04.05.2016

Немного изменений законодательства по ИБ за последнее время

За последнее время произошло несколько изменений на нормотворческой ниве, которые я решил свести воедино:
  • Законопроект, о котором я писал, и который вносил правки в ФЗ-152, наделяя РКН правом выпускать документы по порядку проведения надзора и контроля, удалили с сайта regulations.gov.ru. От слова совсем! Так до сих пор законность деятельности РКН по надзору в сфере ПДн и висит в воздухе - оснований для проведения проверок у них как не было, так и нет.
  • Законопроект, о котором говорилось на конференции ФСТЭК и который, за счет изменений ст.16 ФЗ-149, расширяет сферу действия требований ФСТЭК не только на ГИС, но и на остальные информационные системы, обрабатывающие информацию, обладателями которой являются госорганы и госкорпорации (например, Ростех, Росатом или Роскосмос). Помимо этого, данный законопроект устанавливает обязательное требование информировать ФСТЭК и ФСБ об инцидентах в госорганах и госкорпорациях. Это будет третий случай в российской истории, когда на законодательном уровне устанавливается необходимость сообщать об инцидентах ИБ (после требований ЦБ в рамках НПС и требований для объектов ТЭК).
  • Банк России ввел в действие с 1-го мая 2016 года новые рекомендации по стандартизации, посвященные выявлению и предотвращению утечек информации (РС 2.9).
  • Банк России начал процедуру рассмотрения новых рекомендаций по стандартизации "Квалификационные требования к специалистам по информационной безопасности организаций кредитно-финансовой сферы Российской Федерации". Интересно, что в первоначальном плане работ ТК122 этого документа не было. Как и документа "Обеспечение длительного архивного хранения электронных юридически значимых документов с сохранением свойств аутентичности, целостности, достоверности, пригодности для использования и юридической значимости", проект которого тоже уже подготовлен.
  • Нашумевший законопроект Яровой о хранении всех данных по всем пользователям на территории России в течение 3-х лет. Понятно, что законопроект разработан для борьбы с терроризмом (а с чем же еще?). Понятно, что депутаты мало понимают в предмете регулирования. Посмотрим, что будет принято в финале.
  • ФСБ приказом №182 (в Консультант+) утвердила Административный регламент по лицензионному контролю тех, кто разрабатывает, производит и распространяет шифровальные средства.
  • PCI Council принял все-таки новый PCI DSS 3.2. Изменения не то, чтобы значительные, но судя по ним можно сделать вывод, что 4-й версии PCI DSS ждать раньше 2018-го года уже не придется.
Вот как-то так...

2 коммент.:

Andrew Tarasov комментирует...

Законопроект, который вносил правки в ФЗ-152, наделяя РКН правом выпускать документы по порядку проведения надзора и контроля не удален. У проекта видимо сменили номер.
Сейчас проект здесь: http://regulation.gov.ru/projects#npa=47123

Alexey Muntyan комментирует...

Этот законопроект не наделяет РКН правом определять порядок надзора по ПДн. Это право закреплено за Минкомсвязью: "Уполномоченным органом, ответственным за установление порядка осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов, является федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных".