТЭК не только на ГИС, а также обязательность уведомления ФСБ и ФСТЭК об инцидентах ИБ. За принятием законопроекта последует и принятие новой редакции 17-го приказа ФСТЭК.
  12. Законопроект  "О мерах по обеспечению информационной безопасности Российской Федерации", похоже, так и не взлетит. 
  13. Законопроект "О внесении изменений в Федеральный закон "О связи", наделяющий российский сегмент Интернет статусом критической инфраструктуры, вызвал большое количество споров и, думаю, подвергнется критике еще не раз.
Вот так выглядит картина основного нормотворчества по информационной безопасности в уходящем году.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!