27.12.17

Список НПА по ИБ, принятых в 2017-м году и готовящихся к принятию в 2018-м

Продолжая подведение итогов, свел в единой заметке все нормативно-правовые и нормативные акты, которые появились в 2017-м году; как в виде уже принятых документов, так и в виде проектов, которые будут приняты в году 2018-м (исключая электронную подпись и Интернет-тематику - мессенджеры, анонимайзеры, VPN и т.п.). Начну я с двух документов, которые были приняты еще в 2016-м, а в 2017-м году вступили в силу. Таких нормативных актов я бы отметил два:
  1. Закон о внесении изменений в КоАП в части увеличения размера штрафов за нарушение законодательства по персональным данным, а также изменения правил назначения  (полномочия от прокуратуры перешли к РКН) и расчета (кумулятивная сумма может превышать даже максимум по GDPR) этих штрафов.
  2. Вступило в силу ПП-541 о лицензировании деятельности по технической защите конфиденциальной информации, в котором впервые в России была установлена обязанность получать лицензию для всех SOCов, предоставляющих услуги внешним лицам (даже в рамках холдингов или групп компаний). На мой взгляд это отбросит эту сферу назад, так и не дав ей нормально развиться и перенять лучшие мировые практики в деле SOCостроительства.


Из принятых документов я бы отметил:
  1. ЦБ разработал и через ТК122 провел новый ГОСТ по базовым мерам защиты информации в финансовых организациях, который не только знаменут собой новый подход к ИБ в финансовой отрасли (гибкий выбор защитных мер против жестко зафиксированного, три уровня защищенности против одного для всех), но и стал первой ласточкой в наборе из двух десятков новых стандартов, которые Банк России запланировал разработать в ближайшие годы.
  2. ФСБ стала инициатором трех законов, ставших основой нового законодательства по безопасности критической информационной инфраструктуры. Речь идет о ФЗ-187, ФЗ-193 и ФЗ-194, которые, соответственно, устанавливают основные требования по безопасности, вводят уголовную ответственность за несоблюдение правил доступа к КИИ и атаки на них, а также вносят ряд изменений в иные законодательные акты в связи с принятием ФЗ-187. Во исполнение этих законов должно быть разработано около 20-ти нормативных актов, большая часть из которых разработана, но еще не принята (это произойдет не раньше конца января - середины февраля - Минюст просто не успеет раньше все оценить). Про это я еще буду писать в будущем не раз, так что сильно погружаться в эту тему не буду; хотя по некоторым темам я уже проходился (тут, тут, тут, тут, тут и тут). 
  3. Указ Президента РФ №569 по наделению ФСТЭК полномочиями по регулированию вопросов безопасности КИИ, а также снятию с нее полномочий по регулировании вопросов безопасности КСИИ. Ресурсов для реализации новых полномочий, правда, не добавили.
  4. Указ Президента №620 по совершенствованию ГосСОПКИ и возложению на ФСБ функций регулятора в области ГосСОПКИ, что требовалось для реализации ФЗ-187 и выпуска ФСБ соответствующих нормативных актов. Также данный Указ возложил на ФСБ часть функций по защите (криптографическими методами) суперкомпьютерных и грид-технологий. Это интересное дополнение, которое еще требует отдельного осмысления.
  5. Методические рекомендации ФСБ по созданию ведомственных и корпоративных центров ГосСОПКИ (тут, тут и тут). 
  6. Два Указа Президента, №169 и №308, вносящих изменения в Указ Президента №1203 о перечне сведений, составляющих гостайну. Скоро в него и еще внесут изменения, в связи с принятием ФЗ-187, в котором, сведения о мерах обеспечения безопасности в КИИ отнесены также к гостайне.
  7. Распоряжение Правительства №1632 по программе "Цифровая экономика". Я про это уже писал (тут, туттут и тут) - повторяться не буду. Не взлетит она.
  8. Постановление Правительства №555 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации", которое целиком и полностью посвящено вопросам защиты информации.
  9. ФСТЭК в феврале выпустила 31-й приказ по мерам защиты информации в ОПК. Это вообще анекдотичная тема - выпустить приказ с тем же номером и почти теми же объектами защиты (АСУ ТП), но в другой сфере экономики (оборонно-промышленный комплекс). Документ закрытый - комментировать не буду.
  10. ФСТЭК внесла косметические изменения в 17-й приказ по защите ГИС, синхронизировав его с другими НПА и сложившейся практикой защиты государственных и муниципальных информационных систем.
  11. ФСТЭК внесла также косметические изменения в 21-й и 31-й приказы по защите ИСПДн и АСУ ТП.
  12. Президент подписал "Стратегия развития информационного общества", на фундаменте которой базируется "Цифровая экономика". Побуду скептиком, но думаю, что и этот вымученный людьми, далекими от ИТ, документ не взлетит.
  13. Евросоюз принял новый свод требований по защите персональных данных (GDPR), который распространяется и на российские компании, работающие с ПДн граждан Евросоюза. И хотя РКН осенью заявил, что как раз на отечественные предприятия GDPR не распространяется, я бы РКН не верил (их знание законодательства оставляет желать лучшего). Как минимум, стоит напрячься тем компаниями, которые имеют представительства в Европе или активно работают с европейскими компаними.
  14. ФСБшный ТК26 разработал и провел через Росстандарт больше 5 рекомендаций по стандартизации в области криптографической защиты информации (особоенно интересна не разработчикам вот эта, принятая вчера).
  15. 29 декабря Президент подписал закон об удаленной, читай, биометрической, идентификации клиентов финансовых организаций, за которым последуют и нормативные акты самого ЦБ. Банковским безопасникам стоит готовиться в этом вопросе - он может очень быстро стать актуальным, а может быть и обязательным (как "Мир", НСПК и иже с ними).
Ну и, наконец, последняя порция нормативных актов, работа над которыми началась (а местами уже и закончилась), но они еще не были приняты:
  1. ЦБ подготовил ГОСТ по оценке соответствия в пару с уже принятым ГОСТом 57580.1. Он уже согласован в ТК122 и отправлен в Росстандарт для прохождения официальной процедуры принятия.
  2. Также Банк России разработал стандарт по рискам кибербезопаснсти при использовании аутсорсинга. Он прошел уже несколько итераций и должен быть принят в самое ближайшее время.
  3. Финансовый регулятор также разработал новую редакцию 382-П, о которой я уже писал, и которая вводит ряд новых ключевых требований по ИБ (разделение контуров, оценка соответствия платежных приложений, оперативное уведомление об инцидентах, применение сертифицированных СКЗИ для защиты ПДн). Документ сейчас проходит согласование в ФСБ и должен быть принят в самое ближайшее время, чтобы вступить в силу с лета или, в крайнем случае, с осени 2018-го года. Кстати, ссылок на ГОСТ 57580.1 в нем не будет - это будет в следующей версии.
  4. В пару с новой редакцией 382-П подготовлена и новая редакция 2831-У, которая знаменует собой окончательный переход на новую стратегию уведомления об инцидентах и состоянии защищенности финансовых организаций.
  5. В Госдуму было внесен еще один законопроект, имеющий прямое отношение к ЦБ и ИБ. Речь идет о нормативном акте (есть две версии - аксаковская, майская, и правительственная, октябрьская), который не только устанавливает новые правила по борьбе с мошенничеством, ведение базы инцидентов, немедленное уведомление о мошеннических операциях, но и наделяет ЦБ полномочиями по выработке требований по защите информации не только в рамках НПС, но и для всех остальных финансовых организаций. В январе его должны рассмотреть в первом чтении депутаты.
  6. Минкомсвязь в декабре подготовил проект внесения изменений в Приказ №1, посвященный защите от несанкционированного доступа на сетях связи. Посмотрим, что там будет и как операторы будут его выполнять. Раньше они не особо стремились к этому, да и РКН (а именно он надзорный орган по ИБ для операторов связи) не особо проверял его исполнение занимаясь более насущными задачами (блокировки, защита детей, регулирование спектра, работа с матом в СМИ и т.п.).
  7. В рамках реализации ФЗ-187 Правительство готовит проект своего постановления по категорированию объектов КИИ. На данную процедуру выделяется полтора года с момента принятия НПА (не реньше января, а то и февраля), по итогам которых вы получите список значимых объектов, на которые и будут распространяться требования по защите ФСТЭК.
  8. Проект Постановления Правительства об утверждении порядка подготовки и использования ресурсов единой сети электросвязи для обеспечения функционирования значимых объектов КИИ устанавливает правила присоединения значимых объектов к сетям связи (в нем тоже немало интересного).
  9. Проект Постановления Правительства о порядке осуществления государственного контроля в области обеспечения безопасности значимых объектов КИИ.
  10. ФСТЭК в свою очередь подготовила и уже выложило для ознакомления несколько проектов приказов:
    • Требования к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования
    • Требования по обеспечению безопасности значимых объектов КИИ
    • Об утверждении формы акта проверки, составляемого по итогам проведения госконтроля в области обеспечения безопасности значимых объектов КИИ.
    • Об утверждении порядка ведения реестра значимых объектов КИИ
  11. ФСБ также подготовила и выложила вчера для ознакомления ряд проектов приказов в рамках своей деятельности (борьба с атаками и реагирование на инциденты):
    • Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации
    • Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения
    • О Национальном координационном центре по компьютерным инцидентам (НКЦКИ)
  12. ФСТЭК готовит в первом квартале проект своего приказа «Об утверждении Положения о сертификации средств защиты информации по требованиям безопасности информации».
  13. Будет принято еще некоторое количество документов в части международной ИБ. Тут и всяческие двусторонние соглашения по ИБ, и блоковые документы. Одним из таких станет проект распоряжения Правительства Российской Федерации «Об одобрении проекта программы Союзного государства «Совершенствование системы защиты информационных ресурсов Союзного государства и государств-участников Договора о создании Союзного государства в условиях нарастания угроз в информационной сфере» («Паритет»), который готовит ФСТЭК.
ОБНОВЛЕНИЕ от 30.12.17:
  1. Законопроект о внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях, вводящий наказание не только для обработчиков ПДн, но и для операторов ПДн за действия обработчиков ПДн.
  2. Проект приказа Минкомсвязи об утверждении порядка, технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов КИИ.
Число сопоставимо с тем, что было в 2016-м году Есть, что поизучать и применить (или обосновать отсутствие необходимости применять). Кстати, обратите внимание, что из планируемых к принятию в 2017-м году, половина так и не была принята - либо документ был внесен и завис в Госдуме, либо по нему до сих пор идут споры среди ведомств и экспертного сообщества.


ЗЫ. Допускаю, что что-то упустил. Буду рад, если сможете в комментариях дополнить - я внесу в список.

16 коммент.:

Александр комментирует...

Про 31-й приказ - Вы не совсем правы про тот же номер. В 2017-м году приказ № 31 - единственный. То, что при ссылках на документ забывают указывать год принятия - проблема не выпустивших документ, а ссылающихся на него.

Алексей Лукацкий комментирует...

Я не ошибаюсь. ФСТЭК приняла 2 приказа на одну тему с одним номером. Да, в разные годы (я бы сильно удивился, если бы в один). И это вводит путаницу у тех, кто попадает под действие двух приказом или у интеграторов/вендоров, когда заказчик у них спрашивает про 31-й приказ. Это именно косяк регулятора.

Unknown комментирует...

подскажите, пожалуйста, чем подтверждается данная фраза: "кумулятивная сумма может превышать даже максимум по GDPR"?

Алексей Лукацкий комментирует...

Elena: согласно формулировке текущей редакции ст.13.11 наказание может воспоследовать за нарушение в отношении КАЖДОГО субъекта. Умножайте число субъектов на сумму штрафа и получаете кумулятивную сумму выше 20 миллионов евро

Unknown комментирует...

спасибо!

Sonar Station комментирует...

http://government.ru/news/

Готовятся, в частности, изменения в 126-ФЗ "О связи" - обеспечение целостности, устойчивости и безопасности функционирования российского сегмента сети Интернет; а также определения полномочий федеральных органов исполнительной власти по блокированию противоправного контента, введения понятия государственной информационной системы обеспечения целостности, устойчивости и безопасности функционирования российского сегмента сети "Интернет", а также введения понятийного аппарата терминов и определений информационной безопасности в условиях цифровой экономики.

В целом - обещано установление "правового статуса российского сегмента сети "Интернет"

Алексей Лукацкий комментирует...

Это законопроект еще предыдущего года, 2016-го. Но по нему идут большие споры до сих пор

Sonar Station комментирует...

А не уточните, между кем и кем, и по какому поводу идут споры?

Алексей Лукацкий комментирует...

Экспертное сообщество, Минкомсвязь, Отурытое правительство, операторы, регистраторы...

Sonar Station комментирует...

Спасибо!

Олег Сафрошкин комментирует...

Алексей, добрый день!
Подскажите, пожалуйста, а слышно что - нибудь про "Требования безопасности информации к средствам виртуализации", которые ФСТЭК планировал утвердить в 2017 году?

Алексей Лукацкий комментирует...

Пока не слышно - ФСТЭК загружена КИИшными документами. Думаю, 14-го февраля на конфе ФСТЭК можно будет уточнить этот вопрос

Олег Сафрошкин комментирует...

Ясно, спасибо!

Unknown комментирует...

Здравствуйте, Алексей. Подскажите пожалуйста, есть ли информация, кто будет являться регулятором КСИИ в свете "Указ Президента РФ №569"? И какими методическими документами необходимо пользоваться при разработке модели угроз для объектов КИИ, если их разработка не запланирована?
Вопрос возник т.к. в проекте приказа ФСТЭК "Об утверждении требований по обеспечению безопасности..." в пункте 12.1 указано "Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. № 1085."

Алексей Лукацкий комментирует...

По КСИИ - никто. Тема умерла
Моделировать угрозы можно по любым документам - ограничений нет.

Unknown комментирует...

Спасибо большое.