Меня зовут Катя, я отвечаю за комплаенс в направлении «Solar Интеграция» компании «Ростелеком-Солар». Я пристально слежу за всеми изменениями законодательства в области кибербезопасности и буду делиться наиболее важными из них в этом блоге. В сегодняшнем дайджесте вас ждет подборка новостей за февраль, для вашего удобства все новости разбиты на тематические блоки: лицензирование деятельности, государственный контроль, использование электронной подписи, новости в области стандартизации и отраслевые изменения.
Лицензирование деятельности
1. ФСБ России утвердила формы документов, используемых службой при выдаче лицензий в соответствии с Федеральным законом от 4 мая 2011 г. № 99-Ф3. Приказ ведомства об этом ) опубликован на официальном интернет-портале правовой информации. В документе в том числе определены оценочные листы, применяемые при оценке соответствия соискателей (лицензиатов) лицензионным требованиям, прописанным в постановлениях Правительства РФ № 171, 287, 313 и 314.
2. ФСТЭК России утвердила формы оценочных листов, с помощью которых регулятор оценивает соответствие соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации, а также по разработке и производству средств защиты конфиденциальной информации. Приказы об этом (№ , от 28.12.2021) опубликованы на официальном интернет-портале правовой информации.
Государственный контроль
3. Роскомнадзор своим приказом () утвердил форму проверочного листа, который служба применяет при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных.
4. Минцифры России представило для общественного обсуждения , определяющего форму проверочного листа (списка контрольных вопросов), используемого министерством при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации.
5. Минцифры России утвердило перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации. Соответствующий приказ () опубликован на официальном интернет-портале правовой информации.
Использование электронной подписи
6. Правительство РФ своим постановлением ) утвердило ключевой показатель федерального государственного контроля (надзора) в сфере электронной подписи и его целевое значение. Им является увеличение доли аккредитованных удостоверяющих центров, соблюдающих установленные Федеральным законом «Об электронной подписи» требования, с 70 до 95 процентов к 2026 году.
7. Минцифры России утвердило перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи. Приказ ведомства ) опубликован на официальном интернет-портале правовой информации.
8. Правительство РФ приняло постановление (, определяющее правила представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона «Об электронной подписи».
9. Правительство РФ утвердило организационно-технические требования к порядку хранения, использования и отмены доверенностей, указанных в статьях 17.2 и 17.3 Федерального закона «Об электронной подписи». Соответствующее постановление () опубликовано на официальном интернет-портале правовой информации.
10. Официально опубликовано постановление Правительства РФ (), определяющее требования к порядку предоставления доверенности в случае, предусмотренном пунктом 2 части 1 статьи 17.2 и пунктом 2 статьи 17.3 Федерального закона «Об электронной подписи».
Новости в области стандартизации
11. Определены приоритетные направления деятельности рабочей группы 1 технического комитета по стандартизации «Защита информации» (ТК 362). К ним относятся разработка классификации средств защиты информации и пересмотр национальных стандартов ГОСТ Р 52447‑2005, ГОСТ Р 53113.1‑2008 и ГОСТ Р 53113.2‑2009. Соответствующее решение председателя ТК 362 () опубликовано на сайте ФСТЭК России.
12. Росстандарт «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации». ГОСТ введен в действие с 1 февраля 2022 г.
13. Росстандарт «Защита информации. Мониторинг информационной безопасности. Общие положения». Стандарт вступит в силу с 1 апреля 2022 г.
14. Обновлен международный стандарт по менеджменту ИБ ISO/IEC 27002:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью».
Отраслевые изменения
15. Центральный банк России подготовил проекты новых указаний по отчетности, которую участники финансового рынка должны предоставлять регулятору.
для страховых компаний содержит отчетность по форме 0420175 «Сведения об оценке выполнения требования к обеспечению защиты информации страховой организацией».
для профессиональных участников рынка ценных бумаг, организаторов торговли и клиринговых организаций вводит отчетность по форме 0420433 по выполнению требований по защите информации.
для негосударственных пенсионных фондов содержит отчетность по форме 0420266 по защите информации.
для операторов инвестиционных и финансовых платформ, операторов информационных систем, в которых выпускаются цифровые финансовые активы, а также операторов обмена цифровых финансовых активов содержит отчетность по форме 0420722 по защите информации.
для бюро кредитных историй содержит две новых формы отчетности: 0420764 о выполнении требований по защите информации и 0420753 об используемых средствах защиты.
16. Минздрав России представил для общественного обсуждения о медицинском информационно-аналитическом центре (МИАЦ), определяющий его основные функции и задачи. В части информационной безопасности к ним относятся:
представление информации в области защиты информации в системе здравоохранения по запросам органов государственной власти субъекта РФ в сфере охраны здоровья;
организация мероприятий по повышению эффективности использования информационной инфраструктуры и средств защиты информации в системе здравоохранения субъектов РФ;
методическое сопровождение деятельности по защите информации, в том числе персональных данных, обрабатываемых в ИС медицинских организаций, ГИС в сфере здравоохранения субъекта РФ;
методическое сопровождение деятельности по обеспечению безопасности ОКИИ в сфере здравоохранения субъекта РФ.
Согласно проекту, функции и задачи МИАЦ по информационной безопасности должны осуществляться отделом защиты информации. Рекомендуемая штатная численность такого подразделения составляет не менее трех сотрудников.
17. Минобороны России утвердило перечень сведений Вооруженных Сил РФ, подлежащих отнесению к служебной тайне в области обороны. Соответствующий приказ об этом () опубликован на официальном интернет-портале правовой информации.
