4 Мая, 2016

Немного изменений законодательства по ИБ за последнее время

Алексей Лукацкий
За последнее время произошло несколько изменений на нормотворческой ниве, которые я решил свести воедино:
  • Законопроект, о котором я писал , и который вносил правки в ФЗ-152, наделяя РКН правом выпускать документы по порядку проведения надзора и контроля, удалили  с сайта regulations.gov.ru. От слова совсем! Так до сих пор законность деятельности РКН по надзору в сфере ПДн и висит в воздухе - оснований для проведения проверок у них как не было, так и нет.
  • Законопроект , о котором говорилось на конференции ФСТЭК и который, за счет изменений ст.16 ФЗ-149, расширяет сферу действия требований ФСТЭК не только на ГИС, но и на остальные информационные системы, обрабатывающие информацию, обладателями которой являются госорганы и госкорпорации (например, Ростех, Росатом или Роскосмос). Помимо этого, данный законопроект устанавливает обязательное требование информировать ФСТЭК и ФСБ об инцидентах в госорганах и госкорпорациях. Это будет третий случай в российской истории, когда на законодательном уровне устанавливается необходимость сообщать об инцидентах ИБ (после требований ЦБ в рамках НПС и требований для объектов ТЭК).
  • Банк России ввел  в действие с 1-го мая 2016 года новые рекомендации  по стандартизации, посвященные выявлению и предотвращению утечек информации (РС 2.9).
  • Банк России начал процедуру рассмотрения новых рекомендаций по стандартизации "Квалификационные требования к специалистам по информационной безопасности организаций кредитно-финансовой сферы Российской Федерации". Интересно, что в первоначальном плане работ ТК122 этого документа не было. Как и документа "Обеспечение длительного архивного хранения электронных юридически значимых документов с сохранением свойств аутентичности, целостности, достоверности, пригодности для использования и юридической значимости", проект которого тоже уже подготовлен.
  • Нашумевший законопроект  Яровой о хранении всех данных по всем пользователям на территории России в течение 3-х лет. Понятно, что законопроект разработан для борьбы с терроризмом (а с чем же еще?). Понятно, что депутаты мало понимают в предмете регулирования. Посмотрим, что будет принято в финале.
  • ФСБ приказом №182  (в Консультант+ ) утвердила Административный регламент по лицензионному контролю тех, кто разрабатывает, производит и распространяет шифровальные средства.
  • PCI Council принял все-таки новый PCI DSS 3.2. Изменения  не то, чтобы значительные, но судя по ним можно сделать вывод, что 4-й версии PCI DSS ждать раньше 2018-го года уже не придется.
Вот как-то так...