Дайджест Jet CSIRT [20-22.11.2021]

Индикаторы риска нарушения требований в сфере идентификации и аутентификации

Минцифры подготовило и представило для общественного обсуждения проект ведомственного приказа «Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) в сфере идентификации и (или) аутентификации».

Перечень сведений, составляющих служебную тайну в области обороны

Для общественного обсуждения представлен проект приказа Министра обороны Российской Федерации «Об утверждении Перечня сведений Вооруженных Сил Российской Федерации, подлежащих отнесению к служебной тайне в области обороны».

Внесение изменений в Положение о сертификации СрЗИ

ФСТЭК России информирует об изменениях, внесённых в Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК России от 03.04.2018 № 55. Регулятор приводит консолидированный состав внесённых изменений:

1. Установлен запрет на сертификацию средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации.

2. Отменен срок действия сертификата соответствия для единичного образца или партии средства защиты информации. Определены условия, при которых серийно производимые средства защиты считаются сертифицированными, в том числе после окончания срока действия сертификата соответствия.

3. Уточнен порядок отбора образцов (образца) средства защиты информации для сертификационных испытаний.

4. Упразднена процедура предварительного рассмотрения образца средства защиты информации и документации на него.

5. Изменен порядок маркирования сертифицированных средств защиты информации.

6. Сокращен объем испытаний сертифицированных средств защиты информации при продлении срока действия сертификата соответствия.

Снятие тайны связи с информации о соединениях, трафике и платежах абонента

Минэкономики предложило снять тайну связи с информации о соединениях, трафике и платежах абонента, с соответствующими поправками к закону "О связи". Это позволит операторам при согласии клиента передавать сведения третьей стороне, например, банку для скоринга и борьбы с мошенниками или партнерским туристическим сервисам. Сейчас операторы могут передавать данные только по решению суда или в виде обезличенных моделей. Они считают, что предложенный механизм «упорядочит взаимодействие с абонентами». Но в текущих формулировках, опасаются эксперты, инициатива открывает фактически неограниченный доступ к информации о звонках не только бизнесу, но и государству.

Правительство определит требования к обеспечению безопасности информации в ГосОблаке

Минцифры подготовило и представило для общественного обсуждения законопроект, предусматривающий внесение изменений в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Указанный законопроект полностью посвящён развитию и правовому регулированию ГосОблака.

В нём, устанавливаются:

1. Понятия:

— государственная единая облачная платформа;

— облачные услуги;

— пользователи облачных услуг.

2. Требования к инфраструктуре ГосОблака, в т.ч. по безопасности информации и к ЦОДам.