Журнал "Information Security/ Информационная безопасность" #2, 2020

Перечень сокращений и обозначений АСУ – автоматизированные системы управления ГИС – государственные информационные системы ИСПДн – информационные системы персональных данных КИИ – критическая инфор- мационная инфраструктура НДВ – недекларированные возможности ПДн – персональные данные УЗ – уровень защищенности В связи с пандемией коронавируса в марте 2020 г. регуляторы про- вели активную разъясни- тельную работу по пред- отвращению угроз информа- ционной безопасности. Далее представлена краткая сводка рекомендаций по деятельности в условиях пандемии от над- зорных органов. Роскомнадзор Роскомнадзор разъяснил осо- бенности использования тепло- визоров работодателями – опе- раторами персональных данных (далее – ПДн) с целью пред- отвращения распространения коронавируса 1 . Необходимо обратить внимание на то, что температура тела относится к специальным категориям ПДн, что накладывает дополнитель- ные обязанности по обработке такой информации. Поскольку меры по выявлению заболева- ния связаны с определением возможности выполнения тру- довых функций, согласие работ- ника на измерение температуры не требуется. ФСТЭК России ФСТЭК России разработала для субъектов критической информационной инфраструк- туры (далее – КИИ) рекоменда- ции по обеспечению безопас- ности объектов КИИ при реали- зации дистанционного режима исполнения работниками долж- ностных обязанностей 2 . Отме- чается, что предоставление уда- ленного доступа для управления режимами функционирования оборудования, входящего в состав автоматизированных систем управления, являющих- ся значимыми объектами КИИ, запрещено. В рекомендациях также приводится ряд мер по минимизации рисков возникно- вения угроз безопасности информации, обрабатываемой объектами КИИ при осуществ- лении удаленного доступа. Руководствоваться рекомендо- ванными мерами можно и не только во время пандемии. Национальный координационный центр по компьютерным инцидентам (НКЦКИ) НКЦКИ опубликовал уведом- ление об угрозах безопасности информации, связанных с пан- демией коронавируса 3 . НКЦКИ предупреждает об активном использовании злоумышленни- ками ситуации вокруг пандемии для осуществления широкого спектра вредоносной деятель- ности и публикует рекоменда- ции по противодействию угро- зам информационной безопас- ности. Специалисты НКЦКИ выделяют два типа вероятных угроз: 1. Мошенничество. 2. Угрозы, связанные с уда- ленным режимом работы. Стоит отметить, что данные угрозы актуальны не только в обстоятельствах пандемии, а значит руководствоваться реко- мендациями НКЦКИ можно и нужно не только в ее условиях. Банк России Банк России разработал и рекомендовал финансовым организациям меры по обес- печению киберустойчивости и информационной безопасности в условиях распространения коронавируса 4 . Кредитным и некредитным финансовым организациям при реализации удаленного доступа с использованием мобильных устройств рекомендовано: l применять технологии вирту- альных частных сетей; l применять многофакторную аутентификацию; l применять терминальный доступ (по возможности); l обеспечить мониторинг и контроль действий пользовате- лей удаленного доступа. 18 • ПРАВО И НОРМАТИВЫ Изменения в законодательстве на фоне пандемии COVID-19 Март-2020 мартовском обзоре 2020 года рассмотрим рекомендации регуляторов в области информационной безопасности в условиях пандемии коронавируса. Поговорим также о выдержках из давно ожидаемых требований к уровням доверия средств защиты информации ФСТЭК России и немного об СКЗИ, используемых в платежных системах. В Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности 1 https://rkn.gov.ru/news/rsoc/news72206.htm 2 https://fstec.ru/component/attachments/download/2713 3 https://safe-surf.ru/specialists/news/645362/ 4 https://www.cbr.ru/StaticHtml/File/59420/20200320_in-014-56_17.pdf