В свежем выпуске дайджеста делимся новостями из мира комплаенса за прошедший январь. Как операторам персональных данных взаимодействовать с ГосСОПКА в случае инцидента? В каких случаях может быть запрещена трансграничная передача персональных данных? Что нужно для обеспечения безопасной настройки Linux согласно рекомендациям ФСТЭК России? О свежей нормативке, которая отвечает на эти и другие вопросы, читайте в посте.
Персональные данные
1. ФСБ России представила , в котором описан порядок взаимодействия операторов информационных систем персональных данных (далее – ИСПДн) с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА).
Согласно документу операторы ИСПДн в течение 24 часов с момента обнаружения компьютерного инцидента направляют информацию о нем в ГосСОПКА в соответствии с определенными НКЦКИ форматами или заполняют форму уведомления, которая есть на сайте Роскомнадзора.
В течение 72 часов оператор заполняет форму уведомления о результатах внутреннего расследования, которая также размещена на сайте Роскомнадзора.
2. Опубликовано , утверждающее случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях реализации полномочий и обязанностей, возложенных на государственные и муниципальные органы международным договором Российской Федерации, законодательством Российской Федерации, не применяются требования частей 3–6, 8–11 статьи 12 Федерального закона «О персональных данных».
3. Опубликовано , в котором утверждаются правила принятия решения о запрещении или об ограничении трансграничной передачи персональных данных Роскомнадзором. Решение принимается на основании поступивших представлений от федеральных органов исполнительной власти. Постановление вступит в силу с 1 марта 2023 года.
4. Опубликовано
, утверждающее правила, согласно которым Роскомнадзор принимает решение о запрещении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан. Постановление вступит в силу с 1 марта 2023 года.
Биометрические персональные данные
5. В России будет создан Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных. Соответствующее размещено на официальном интернет-портале правовой информации.
Согласно постановлению Координационный совет определяет стратегические направления развития биометрических технологий в России и развития единой биометрической системы, а также готовит предложения по внедрению в различные сферы правоотношений.
Также Координационный совет рассматривает вопросы и разрабатывает предложения по совершенствованию биометрических технологий, по унификации требований к инфраструктуре обработки данных с применением биометрических технологий в целях предоставления государственных и муниципальных услуг, а также иных услуг, в том числе в дистанционном формате.
В состав совета, утверждаемый правительством, войдут представители Администрации Президента РФ, Минцифры России, ФСБ России, Роскомнадзора, ПАО «Ростелеком», ПАО «Центр биометрических технологий» и Банка России.
Все члены Координационного совета будут работать бесплатно, на общественных началах.
6. Опубликован РФ, которое приводит Положение о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации в соответствие с Федеральным законом от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
В частности, согласно Федеральному закону № 572-ФЗ Минцифры России осуществляет контроль и надзор в сфере идентификации и (или) аутентификации не только в отношении аккредитованных организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц, и аккредитованных государственных органов, но и в отношении Банка России в случае прохождения им аккредитации.
Кроме того, Федеральный закон № 572-ФЗ запрещает идентификацию с использованием любых иных информационных систем, помимо единой биометрической системы.
Также этот закон предусматривает, что плановые контрольные (надзорные) мероприятия в отношении аккредитованных организаций и аккредитованных государственных органов проводятся не реже чем раз в три года (кроме объектов контроля, отнесенных к категории низкого риска).
7. Для общественного обсуждения представлен .
Он предусматривает утверждение правил представления физическим лицом в многофункциональном центре предоставления государственных и муниципальных услуг (далее – МФЦ) отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва отказа, а также письменного подтверждения МФЦ представления физическим лицом указанных отказа и отзыва отказа.
Государственная система защиты информации в РФ
8. Для общественного обсуждения представлен «Об утверждении Положения о государственной системе защиты информации в Российской Федерации».
Проект положения определяет состав, направления деятельности государственной системы защиты информации в России, а также требования к организации защиты информации ограниченного доступа и общедоступной информации, обладателями которой являются государство, субъект РФ и муниципальное образование.
НПА, опубликованные ФСТЭК России
9. ФСТЭК России опубликовала методический документ
Рекомендации предназначены для ГИС и объектов КИИ, построенных с использованием операционных систем Linux, не сертифицированных по требованиям безопасности информации, до их замены на сертифицированные отечественные операционные системы.
10. сообщила об утверждении Требований по безопасности информации к средствам виртуализации и опубликовала .
Документ предназначен для организаций, осуществляющих разработку средств виртуализации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.
Документ включает минимально необходимые требования по безопасности информации, предъявляемые к уровню доверия средства виртуализации, хостовой операционной системе, в среде которой функционирует средство виртуализации, составу функций безопасности средства виртуализации.
Чтобы дифференцировать требования по безопасности информации к средствам виртуализации, устанавливается 6 классов защиты. Самый низкий класс – шестой, самый высокий – первый.
11. ФСТЭК России опубликовала справку-доклад о ходе работ по плану ТК 362 на 2023 год
12. В рамках деятельности технического комитета по стандартизации «Защита информации» (ТК 362)
, связанных с информационной безопасностью:
· Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Общие положения.
· Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Шаблоны проектирования.
· Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Методология разработки.
· Защита информации. Система организации и управления защитой информации. Общие положения.
· Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности.
· Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
· Защита информации. Формальная модель управления доступом. Рекомендации по разработке.
· Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации.
· Защита информации. Формальная модель управления доступом. Рекомендации по верификации формальных описаний модулей средства защиты, реализующих политики управления доступом.
· Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией.
· Защита информации. Техника защиты информации. Номенклатура показателей качества.
· Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования.
· Защита информации. Основные термины и определения.
Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности отдела комплаенс и аттестации центра «Solar Интеграция»
компании «РТК-Солар»
