25 Июля, 2016

О нововведениях в сфере защиты данных

«БАРС Груп»
«БАРС Груп» является одним из провайдеров информатизации российского общества, на счету компании множество успешно выполненных проектов в различных сферах деятельности. Одним из факторов, сдерживающих темпы развития информатизации, является возрастающее число угроз, в связи с чем приоритетное значение при разработке информационных систем имеют вопросы защиты данных.  

Обеспечение информационной безопасности при реализации проектов, направленных на обработку государственных электронных ресурсов, должно носить комплексный характер . Такая работа должна базироваться на требованиях и рекомендациях, изложенных в нормативно-правовых документах по защите информации. Методические документы, приказы регуляторов подлежат регулярному пересмотру на соответствие вызовам, с которыми приходится сталкиваться в информационном пространстве. Необходимость обновления документации назрела давно, и регуляторы работают над её актуализацией: создаются профильные экспертные группы, проводятся публичные обсуждения проектов документов.

Так, ФСТЭК России готовит к публикации новую редакцию Приказа №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Проект новой редакции уже готов, и вот какие изменения планируются:

1. Перенос определения угроз безопасности данных со стадии «Формирование требований к защите информации, содержащейся в информационной системе» на стадию «Разработка системы защиты информации информационной системы».  
2. Добавление пяти новых документов, определяющих правила и процедуры политики защиты информации.
3. Ввод трехуровневой классификации средств криптографической защиты информации (СКЗИ) и защищенности информационной системы (где третий – самый низкий, первый – наиболее высокий).
4. Установление требования, согласно которому в информационных системах всех классов должны применяться средства защиты информации, программное обеспечение которых соответствует минимум четвёртому уровню контроля отсутствия недекларированных возможностей (в текущей версии приказа данное требование предъявляется к информационным системам первого и второго классов защищённости).
5. Увеличение состава мер защиты информации на девять новых блоков: o «Управление потоками информации»; o «Защита информации при использовании мобильных устройств»; o «Безопасная разработка программного обеспечения»; o «Управление обновлениями программного обеспечения»; o «Планирование мероприятий по обеспечению защиты информации»; o «Информирование и обучение персонала»; o «Анализ угроз безопасности информации и рисков от их реализации»; o «Выявление инцидентов и реагирование на них»; o «Управление конфигурацией информационной системы и её системы защиты информации».

Эти изменения направлены на противодействие актуальным угрозам, а также на гармонизацию приказа №17 с принятыми ранее руководящими документами и нормативно-правовыми актами.  

В свою очередь, ФСБ России разместила на своем сайте актуальные нормативно-методические документы в области обеспечения безопасности персональных данных. Также служба опубликовала извещение по вопросу использования несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет» (информация представлена на официальном сайте ведомства). Оно вносит ясность относительно использования средств шифрования при передаче электронных сообщений в Интернете. Стоит отметить, что применение несертифицированных решений возможно далеко не во всех системах: рядом нормативно-правовых актов, в целях безопасности информации, предписывается обязательное использование сертифицированных решений.

Например, в Приказе ФСБ № 378 от 10 июля 2014 года указано, что используемые средства защиты информации должны предварительно проходить процедуру оценки на соответствие требованиям законодательства Российской Федерации в области обеспечения безопасности информации. Подтверждение классов СКЗИ осуществляется через процедуру сертификации.  

Как видим, регуляторы ведут колоссальную работу, направленную на обеспечение комплексной защиты информации. Следующий шаг – за лицензиатами и операторами, которым предстоит адаптировать новые требования к существующим системам.