дайджест ИБ-новостей

Главные новости и изменения законодательства в сфере ИТ и ИБ за 2021 год

Изменения в области защиты ПДн:

1) Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 10.09.2021 № 930 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации»

(Зарегистрирован 28.10.2021 № 65621)

2) Зарубежные ИТ-компании, работающие в российском сегменте сети «Интернет», теперь обязаны открывать на территории России свои филиалы и представительства

в соответствии с федеральным законом от 01.07.2021 N 236-ФЗ «О деятельности иностранных лиц в информационно-телекоммуникационной сети «Интернет» на территории Российской Федерации».

Данный закон установил правовые основы деятельности зарубежных юридических лиц, иностранных организаций, не являющихся юридическими лицами, а также иностранных граждан, лиц без гражданства, осуществляющих деятельность в сети «Интернет» на территории РФ, включая полномочия органов государственной власти РФ, а также права и обязанности лиц, участвующих в указанной деятельности или пользующихся услугами (результатами) такой деятельности.

Под иностранным лицом, осуществляющим деятельность в сети «Интернет» на территории РФ, понимается иностранное лицо, осуществляющее любую деятельность, не запрещенную на территории РФ, осуществляемую при условии, что иностранное лицо является владельцем сайта в сети «Интернет», и (или) страницы сайта в сети «Интернет», и (или) информационной системы, и (или) программы для электронных вычислительных машин, доступ к которым в течение суток составляет более пятисот тысяч пользователей, находящихся на территории РФ, а также при одном из следующих условий:

на информационном ресурсе иностранного лица предоставляется и (или) распространяется информация на государственном языке РФ, государственных языках республик в составе РФ или иных языках народов РФ;

на иностранном ресурсе иностранного лица распространяется реклама, направленная на привлечение внимания потребителей, находящихся на территории РФ;

иностранное лицо осуществляет обработку сведений о пользователях, находящихся на территории РФ;

иностранное лицо получает денежные средства от российских физических и юридических лиц.

Перечисленные выше владельцы информационных ресурсов для работы в РФ должны будут создать филиалы или открыть представительства, или учредить российские юридические лица, которые должны в полном объеме представлять интересы головных компаний и являться основным каналом взаимодействия российских регуляторов с ними на территории России.

Такие обязанности также будут распространяться на провайдеров хостинга, операторов рекламных систем и организаторов распространения информации в сети «Интернет».

Новости из сферы ИТ и ИБ

1)По заявлению Google, 35 000 пакетов Java подвергаются риску из-за уязвимости Log4j 

Специалисты Google провели сканирование Maven Central, одного из крупнейших хранилищ пакетов Java. По итогам сканирования было найдено, что 35 863 пакетов работают на уязвимых версиях библиотеки Log4j. 

Эксперты Google заявили, что обычно каждая выявленная  уязвимость затрагивает не более 2% содержимого Maven Central. Тем не менее, 35 000 уязвимых перед Log4Shell пакетов — это уже 8% от всего Maven Central. По словам экспертов, этот объем 8% — это огромная цифра.

Со слов экспертов, проблема Log4Shell, скорее всего, не будет исправлена ​​полностью в ближайшие годы. Из-за завязки Log4j на большом количестве взаимозависимостей, разработчикам уязвимых пакетов приходится ждать, когда другие разработчики обновят свои приложения, и в этом случае сроки тянутся на недели и месяцы.

2) Минздрав планирует разработку концепции информационной безопасности в области здравоохранения

Александр Дубасов, советник директора ФГБУ «Федеральный ресурсный центр по информатизации и технологическому развитию» Минздрава России на сессии ПМЮФ 9 ¾ «Умеют ли роботы хранить секреты? Врачебная тайна в эпоху глобальной цифровизации» заявил, что ведомство планирует создание концепции информационной безопасности в здравоохранении.

По словам Дубасова, концепция будет отражать подходы, принципы и требования по обеспечению защиты информации в медицинских информационных системах. Также он сказал, что ИБ не стоит сужать только до ИТ-технологий, и новый отраслевой документ как-раз и будет расширять это понятие, уделяя внимание «технической защите, повышению культуры медработников и технических работников, которые работают с информационными системами, подготовке кадров».Также, как заявил советник директора ФГБУ, внимание будет уделяться  правовому обеспечению информационной безопасности в сфере здравоохранения.

3) ФСТЭК утвердила новую методику оценки угроз

ФСТЭК подписала новый отраслевой документ, определяющий методику оценки угроз безопасности информации 5 февраля 2021г. Нововведение открыло новые возможности для специалистов сферы ИБ, анализирующих потенциальные угрозы для важных объектов информационной инфраструктуры.

Ранее для определения потенциальных угроз безопасности информации применяли одну из двух методик 2008 и 2007 годов соответственно:

  • методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры.

Оба этих отраслевых документа имеют слишком узкую специализацию, ограничивают область работы с различными типами объектов и во многом уже не актуальны в 2021 году.

Новая методика более универсальна и работает со следующими типами объектов:

  • информационные системы (ИС);
  • автоматизированные системы управления;
  • информационно-телекоммуникационные сети;
  • информационно-телекоммуникационные инфраструктуры центров обработки данных;
  • облачные инфраструктуры.

Также методика применима для следующих областей:

  • информационные системы персональных данных;
  • информационные системы управления производством, используемые организациями оборонно-промышленного комплекса;
  • муниципальные и государственные ИС;
  • значимые объекты критической информационной инфраструктуры РФ;
  • критически важные, потенциально опасные объекты с автоматизированными системами управления производственными и технологическими процессами.

Главные достоинства новой методики:

– универсальность;

– для выполнения каждого из подэтапов оценки угроз есть наглядные примеры;

– рекомендации о применении экспертного метода;

оценка негативных последствий угроз в приоритете.

4) Техника на иностранных чипах может быть признана российской

Минпромторг работает над поправками к постановлению, которое определяет критерии российской продукции для госзакупок. По итогу принятых поправок органам власти и госкомпаниям могут разрешить закупать системы хранения данных, серверы, компьютеры, ноутбуки и прочее оборудование на иностранных процессорах. Тем не менее, по словам чиновников, преимущества на госзакупках будет получать именно отечественное оборудование.

С 1 января 2021 года госорганы, госкомпании и операторы сотовой связи должны закупать системы хранения данных на российских процессорах, а уже с 1 января 2022 года эти нормы импортозамещения распространяются и на серверы, настольные компьютеры, принтеры, материнские платы и другую технику.

Тем временем в письме подведомственного Минпромторгу Мытищинского научно-исследовательского института радиоизмерительных приборов говорится, что в реестр отечественного оборудования может попасть техника на иностранных процессорах вроде Intel и IBM. Таким образом, оно сможет претендовать не только на участие в госзакупках, но и на квотирование и господдержку.

5) Google получила штраф от РФ на 7,2 млрд. рублей

 24 декабря Таганский суд Москвы выписал компании Google штраф на 7,221 млрд. рублей. Штраф установлен в соответствии с годовым оборотом компании на территории РФ. Эти денежные санкции введены из-за систематического неудаления запрещенного российским законодательством контента. Роскомнадзор сообщил, что Гугл не удалил примерно 2600 материалов с запрещенным контентом, который сейчас находится в свободном доступе. Общий размер штрафов Google в РФ за неудаление запрещенной информации – 37,5 млн. рублей.

В Роскомнадзоре также заявляли о том, что множество иностранных интернет-сервисов, в том числе YouTube, Instagram, Facebook, игнорируют требования властей РФ по удалению запрещенной информации, что в будущем повлечет за собой штрафы, оцениваемые в миллиарды рублей. 

Представитель корпорации Google, в свою очередь, заявил, что решение суда будет тщательно изучено и далее будут определены последующие шаги. 

В октябре 2021 года представитель Гугла также заявлял, что корпорация решила выплатить все штрафы, назначенные российским судом. 

6) В процессорах Intel найдена уязвимость, которую можно использовать для шпионажа

В ряде серий процессоров Intel найдено слабое место, которое позволяет злоумышленникам активировать отладочный режим их работы. По словам специалистов Positive Technologies, в этом режиме с устройств на базе процессоров Intel можно извлечь данные, а также встроить в них шпионские программы. Уязвимые процессоры применяются в устройствах интернета вещей, нетбуках  и даже в автомобилях. Эксперты пока не сталкивались на практике со случаями использования данной и подобной ей сложных уязвимостей на практике. Эффективнее всего защититься от этого можно, по мнению специалистов, просто заменой прежних устройств на решения с другими процессорами.

Эксперт Positive Technologies Марк Ермолов также заявил что, с технической точки зрения уязвимость обусловлена «наличием избыточно привилегированного отладочного функционала, который не защищен должным образом». 

Хотя уровень потенциальной угрозы в отношении найденного слабого места остается невысоким, большинство специалистов по ИБ пока сомневаются, что эта уязвимость будет использована «обычными» злоумышленниками.






Заказать обратный звонок

Вы можете заказать обратный звонок или позвонить
по телефону 8-800-200-7932






Я даю свое согласие ГК ИСА (далее – isoit.ru) на обработку, с использованием средств автоматизации или без использования таких средств, моих персональных данных, представленных в настоящем обращении, включая сбор, запись, систематизацию, накопление, хранение, извлечение, использование, обезличивание, удаление и уничтожение персональных данных, в целях обработки настоящего электронного обращения, предоставления информации о результатах его рассмотрения и опросах сайта isoit.ru о качестве обслуживания.

Я согласен на предоставление мне информации посредством электронной почты, телефонных обращений, sms-сообщений, направления почтовой корреспонденции.

Согласие предоставляется с момента оформления настоящего обращения и действует в течение 5 (пяти) лет. Согласие может быть отозвано путем подачи в isoit.ru заявления об отзыве согласия.






Заказать обратный звонок

Вы можете заказать обратный звонок или позвонить
по телефону 8-800-200-7932