Что-то подзатянул я с выпуском дайджеста — пропустил целый месяц. Но сегодня, в международный день защиты информации, я хочу наверстать упущенное и опубликовать дайджест с законодательными новациями за последние два месяца. Тем более, что наши законодатели и регуляторы, не сидели сложа руки и за это время дали почти шесть десятков поводов написать про них и их инициативы.
Но для начала с профессиональным праздником — международным днем защиты информации!!!
Критическая инфраструктура
Электронная подпись и удостоверяющие центры
-
В Госдуму внесен законопроект № 216859-8 «О внесении изменений в Федеральный закон «Об электронной подписи», который определяет порядок выдачи доверенностей в порядке передоверия участниками финансового рынка. В противном случае отсутствие такого механизма ставит финансовый рынок в неравные условия по отношению к другим сферам экономики, в связи с отсутствием в №63-ФЗ положений о возможности передоверия для всех организаций, поднадзорных Банку России.
-
В Госдуму внесен законопроект № 216878-8 «О внесении изменений в отдельные законодательные акты Российской Федерации», который продлевает до 31.08.2023 «переходный период», в рамках которого сохраняется возможность использования квалифицированных сертификатов представителей юридических лиц, индивидуальных предпринимателей, кредитных организаций, операторов платежной системы, некредитных финансовых организаций без применения машиночитаемой доверенности.
-
Опубликовано Постановление Правительства РФ от 07.10.2022 №1786 «О внесении изменений в Правила создания и использования сертификата ключа проверки усиленной неквалифицированной электронной подписи в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме».
- В Госдуму внесен законопроект №244043-8 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях о защите информации», направленный на создание государственной информационной системы национального удостоверяющего центра (НУЦ), которая будет выдавать сертификаты с применение ГОСТ (чего пока не было) и выдавать сертификаты с применение иных алгоритмов (это уже реализовано с начала года). Оператором НУЦ будет Минцифры. Организации, ИП и физические лица, осуществляющие деятельность по созданию ПО в целях получения доступа к сайтам в сети «Интернет», обязаны обеспечить возможность использования средствами информатизации сертификатов безопасности для установления пользователем криптографически защищенного соединения с сайтами в сети «Интернет». Минцифры по согласованию с ФСБ России и ФСТЭК России устанавливает требования к технологиям взаимодействия СКЗИ со средствами информатизации, сайтами в сети «Интернет», а также использованию содержащихся в сертификате безопасности ключей идентификации и аутентификации сайтов в сети «Интернет».
-
Минюстом России зарегистрировано Указание Банка России от 20.07.2022 №6206-У «О порядке представления доверенности в электронной форме, подтверждающей полномочия физического лица действовать от имени кредитной организации, оператора платежной системы, некредитной финансовой организации и индивидуального предпринимателя, осуществляющих указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» виды деятельности, кредитного рейтингового агентства, бюро кредитных историй, лица, осуществляющего актуарную деятельность».
Персональные данные
- Роскомнадзор разродился очередным разъяснением в виде письма от 19 августа 2022 г. № 08-75348 “О результатах рассмотрения обращения”, в котором регулятор объясняет, что уведомление о начале обработки ПДн необходимо подавать в РКН даже при реализации стандартных трудовых отношений (раньше это попадало в исключения) и не требовало уведомления.
- Президент утвердил перечень поручений по итогам состоявшегося 31 августа 2022 года совещания с членами Правительства, среди которых очередная попытка:
- Обеспечить возможность размещения на едином портале государственных и муниципальных услуг перечня согласий на обработку персональных данных, которые были даны гражданами органам и организациям, в том числе при получении государственных, муниципальных и коммерческих услуг.
- Обеспечить возможность давать согласие на обработку персональных данных и отзывать такое согласие с использованием единого портала государственных и муниципальных услуг.
-
Роскомнадзор представил проект приказа «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных», который по сути регламентирует правила работы с формой уведомления РКН об инцидентах с утечками ПДн.
- Роскомнадзор опубликовал приказ от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
- Роскомнадзор опубликовал приказ от 27.10.2022 №178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных». Весь ущерб делится на три степени (высокий, средний и низкий), которые определяются в зависимости от того, какая статья ФЗ-152 нарушена (мнение субъекта, как обычно, никто не учитывает).
-
Роскомнадзор представил проект приказа «Об утверждении Порядка передачи информации о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных».
- Минцифры подготовило (и еще одна точки зрения) очередной вариант законопроекта об оборотных штрафах за утечки ПДн.
- Президент поручил ускорить работу над законопроектом по обезличиванию персональных данных.
Идентификация и аутентификация
-
Приказом Федерального агентства по техническому регулированию и метрологии от 5 августа 2022 г. №740-ст «Об утверждении национального стандарта Российской Федерации» утверждён национальный стандарт Российской Федерации ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации».
Биометрия
- Указом Президента Российской Федерации от 30.09.2022 № 693 «Об определении организации, обеспечивающей развитие цифровых технологий идентификации и аутентификации» предписано создать совместное предприятие АО «Центр биометрических технологий» (ЦБТ), учредителями которого станут «Ростелеком» (49% акций), Российская Федерация в лице Федерального агентства по управлению государственным имуществом (26% акций) и Банк России (25% акций). ЦБТ займется разработкой, развитием и тиражированием цифровых технологий идентификации и аутентификации (в том числе на основе биометрических ПДн), а также сервисов подписания и хранения документов, включая создание, развитие и эксплуатацию коммерческих сервисов и типовых решений.
- В Госдуму внесен законопроект №211535-8 «О государственной информационной системе «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица», который выводит ЕБС из под действия ФЗ-149 и по сути запрещает обрабатывать биометрические ПДн без подключения к ЕБС.
- Проектом постановления Правительства предполагается создать координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических ПДн, который займется:
- Выработкой рекомендаций и предложений по определению направлений развития и совершенствования биометрической идентификации и аутентификации.
- Определением стратегических направлений развития биометрической идентификации и аутентификации
Финансовый сектор
- Банк России разослал информационное письмо от 06.10.2022 №ИН-04-13/122 «О совершении банками с универсальной лицензией действий, предусмотренных пунктом 58-1 статьи 7 Федерального закона от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», в котором отсрочил до конца 2022 года применение мер воздействия на организации из-за невыполнения мер, связанных с удаленной идентификацией клиентов по причине сложностей с импортозамещением, в том числе и в области ИБ. Отсрочка позволит кредитным организациям завершить технологические мероприятия и внедрить такую идентификацию в мобильных приложениях и интернет-банке.
- Банк России отменил Положение 747-П «О требованиях к защите информации в платежной системе Банка России» и вместо него принял новое одноименное положение от 25 июля 2022 года №802-П. Почему-то ЦБ в последнее время стал не просто вносить изменения в свои положения по защите информации, а целиком их переписывать…
-
Президент подписал Федеральный закон от 20.10.2022 №408-ФЗ «О внесении изменений в статью 26 Федерального закона «О банках и банковской деятельности» и статью 27 Федерального закона «О национальной платежной системе», который предусматривает подключение МВД к АСОИ ФинЦЕРТ Банка России. Благодаря этому правоохранительные органы смогут практически в онлайн-режиме получать сведения о мошеннических операциях, в том числе о получателях похищенных денег. Обмен данными будет происходить с соблюдением всех норм банковской тайны. МВД России, в свою очередь, будет передавать в базу ФинЦЕРТ сведения о совершенных противоправных действиях. Закон вступит в силу 21 октября 2023 года. До этого момента регулятор и министерство заключат двустороннее соглашение, в котором будут определены виды сведений, порядок, сроки и формат их передачи, а также интегрируют информационные системы.
- Банк России опубликовал 12-МР от 02.11.2022 года «Методические рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации».
- Банк России подготовил проект Указания «О минимальных (стандартных) требованиях к условиям и порядку осуществления добровольного имущественного страхования в связи с использованием электронного средства платежа», описывающего регламент страхования ущерба в случае реализации инцидентов с платежными картами.
- Банк России опубликовал очередной проект «Основных направлений развития финансового рынка Российской Федерации на 2023 год и период 2024 и 2025 годов», в котором нашлось место и для темы информационной безопасности.
Государственные информационные системы
- ФСТЭК в информационном письме от 24 августа 2022 г. N 240/24/4678 пишет, что на основании приказа Федерального агентства по техническому регулированию и метрологии от 8 августа 2022 г. N 746-ст «Об отмене национального стандарта Российской Федерации» отменен ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».
- Опубликован приказ ФСБ от 24.10.2022 №524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».
-
Минцифры подготовило проект постановления Правительства Российской Федерации «Об утверждении Положения о единой цифровой платформе Российской Федерации «ГосТех» и внесении изменений в постановление Правительства Российской Федерации от 6 июля 2015 г. №676″, затрагивающий и вопросы обеспечения информационной безопасности платформы «ГосТех».
Оценка защищенности
- ФСТЭК опубликовала методический документ от 28 октября 2022 года «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств», о котором я уже писал . ФСТЭК опубликовала методический документ от 28 октября 2022 года «Методика тестирования обновлений безопасности программных, программно-аппаратных средств», о котором я уже писал .
- ФСТЭК подготовила , но пока не опубликовала проект методики оценки защищенности информационных систем.
- ФСТЭК подготовила комментарии в СМИ уже есть) проект методики оценки состояния защиты информации (обеспечения безопасности) в органе (организации).
- ФСТЭК готовит проекты национальных стандартов
- Руководство по оценке безопасности разработки программного обеспечения
- Руководство по проведению статического анализа программного обеспечения
- Руководство по проведению динамического анализа программного обеспечения
- Тестирование на проникновение. Общие требования
- Статический анализ исходных текстов. Требования к документированию порядка применения и результатов работы инструментальных средств
- Поиск уязвимостей программного обеспечения на этапе эксплуатации и выпуск обновлений безопасности. Общие требования
- Тестирование безопасного программного обеспечения. Требование к документированию порядка применения результатов
- Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (Идентичный на основе 180/1ЕС 15408-1:2021)
- Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности (Идентичный на основе 180/1ЕС 15408-2:2021)
- Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности (Идентичный на основе 180/1ЕС 15408-3:2021)
- Методология оценки безопасности информационных технологий (Идентичный на основе 180/1ЕС 18045:2021).
Оценка соответствия
- ФСТЭК опубликовала информационное сообщение ФСТЭК России от 15 ноября 2022 г. №240/24/5981 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК России от 3 апреля 2018 г. №55″. Изменения направлены на сокращение сроков проведения сертификации средств защиты информации, в том числе за счет внедрения разработчиками процедур безопасной разработки программного обеспечения в соответствии с национальными стандартами.
-
Минцифры подготовило проект постановления Правительства, которым предполагается установить требования к ПО в едином реестре российских программ для электронных вычислительных машин и баз данных, в том числе и некоторые общие требования по ИБ, а именно:
-
Обновления ПО должны выполняться только после подтверждения со стороны пользователя ПО.
-
ПО должно соответствовать требованиям законодательства России о защите информации и о защите ПДн в случаях, установленных законодательством России.
-
Передача данных по каналам связи, в том числе текстовых сообщений и (или) электронных документов, голосовой, звуковой, визуальной и иной информации, с использованием ПО должна осуществляться с учетом требований законодательства Российской Федерации о защите информации и о связи.
-
- ФСТЭК подготовила проект Постановления Правительства «О внесении изменений в Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, утвержденные постановлением Правительства Российской Федерации от 3 ноября 2014 г. № 1149», которым планируется ввести аттестацию экспертов органов по сертификации и специалистов испытательных лабораторий.
Квалификация специалистов
-
Приказом Министерства труда и социальной защиты Российской Федерации от 09.08.2022 №474н «Об утверждении профессионального стандарт «Специалист по технической защите информации» утвержден соответствующий профессиональный стандарт.
- Приказом Министерства труда и социальной защиты Российской Федерации от 14.09.2022 №536н «Об утверждении профессионального стандарта «Специалист по защите информации в телекоммуникационных системах и сетях» утвержден соответствующий профессиональный стандарт.
- Приказом Министерства труда и социальной защиты Российской Федерации от 14.09.2022 №533н «Об утверждении профессионального стандарта «Специалист по безопасности компьютерных систем и сетей» утвержден соответствующий профессиональный стандарт.
- Приказом Министерства труда и социальной защиты Российской Федерации от 14.09.2022 №525н «Об утверждении профессионального стандарта «Специалист по защите информации в автоматизированных системах» утвержден соответствующий профессиональный стандарт.
Криптография
- ТК 26 «Криптографическая защита информации» представил для общественного обсуждения проект изменений в ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».
- ФСБ России планирует обновить Административный регламент Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
Разное
-
Опубликовано Распоряжение Правительства Российской Федерации от 12.09.2022 №2603-р «О создании федерального казенного учреждения «8 Центр Федеральной службы исполнения наказаний», который будет заниматься инженерно-техническим обеспечению информационной безопасности в уголовно-исполнительной системе РФ.
- Указом Президента Российской Федерации от 30.09.2022 №688 «О внесении изменений в некоторые акты Президента Российской Федерации» в структуре МВД создается новое управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий.
Среди основных задач Управления выделены: предупреждение, выявление, пресечение и раскрытие преступлений и иных правонарушений в сфере IT-технологий, а также координация этой деятельности в системе МВД России; анализ данных, содержащихся в информационно-телекоммуникационных сетях, в целях выявления запрещенного контента и противодействия преступности; организация взаимодействия подразделений органов внутренних дел РФ с государственными органами, органами государственной власти субъектов, учреждениями финансово-кредитной системы, организациями информационно-коммуникационной сферы, иными участниками информационного обмена, включая агрегаторы больших данных.
Интересно, почему по организации борьбы, а не по самой борьбе? А бороться кто будет? И что с Управлением «К», которое раньше занималось этой задачей?
- Опубликовано Постановление Правительства Российской Федерации от 30.09.2022 №1729 «Об утверждении Положения о государственной аккредитации российских организаций, осуществляющих деятельность в области информационных технологий», которое пришло на смену ПП-929 и ПП-1350 и которое определяет правила аккредитации среди прочего и компаний в области ИБ.
-
Минцифры опубликовало приказ от 08.10.2022 №766 «О перечне видов деятельности в области информационных технологий», которое разработано во исполнение ПП-1729 (см.предыдущий пункт) и которое относит ИБ к сфере информационных технологий (коды 1.08, 11.01, 18.01, 21.01).
- Опубликовано Постановление Правительства Российской Федерации от 01.10.2022 №1743 «О внесении изменений в постановление Правительства Российской Федерации от 10 марта 2022 г. №336», которое определяет, что в 2023 году не будут проводиться плановые проверки в отношении большинства предприятий и организаций. Плановые контрольные (надзорные) мероприятия, плановые проверки будут осуществляться только в отношении объектов контроля, отнесенных к категориям чрезвычайно высокого и высокого риска, опасным производственным объектам II класса опасности, гидротехническим сооружениям II класса.
- Опубликовано Постановление Правительства Российской Федерации от 29.10.2022 №1932 «О внесении изменений в Инструкцию о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне».
- Опубликовано Постановление Правительства Российской Федерации от 29.10.2022 №1934 «О требованиях к адресам электронной почты, используемым государственными органами и органами местного самоуправления», которое в целях обеспечения ИБ требует от госорганов c 1 декабря использовать адреса электронной почты только в национальной доменной зоне. Согласно приказу Роскомнадзора от от 29.07.2019 №216 к таким доменам относятся .RU, .SU, .РФ.
- Президент подписал Федеральный закон от 04.11.2022 №427-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», который выводит из под действия федерального закона «Об организации предоставления государственных и муниципальных услуг» ФСБ, СВР, ФСО, ГУСПа, Минобороны России, МВД России (за исключением «установленного перечня») и ФСТЭК.
- Опубликовано Постановление Правительства Российской Федерации от 03.11.2022 № 1979 «Об утверждении Правил направления в систему обеспечения соблюдения операторами связи требований при оказании услуг связи и услуг по пропуску трафика в сети связи общего пользования и получения из указанной системы сведений», которое устанавливает требования к системе блокировок вызовов и СМС с подменой номера «Антифрод». Постановление вступает в силу с 1 января 2023 года. Оператором системы назначен подведомственный РКН и недавно взломанный хакерами ГРЧЦ. Работать с «Антифродом» также должны РКН, Минцифры, правоохранительные органы и все операторы связи.
-
Опубликовано постановление Правительства РФ от 14.11.2022 №2051 «Об утверждении Правил обращения со сведениями о результатах проведенной оценки уязвимости объектов транспортной инфраструктуры, судов ледокольного флота, используемых для проводки по морским путям, судов, в отношении которых применяются правила торгового мореплавания и требования в области охраны судов и портовых средств, установленные международными договорами Российской Федерации, а также со сведениями, содержащимися в планах и паспортах обеспечения транспортной безопасности объектов транспортной инфраструктуры и (или) транспортных средств, которые являются информацией ограниченного доступа, и признании утратившими силу некоторых актов Правительства Российской Федерации», которое определяет правила работы с определенной информацией ограниченного доступа.
- В Госдуму внесли законопроект №238005-8, предлагающий конфисковывать имущество, полученное в результате совершения преступлений в сфере компьютерной информации, подпадающих под действие статей 272-274 УК РФ.
Заметка Дайджест изменений в российском законодательстве по ИБ №29 была впервые опубликована на Бизнес без опасности .