Законотворчество в области информационной безопасности. Итоги года

Эксперт по информационной безопасности НОУ «Академия Информационных Систем», Дмитрий Левиев рассказал, что за 2012 год в России было принято 334 федеральных закона. Из них пять – федеральных конституционных, 60 ратифицированных международных договоров и соглашений. За прошедший год было также издано 1724 Указа  и 606 Распоряжений Президента РФ, 1496 Постановлений и 2633 распоряжений Правительства РФ.

Основные направления законотворческой деятельности таковы: лицензирование отдельных видов деятельности, национальная платежная система и изменения в законодательстве, связанные с НПС. Также нормативно-правовое регулирование коснулось защиты персональных данных, защиты информации в системах критически важных объектов. Важное направление – обеспечение требований ИБ на предприятиях топливно-энергетического комплекса. И, наконец, гармонизация законодательства, связанного с электронным правительством и электронным документооборотом.

В настоящее время лицензирование регулируется нормами Федерального закона № 99-ФЗ «О лицензировании отдельных видов деятельности», который, кстати, регулярно подвергается изменениям и дополняется. Закон определяет правила работы со средствами криптографической защиты информации (СКЗИ), методы технической защиты конфиденциальной информации (ТЗКИ), а также регулирует процесс разработки средств защиты информации (СЗИ). Дмитрий Левиев отметил, что самые сложные требования по лицензированию предъявляются к разработке СЗИ.

Что касается 161-ФЗ «О национальной платежной системе», он содержит более 45 нормативных документов Банка России. Основных – два. Это положение Банка России «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств…» и Указание Банка России «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем…». По итогам полугодовой эксплуатации эти документы будут пересматриваться.

Дмитрий Левиев также отметил, что изменения будут вноситься в статью 15.36 Кодекса об административных правонарушениях. Действие статьи 9 Федерального закона «О национальной платежной системе» отложено до 1 января 2014 года. Эта статья подразумевает ответственность банков в случае мошенничества, приведшего к хищению средств со счетов клиентов. Вопрос о том, как должна выглядеть статья в окончательном варианте пока находится в стадии обсуждения. Система контроля еще строится, а это процесс длительный.

Что касается перевода наличных платежей в безналичную форму – это планируется постепенно, без нажима сделать к 2020 году.

Еще одно важное постановление Правительства РФ вышло 1 ноября 2012 года. Это постановление «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Сейчас документ проходит согласование в Министерстве юстиции РФ. Этот процесс может длиться от одного до шести месяцев. Между тем, уже в текущем, 2013 году закон нужно будет менять в соответствии с требованиями Евросоюза.

Что касается планов, то в соответствии с поручением Совета Безопасности России, ФСБ России в первом квартале 2013 года должно подготовить нормативно-методические документы по защите информации в информационных системах критически важных объектов. Комплект методических документов по этой теме был подготовлен ФСТЭК еще в 2006 году.

Ректор «Академии Информационных Систем» Юрий Малинин рассказал, что курсы повышения квалификации и профессиональной переподготовки АИС в области информационной безопасности имеют исключительно практическую направленность. Ряд курсов согласован с ФСТЭК России, ФСБ России, Банком России и профильными ассоциациями. В Академии проводятся курсы по обеспечению информационной безопасности организаций кредитно-финансовой системы РФ, курсы по международным стандартам BSI и ряд авторизованных вендорских курсов.

Игорь Хайров, проректор-начальник отдела информационной безопасности «Академии Информационных систем», отметил, что в этом году ужесточились требования ФСБ к специалистам по информационной безопасности. Специалисты должны пройти переподготовку (нормативный срок – свыше 1000, 500, 100 аудиторных часов в зависимости от вида деятельности). А документы об образовании имеют право выдавать только организации, имеющие лицензию на образовательную деятельность и государственную аккредитацию.

Академия имеет необходимую лицензию,  и предлагает своим слушателям все формы обучения: очное, дистанционное, вебинары, очно-заочное, вечерние и смешанное обучение. По словам Игоря Хайрова, сейчас наибольшей популярностью пользуются курсы по продуктам StoneSoft, и по безопасности в «облачных» средах.