пятница, 8 июля 2016 г.

СОИБ. Анализ. (UPDATE) Пакет изменений в законодательство от Яровой “антитеррористический” и ИБ


Возможно многие уже слышали о ФЗ Яровой вносящем изменения в Федеральный закон «О противодействии терроризму» и отдельные законодательные акты Российской Федерации в части установления дополнительных мер противодействия терроризму и обеспечения общественной безопасности.  Текст тут. Рекомендую ознакомится самостоятельно.

Так как данные поправки касаются операторов связи и других ИТ компаний, а также вносят изменения в 149-ФЗ об информации, информатизации и защиты информации, то они всколыхнули ИТ сообщество и продвинутых пользователей. Была очень большая волна критики со стороны операторов связи, облачных операторов и западных диссидентов. Цитировать большого смысла не вижу.

Видео ответ на эту критику от самой Ирины Яровой можно посмотреть тут 
                                                

Далее кратко разберу пункты / требования, которые могут быть интересны и касаться информационной безопасности: 
а) ФСБ России и СВР РФ имеет право запрашивать доступ (в том числе) к ИС и БД госорганов [с 20 июля 2016]
б) правительство РФ должно установить требования к автоматизированной информационной системе оформления воздушных перевозок (сейчас используются в основном западные системы) - в том числе меры по защите таких систем (и возможно требования разместить на территории РФ) [с 20 июля 2016]
в) поправки в КОАП РФ ст. 13.6  - использование несертифицированных СКЗИ (когда они требуются законодательством - ПДн или другие случаи) - штраф до 300 тыс. рублей и конфискация СКЗИ [с 20 июля 2016]
г) поправки в КОАП РФ ст 13.15 - разглашение охраняемой законом информации (ГТ или, например, ПДн) через СМИ или сеть Интернет - штраф до 1 млн. рублей [с 20 июля 2016]

КоАП РФ, Статья 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям1. Использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законодательством предусмотрена их обязательная сертификация, -
влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц - от пятнадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц - от шестидесяти тысяч до трехсот тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.

КоАП РФ, Статья 13.15. Злоупотребление свободой массовой информации                             7. Использование средств массовой информации, а также информационно-телекоммуникационных сетей для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну, –
влечет наложение административного штрафа на юридических лиц в размере от четырехсот тысяч до одного миллиона рублей.


д) поправки в КОАП РФ ст 13.31 - повышение ответственности операторов связи (соцсети, е-почты) до 1 млн. руб.  за нарушение требований о хранении информации пользователей, и непредоставление в ФСБ России криптоключей для расшифровки данных [с 20 июля 2016]
е) операторы связи и организаторы распространения информации в сети Интернет (соцсети, блогинговые платформы, публичные электронные почты, файловые обменники, форумы и т.п.) обязаны хранить на территории РФ - логи и сам контент (сообщения, голос, видео) и предоставлять её по запросам ФСБ и МВД. Но сроки и порядок хранения контента ещё установит правительство РФ [по хранению логово – уже вступили в силу, по хранению контента - вступают в силу с 1 июля 2018 года]
ж) сервисы, которые предоставляют возможность зашифрованного взаимодействия пользователей (whatsup, telegram, …) обязаны предоставлять в ФСБ России ключи для расшифровки [с 20 июля 2016]


Кроме этого, вчера был опубликован перечень поручений президента РФ в рамках выполнения данного законодательства:
1) Правительству РФ при участии ФСБ России разработать подзаконные НПА в срок до 1 ноября 2016 года
2) Минпромторгу России и Минкомсвязи России – провести анализ возможности производства отечественного оборудования и ПО необходимого для хранения контента – до 1 сентября 2016
3) ФСБ России утвердить порядок передачи ключей шифрования и сертификации средств шифрования до 20 июля 2016


Краткие выводы:
1) как видно, не всё так гладко в видео ответе Ирины Яровой. Большинство требований вступило в силу уже сейчас. По части уже вступивших в силу обязанностей, требования будут уточнятся подзаконными актами в ближайшие месяцы, но это не отменят того что статьи КОАП с 20 июля вступают в действие и штрафовать за непредставление ключей шифрования или несертифицированную криптографию можно очень скоро  

2) появилось несколько дорогих статей КОАП РФ которые касаются всех организаций.
Особенно интересует пикантная статья про применение несертифицированных средств кодирования (шифрования). Ситуации с просроченными сертификатами, отсутствием сертификатов или оценкой соответствия в форме отличной от сертификации может караться существенной суммой штрафа.  

3) большая часть новых требований касается операторов связи и организаторов распространения информации в сети Интернет (соцсети, блогинговые платформы, публичные электронные почты, файловые обменники, форумы и т.п.) - им предстоит большая работа по переносу хранилищ на территорию РФ, корректировка процессов логирования и шифрования данных пользователей

Но наиболее затратная часть (про хранение контента) вступит в силу через 2 года. До этого Правительство РФ и ФСБ России должны разработать детальные требования к срокам и порядку хранения

В самих требованиях по хранению логов, контента, ключей шифрования - чего то неожиданного не вижу. СОРМ и раньше работал. Просто он не охватывал некоторые каналы и часть операторов по преступной халатности хранила данные в западных ЦОДах, которые прослушиваются местными спецслужбами



9 комментариев:

Искандер Зулькарнеев комментирует...
Этот комментарий был удален автором.
Искандер Зулькарнеев комментирует...

Сергей, здравствуйте. Уточните, пожалуйста, по поводу некоторых указанных вами статей КоАП, т.к. в последней актуальной версии с поправками, вступившими в силу 04.07.2016, другая информация (либо у Вас более новая версия КоАП)
в) ст. 13.6. насколько я понимаю, статья говорит именно про сертификацию устройств связи, а не СКЗИ. Про использование сертифицированных СЗИ говорит п.2 ст. 13.12, где для юрлиц предусмотрено наказание до 25 т.р. с возможной конфискацией СЗИ.
г) о разглашении информации ограниченного доступа говорит ст. 13.14, а не ст. 13.17 и штраф там предусмотрен до 5 т.р. Штраф до миллиона налагается за разглашение информации о пострадавшем несовершеннолетним, неуважении к воинской славе, об изготовлении взрывчатки, призыв к террористической деятельности
д) в ст. 13.31 опять таки про миллион ни слова. Максимум до 500 т.р.
Если я не прав, то прошу указать на ошибку.

Сергей Борисов комментирует...

Консультант ещё не успел подгрузить новые правки в КОАП РФ (президент только вчера подписал ФЗ)

Новая версия статьи 13.6 должна выглядеть так

КоАП РФ, Статья 13.6. Использование средств связи или несертифицированных средств кодирования (шифрования), не прошедших процедуру подтверждения их соответствия установленным требованиям
1. Использование в сетях связи несертифицированных средств связи или несертифицированных средств кодирования (шифрования) при передаче сообщений в информационно-телекоммуникационной сети «Интернет», если законодательством предусмотрена их обязательная сертификация, -
влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на должностных лиц - от пятнадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств связи либо без таковой; на юридических лиц - от шестидесяти тысяч до трехсот тысяч рублей с конфискацией несертифицированных средств связи либо без таковой.

Сергей Борисов комментирует...

В статье 13.15 будет новый пункт

КоАП РФ, Статья 13.15. Злоупотребление свободой массовой информации
7. Использование средств массовой информации, а также информационно-телекоммуникационных сетей для разглашения сведений, составляющих государственную или иную специально охраняемую законом тайну, –
влечет наложение административного штрафа на юридических лиц в размере от четырехсот тысяч до одного миллиона рублей.

Сергей Борисов комментирует...

В 13.31 также вносятся правки увеличивающие сумму. посмотрите текст нового закона

Евгений Скляр комментирует...

Сергей, по пункту г): "если законодательством предусмотрена их обязательная сертификация" - а обязательная сертификация средств кодирования (шифрования) законодательством предусмотрена?

OksanaVB комментирует...

Сергей, спасибо за обзор. Пара уточнений.
Ваш текст:
"Далее кратко разберу пункты / требования, которые могут быть интересны и касаться информационной безопасности:
в) поправки в КОАП РФ ст. 13.6 - использование несертифицированных СКЗИ (когда они требуются законодательством - ПДн или другие случаи) - штраф до 300 тыс. рублей и конфискация СКЗИ [уже вступили в силу]"
Но по тексту закона санкционная часть статьи 13.6 не меняется, т.е. конфискации СКЗИ не предусматривается в принципе. Возможна только конфискация средств связи.
И второе, все эти поправки ещё не вступили в силу, почти весь закон вступает в силу только 20 июля.

Сергей Борисов комментирует...

Оксана, спасибо за информацию.
На момент публикации - руководствовался текстом с сайта госдумы.
Сейчас уже есть версии в консультанте и т.п. с немного другим сроком.

OksanaVB комментирует...

Сергей, полагаю, Вам будет интересно мнение ФСБ по поводу использования средств шифрования применительно к новому закону
http://www.fsb.ru/fsb/science/single.htm!id=10437738@fsbResearchart.html