пятница, 23 декабря 2016 г.

Обзор законодательных инициатив в области ИБ на конец 2016 года

Крайний месяц уходящего года оказался весьма насыщен на законодательные инициативы и принятые документы относящиеся к информационной безопасности. Это и поправки к ФЗ-149, которые были анонсированы еще весной, и законопроект по безопасности КИИ, который так долго ждали и который должен стать вехой в отрасли, качественно обновленная и принятая в декабре Доктрина ИБ, а так новый стандарт ЦБ РФ по процедурам сбора и анализа технических данных при реагировании на инциденты, связанные с безопасностью


1. Правительством РФ в Государственную Думу 5 декабря 2016 года внесен законопроект №47571-7 "О безопасности критической информационной инфраструктуры Российской Федерации"


В пояснительной записке к предлагаемому законопроекту сказано, что «стабильность социально-экономического развития РФ и ее безопасность» находятся в прямой зависимости от «надежности и безопасности функционирования информационно-телекоммуникационных сетей и информационных систем». При этом правовое регулирование этой сферы «затруднено из-за отсутствия системообразующих законодательных актов».

"Принятие закона позволит создать правовую и организационную основу для надежного функционирования системы безопасности критической ИТ-инфраструктуры Российской Федерации, а также для предупреждения компьютерных инцидентов на ее объектах. Общественный совет при ФСБ России готов оказывать любую возможную экспертную помощь на всех стадиях прохождения этого своевременного и важного законопроекта", - сообщил в ходе заседания председатель Общественного совета при ФСБ России Василий Титов

В соответствии с новым законопроектом безопасность критической информационной инфраструктуры Российской Федерации и ее объектов обеспечивается за счет: 
  • разработки критериев отнесения объектов критической информационной инфраструктуры (далее - КИИ) к различным категориям опасности; 
  • категорирования объектов КИИ в соответствии с указанными критериями; 
  • ведения реестров объектов критической информационной инфраструктуры с учетом их категории опасности; 
  • установления требований к системам безопасности объектов КИИ с учетом их категории опасности; 
  • обеспечения взаимодействия КИИ с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы (ГоСОПКА); 
  • осуществления оценки защищенности КИИ Российской Федерации и ее объектов; 
  • осуществления государственного контроля в области безопасности КИИ Российской Федерации. 
Как, пишет Алексей Лукацкий: "Есть и ряд проблем  с новым законопроектом, Так, например, ответственность делится между ФСБ и ФСТЭК, которые отвечают за КИИ высокой и средней/низкой категорий опасности соответственно. Вот тут, пожалуй, разрулился тот конфликт, о котором я писал раньше. ФСБ и ФСТЭК делят поляну КВО на двоих, но главным является ФСБ. ФСТЭКу остались наименее опасные КВО.  Требования по ИБ устанавливаются ФСТЭК и ФСБ соответственно. ФСБшных пока нет, а вот ФСТЭКовское четверокнижие по КСИИ скорее всего получит долгожданный официальный статус (может быть с некоторой доработкой)". 

По инициативе Минкомсвязи, законопроект предлагает ввести отдельные нормы, регулирующие критическую инфраструктуру Интернета

К критической инфраструктуре российского национального сегмента сети «Интернет», относятся:
  • национальная доменная зона ru, .рф и инфраструктура, обеспечивающая ее функционирование;
  • системы точек обмена трафиком, критерии отнесения к которым устанавливаются федеральным органом исполнительной власти в области связи;
  • государственная информационная система обеспечения целостности, устойчивости и безопасности функционирования российской части сети «Интернет»;
  • инфраструктура автономных систем сети «Интернет», критерии отнесения к которым устанавливаются федеральным органом исполнительной власти в области связи.
По мимо этого законопроектом  наряду с дисциплинарной, гражданско-правовой и административной ответственностью предусматривается уголовная ответственность за нарушение законодательства о безопасности критической информационной инфраструктуры. В частности, законопроектом предлагается дополнить Уголовный кодекс РФ статьей 274.1 УК РФ об установлении уголовной ответственности "за создание и (или) распространение компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на критическую информационную инфраструктуру Российской Федерации, включая уничтожение, блокирование, модификацию, копирование информации, содержащейся в ней, или нейтрализацию средств защиты указанной информации"

2.  Стало известно, о том что,  Правительство  внесло в Госдуму законопроект о внесении новых поправок в ФЗ-149 "Об информации, информационных технологиях и о защите информации"


Предложенный к обсуждению законопроект предусматривает внесение изменений в требования о защите информации в государственных информационных системах (ГИС), требований о защите информации, содержащейся в иных информационных системах, в которых на основании договоров и иных законных основаниях содержится (обрабатывается) информация, обладателями которой являются государственные органы и государственные структуры (в ранней редакции - корпорации).
Таким образом, если соответствующая поправка таки будет принята,  это значительно расширяет сферу полномочий ФСТЭК, который теперь сможет требовать выполнения от госорганов 17-й приказ, вышедший еще в 2013 году. Так же  документ содержит обязательное требование информировать ведомственные центры мониторинга об  инцидентах ИБ (прим. - что особенно важно в свете последних событий связанных с атаками на финансовый сектор и гос органы).

Стоит заметить, что мимом гос органов под действие новых поправок (читай 17 приказа ФСТЭК) попадают, к примеру, банки, работающие с системой ГИС ГМП. По мимо описанного выше, по инициативе Минкомсвязи  проект  предполагает внесение изменений в Гражданский процессуальный кодекс РФ и в Кодекс РФ об административных правонарушениях (КоАП) в части введения новых норм, которые вводят три существенных новшества в части регулирования интернет-пространства.

Как комментирует сайт РосКомСвобода:


Во-первых, законопроектом предлагается ввести ограничение доступа к так называемым «зеркалам» заблокированных сайтов,
Во-вторых, операторов поисковых систем обяжут удалять из поисковой выдачи «сведений о сайте в сети «Интернет», позволяющем получить доступ к информации об объектах авторских и (или) смежных прав (кроме фотографических произведений и произведений, полученных способами, аналогичными фотографии), распространяемых в информационно-телекоммуникационных сетях, в том числе в сети «Интернет», или информации, необходимой для их получения с использованием информационно-телекоммуникационных сетей, которые распространяются без его разрешения или иного законного основания, доступ к которому ограничен на основании судебного решения».
В-третьих, вводится ответственность операторам связи в виде штрафов за публикацию на своих информационных системах «сведений о технических средствах и способах доступа к информации, доступ к которой должен быть ограничен»

3. В конце уходящего года стало известно, что Банк России разработал стандарт информационной безопасности при осуществлении переводов денежных средств, который начнет действовать с 1 января 2017 года. 


Данный стандарт устанавливает процедуры сбора и анализа технических данных при реагировании на инциденты, связанные с информационной безопасностью при осуществлении переводов денежных средств.  Документ затронет финансовые учреждения, которые выполняют функции операторов по переводу денежных средств или операторов услуг платежной инфраструктуры. По мнению разработчиков, положения нового Стандарта направлены на оптимизацию процесса сбора и обработки технических данных, обеспечение сохранности и неизменности собранной информации об инцидентах, связанных с информационной безопасностью при осуществлении переводов денежных средств, а также ее доступности, целостности и конфиденциальности в процессе дальнейшей обработки собранных технических данных.

По мнению участников рынка, подобный документ крайне важен, так как благодаря ему большее количество киберпреступлений в сфере хищения денежных средств с банковских счетов дойдет до суда.  "Уровень подготовки оперативных работников и следователей не всегда достаточен для понимания используемого механизма атаки. Приглашенные технические эксперты также не всегда могут установить перечень необходимых действий для фиксации свидетельств уголовно наказуемого деяния", - отметил Дмитрий Левиев, глава НП специалистов информационной безопасности, добавив, "..что в российских правоохранительных органах насчитывается не более тысячи специалистов, которые умеют работать с подобными преступлениями, и на каждого приходится около пяти преступлений в день". 

Издание "Коммерсант" отмечает, что новый стандарт является лишь частью глобальной работы ЦБ и правоохранительных органов по созданию едтиной законодательной  базы для борьбы с кибератаками. Предполагается, что эффект от введения стандарта в действие будет усилен поправками к Уголовному кодексу (УК), ужесточающими ответственность за киберпреступления, к прмиеру  уточнить составы киберпреступлений соответствующие "компьютерным статьям" УК (272, 273, 274) и передать ст. 159.6 (киберпреступления) из состава мошенничества в состав кражи (ст. 158).

4. 5 декабря 2016 года президент Владимир Путин утвердил обновленную Доктрину информационной безопасности Российской Федерации.  Новый 17-страничный документ заменил устаревшую редакцию от 2000 года.


Доктрина это основной официальный документ, фиксирующий ключевые моменты стратегии и определяющий главные информационные угрозы, а так же направления борьбы с ними. Доктрина была разработан в соответствии со стратегией национальной безопасности, которая была принята ровно год назад, в декабре 2015 года. 

Как указано в документе  главная угроза в масштабе страны это «отдельные государства», которые стремятся использовать технологическое превосходство для доминирования в информационном пространстве. Иностранные спецслужбы хотят дестабилизировать политическую и экономическую обстановку в России.  Чуть меньшую опасность  представляют зарубежные террористические и экстремистские организации.  Несколько слов сказано и о нашумевших хакерских атаках - злоумышленники они могут украсть деньги у банков или персональные данные у граждан.

И , на вскидку, что бросилось  в глаза:

1. Обновили и доработали термины: "национальные интересы Российской Федерации в информационной сфере", "угроза информационной безопасности Российской Федерации", "информационная безопасность Российской Федерации", "обеспечение информационной безопасности", "система обеспечения информационной безопасности", "информационная инфраструктура Российской Федерации".

2. Появилось формулировки про безопасность критической информационной инфраструктуры (КИИ) - см. выше

3. Большое внимание уделяется информационной войне в СМИ и деструктивному психологическому воздействию 
Внимание концентрируется на "масштабах использования средств оказания информационно-психологического воздействия, направленного на дестабилизацию внутриполитической и социальной ситуации" и "направленного на подрыв исторических основ и патриотических традиций, связанных с защитой Отечества" Так же затронут вопрос информационных вбросов и фезинформации через зарубежные СМИ -   "тенденции к увеличению в зарубежных средствах массовой информации объема материалов, содержащих предвзятую оценку государственной политики"

4. Особое внимание уделяется обеспечении ИБ в финансовом секторе
"Возрастают масштабы компьютерной преступности, прежде всего в кредитно-финансовой сфере.."

5.  Описываются преимущества информационно-коммуникационных технологий (ИКТ). Отмечается, что они «стали неотъемлемой частью всех сфер деятельности личности, общества и государства», что их «эффективное использование является фактором ускорения экономического развития и способствует формированию общества знания», а «информационная сфера играет важную роль в обеспечении политической стабильности в стране, обороны и безопасности государства».

6. Сделаны акценты на использование отечественного ПО, оборудования и политику импортозамещения.

Комментариев нет:

Отправить комментарий

Вы можете добавить свой комментарий...

Примечание. Отправлять комментарии могут только участники этого блога.