Решил свести в одну заметку все основные нормативно-правовые акты, которые были приняты в России в уходящем году, а также составить список НПА, которые стали известны в качестве проектов, вероятность принятия которых в 2017-м году очень высока. Итак, вот что было принято в этом году:
- С 1-го января вступил в силу так называемый " закон о забвении " или официально Федеральный закон от 13 июля 2015 г. N 264-ФЗ "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и статьи 29 и 402 Гражданского процессуального кодекса Российской Федерации". С этим законом вообще странная ситуация - такая норма уже заложена в закон о персданных и КоАП. Правда сумма штрафов там смешная была, в отличие от дополняющего закон о забвении Федерального закона от 30 декабря 2015 г. N 439-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", который устанавливает ответственность за данный вид нарушения в размере до 100 тысяч рублей.
- В последний день 2015-го года была утверждена новая Стратегия национальной безопасности. В Стратегии говорится и про киберугрозы, но не могу сказать, что много. Материал в этой части изложен несистемно - основное внимание уделяется традиционным угрозам.
- Постановление Правительства №399 от 6 мая 2016-го года "Об организации повышения квалификации специалистов по защите информации и должностных лиц, ответственных за организацию защиты информации в органах государственной власти, органах местного самоуправления, организациях с государственным участием и организациях оборонно-промышленного комплекса", которое утверждает соответствующие правила организации повышения квалификации.
- В июле 2015-го года был принят новый закон №162-ФЗ " О стандартизации в Российской Федерации ". Этот закон вступил в силу 29-го сентября 2015-го года, но в полной мере он заработал с 1-го июля 2016-го года. Именно с этой даты стала действовать статья 6-я, которая определяет, что ГОСТы в области защиты информации могут быть обязательными к применению, чем первым, скорее всего, воспользуется Банк России, который свой СТО БР ИББС уже переводит в статус ГОСТа и, согласно заседанию ТК122 в конце декабря 2016-го года, планируется, что это произойдет уже в 2017-м году. Хотя в такую оперативность я не верю - обычно с момента внесения текста стандарта в Ростехрегулирование до его принятия проходит не менее года-двух. Так что по моей оценке СТО БР ИББС (в модифицированном варианте) станет обязательным в 2018-м году.
- В июне было подписано Постановление Правительства РФ от 15.06.2016 №541 "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности", которое вступает в силу 17 июня 2017-го года и которое вносит изменения в правила лицензирования деятельности по технической защите конфиденциальной информации и по разработке средства защиты конфиденциальной информации.
- В марте Минюст утвердил долгожданное Указание Банка России от 10.12.2015 N 3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".
- Также в марте Минюст утвердил и другое Указание Банка России №3893-У от 11.12.2015 "О порядке направления запросов и получения информации из Центрального каталога кредитных историй посредством обращения в кредитную организацию". В 4-м приложении к нему утвержден порядок использования СКЗИ при обмене электронными сообщениями между ЦБ и кредитными организациями в целях направления запросов и получения информации из Центрального каталога кредитных историй. Приложение 5 к этому Указанию определяет порядок обеспечения ИБ при использовании СКЗИ.
- Банк России ввел в действие с 1-го мая 2016 года новые рекомендации по стандартизации, посвященные выявлению и предотвращению утечек информации (РС БР ИББС-2.9-2016).
- В декабре Банка России принял новый стандарт по сбору и анализу технических данных при реагировании на инциденты (СТО БР ИББС-1.3-2016), которые вступают с 1-го января 2017-го года.
- В июле был принят нашумевший законопроект Яровой (Федеральный закон от 6 июля 2016 г. №374-ФЗ "О внесении изменений в Федеральный закон "О противодействии терроризму" и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности" и Федеральный закон от 6 июля 2016 г. №375-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности"), который ввел новые правила к операторам связи в части хранении всех данных по всем пользователям на территории России в течение длительного периода времени. Помимо этого он установил невыполнимые требования к передаче ключей шифрования для мессенджеров спецслужбам России.
- Президент в течение года выпустил несколько поручений, касающихся ИБ:
- по итогам форума "Интернет экономика" - там много всего - импортозамещение, Интернет вещей, образование, мониторинг информационных угроз (до сих пор непонятно, что это такое), "личные данные" (хрень, которую до сих пор разгребают эксперты), шифрование данных (следствием этого стал в т.ч. и "закон Яровой")
- об обеспечении разработки и реализации комплекса мероприятий, необходимых для перехода органов власти на использование российских криптографических алгоритмов и средств шифрования (нужно завершить к 1-му декабря 2017 года)
- по вопросам отдельных мер государственного регулирования в сфере противодействия терроризму и обеспечения общественной безопасности - ответственность за несертифицированные средства шифрования, порядок сертификации средств шифрования в Интернет, передача ключей шифрования в ФСБ. Ответ ФСБ не заставил себя долго ждать.
- о преимущественном использовании госорганами единой инфраструктуры электронного правительства.
- PCI Council 28 апреля принял новую версию стандарта PCI DSS 3.2, которая вступила в силу с 1-го ноября 2016-го года.
- ФСБ России 23.03.2016 утвердила два новых административных регламента - №182 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению лицензионного контроля деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" и №185 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению лицензионного контроля деятельности по разработке и производству средств защиты конфиденциальной информации".
- ТК26 (читаем 8-й Центр ФСБ) выпустил давно обещанный документ с принципами разработки и модернизации шифровальных (криптографических) средств защиты информации.
- Приказом ФСТЭК России от 9 февраля 2016 г. №9 были утверждены Требования к межсетевым экранам, которые вступают в силу с 1 декабря 2016 г.
- Банк России выпустил Положение от 24.08.2016 №552-П "Положение о требованиях к защите информации в платежной системе Банка России". Несколько раз подступался к этому документу, но все как-то неполучается сформулировать свои мысли по нему. Думаю, до конца года все-таки допишу заметку про него.
- 5 декабря Президент подписал новую Доктрину информационной безопасности России, которой я еще посвящу отдельную заметку (документ этот непростой - с бухты барахты о нем писать не хочется).
- Федеральная служба охраны утвердила приказ от 7 сентября 2016 г. №443 г. Москва "Об утверждении Положения о российском государственном сегменте информационно-телекоммуникационной сети "Интернет", в котором, среди прочего требуется подключение RSNet к ГосСОПКЕ.
- Постановление Правительства от 13 августа 2016 года №789 установило порядок использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме с помощью мобильного телефона, смартфона, планшета и порядок передачи результатов оказания государственных и муниципальных услуг в электронном виде третьим лицам.
Список появившихся, но пока непринятых нормативных актов тоже немаленький:
- Правительство, как и обещало, внесло в Госдуму законопроект "О внесении изменений в федеральные законы в части наделения федерального органа исполнительной власти полномочием по установлению порядка осуществления государственного контроля за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных".
- Банк России начал процедуру рассмотрения новых рекомендаций по стандартизации "Квалификационные требования к специалистам по информационной безопасности организаций кредитно-финансовой сферы Российской Федерации", а также по аутсорсингу ИБ, включая и предоставление услуг по ИБ из облаков.
- Также Банк России начал и практически завершил разработку ГОСТа "Базовый состав организационных и технических мер защиты информации", на который будут ссылаться многие из положений и указаний Банка России.
- Неожиданно в Госдуму был внесен законопроект "О безопасности критических информационных инфраструктур", который, если будет принят в текущей редакции (а такая вероятность есть, так как авторы законопроекта на встрече с экспертами не высказали энтузиазма и желания вносить поправки), сильно ограничит конкуренцию в этой сфере и отбросит сегмент ИБ КИИ назад. Помимо него были внесены еще два законопроекта - "О внесении изменений в законодательные акты РоссийскойФедерациивсвязиспринятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" и "О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации".
- Начата работа на проектом Стратегии развития информационного общества Российской Федерации на 2017 - 2030 годы, в которой есть фрагменты и про критическую инфраструктуру.
- Минкомсвязь подготовил проект приказа "О внесении изменений в Административный регламент Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных», утвержденный приказом Министерства связи и массовых коммуникаций Российской Федерации от 21.12.2011 № 346", который уточняет процедуру исключения оператора ПДн из соответствующего реестра операторов ПДн.
- Министерство связи и массовых коммуникаций РФ опубликовало проект постановления правительства «О внесении изменений в Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».
- Минкомсвязь выложило проект Указа Президента "О создании и функционировании специального сегмента системы межведомственного электронного взаимодействия в целях обеспечения обмена между органами власти, государственными внебюджетными фондами и организациями информацией, доступ к которой ограничен", суть которого понятна из названия.
- ЦБ подготовил проект требований к работе сайтов страховщиков и Российского союза автостраховщиков (РСА), направленных на обеспечение бесперебойности работы при продажах электронных полисов ОСАГО.
- поправки в закон о связи
- Проект федерального закона "О внесении изменений в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации" в части расширения сферы действия требований ФСТЭК не только на ГИС, а также обязательность уведомления ФСБ и ФСТЭК об инцидентах ИБ. За принятием законопроекта последует и принятие новой редакции 17-го приказа ФСТЭК.
- Законопроект "О мерах по обеспечению информационной безопасности Российской Федерации", похоже, так и не взлетит.
- Законопроект "О внесении изменений в Федеральный закон "О связи", наделяющий российский сегмент Интернет статусом критической инфраструктуры, вызвал большое количество споров и, думаю, подвергнется критике еще не раз.