Журнал "Information Security/ Информационная безопасность" #5, 2019

согласие дается в электронной форме), путем включения в согласие адреса сайта оператора в сети Интернет, содер- жащего информацию об этих лицах. При этом оператор обязан информи- ровать субъекта ПДн о внесении изме- нений в сведения о лицах, осуществ- ляющих обработку по поручению. Сле- дует обратить внимание, что указанная норма позволяет корректировать именно сведения о тех лицах, на передачу ПДн которым уже дано согласие субъектом, а не добавлять новых. Сбор и хранение по закону Законопроект № 729516-7 "О внесении изменений в КоАП (об установлении административной ответственности за невыполнение оператором при сборе ПДн граждан Российской Федерации обя- занности по обеспечению их хранения с использованием баз данных, находя- щихся на территории Российской Феде- рации)" 3 10 сентября 2019 г. принят в пер- вом чтении, и в октябре в него должны были внести необходимые правки. На данный момент штрафы, предла- гаемые проектом закона, доходят до 18 млн руб. для юридических лиц в слу- чае повторного невыполнения обязан- ности по сбору ПДн граждан РФ с использованием баз данных, находя- щихся на территории РФ. Дополнения в состав ЕБС Постановлением Правительства РФ от 13 сентября 2019 г. № 1197 4 внесены изменения в состав "Сведений, разме- щаемых в единой информационной системе персональных данных, обес- печивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу инфор- мации о степени их соответствия предо- ставленным биометрическим персональ- ным данным гражданина Российской Федерации, включая вид биометриче- ских персональных данных", утвержден- ных постановлением Правительства РФ от 30 июня 2018 г. № 772. Таким образом в состав сведений Единой биометрической системы (ЕБС) добавлены контактные данные физиче- ского лица (номер мобильного телефона, адрес электронной почты). Ранее в ЕБС были включены только: l биометрические ПДн (фото и запись голоса); l идентификаторы того, кто разместил в ЕБС данные о физическом лице; l сведения о регистрации физического лица в ЕСИА (Единая система иденти- фикации и аутентификации). Нововведения в сфере ГИС Приказ Федеральной службы по тех- ническому и экспортному контролю от 28.05.2019 г. № 106 5 "О внесении изме- нений в Требования о защите информа- ции, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержден- ные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17" официально опубликован 16 сентября 2019 г. и всту- пил в силу с 27 сентября 2019 г. Приказ вносит изменения в правила проектирования, ввода в эксплуатацию и эксплуатации государственных инфор- мационных систем (ГИС). Большой блок уточнений привносится для ГИС, функ- ционирующих на базе центров обработки данных (ЦОД), но также затрагивается и непосредственное обеспечение инфор- мационной безопасности в ходе экс- плуатации ГИС. ГИС и ЦОД Если оператором ГИС планируется перенос инфраструктуры полностью или даже частично на мощности ЦОД, то необходимо обратить внимание на сле- дующие требования: l класс защищенности ГИС не может быть выше класса защищенности ЦОД. Необходимо понимать, что для потенци- ального ЦОД должен быть определен класс защищенности и ЦОД должен быть аттестован; l при моделировании угроз безопасно- сти информации, обрабатываемой в ГИС, в модели угроз должны быть учте- ны и угрозы, актуальные для ЦОД; l в случае создания ГИС, функциони- рование которой предполагается на базе ЦОД, дополнительно необходимо опре- делить требования по защите информа- ции для ЦОД; l для блокирования угроз безопасности информации, обрабатываемой в ГИС, можно использовать меры защиты, уже реализованные в ЦОД (если такие имеются); l средства защиты информации (СрЗИ), устанавливаемые в ГИС, должны быть совместимы между собой и со СрЗИ, установленными в ЦОД. Правила аттестации Аттестационные испытания могут быть совмещены с проведением приемочных испытаний ГИС. Аттестат соответствия выдается на весь срок эксплуатации ГИС, но оператор дол- жен поддерживать соответствие системы защиты аттестату в рамках реализации мероприятий по обеспечению защиты в ходе эксплуатации. При этом актуальной становится проблема с тем, что иные нормативные документы устанавливают конкретный срок действия аттестата. В приказе № 17 есть указание о при- менении для проведения аттестации национальных стандартов, а также мето- дических документов, разработанных и утвержденных ФСТЭК России. К ним относятся ГОСТ РО 0043-003–2012 "Атте- стация объектов информатизации. Общие положения", ГОСТ РО 0043-004–2013 "Программа и методики аттестационных испытаний", в которых установлен кон- кретный срок, исчисляемый в годах. К методическим документам можно также отнести Положение по аттестации объ- ектов информатизации по требованиям безопасности информации Гостехкомис- сии от 25 ноября 1994 г. (актуально до сих пор), в котором прописано, что атте- стат соответствия выдается на срок не более трех лет. • 15 ПРАВО И НОРМАТИВЫ www.itsec.ru Было Стало l Управление (администрирование) l Планирование мероприятий по защите системой защиты информации информации в информационной системе информационной системы l Анализ угроз безопасности информации l Выявление инцидентов в информационной системе и реагирование на них l Управление (администрирование) l Управление конфигурацией аттесто- системой защиты информации ванной информационной системы информационной системы и ее системы защиты информации l Управление конфигурацией l Контроль (мониторинг) за обеспечением информационной системы уровня защищенности информации, и ее системой защиты информации содержащейся в информационной l Реагирование на инциденты системе l Информирование и обучение персонала информационной системы l Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе Таблица. Изменения в обязательных мероприятиях по защите информации в ГИС в ходе эксплуатации 3 https://sozd.duma.gov.ru/bill/729516-7#bh_histras 4 http://publication.pravo.gov.ru/Document/View/0001201909160024 5 https://rg.ru/2019/09/18/fstek-prikaz106-site-dok.html

RkJQdWJsaXNoZXIy Mzk4NzYw