Биометрические персональные данные
1. Опубликовано , утверждающее порядок получения согласия физического лица на размещение его биометрических ПДн в региональном сегменте единой биометрической системы (далее – ЕБС), порядок передачи и обработки биометрических ПДн в ЕБС. Также утверждена форма согласия физического лица на размещение его биометрических ПДн в региональном сегменте ЕБС.
2. утвердило правила представления физическим лицом в МФЦ отказа от сбора и размещения биометрических ПДн в целях проведения идентификации и (или) аутентификации и отзыва такого отказа.
При подаче в МФЦ заявления об отказе от сбора биометрических ПДн или отзыве такого отказа нужно будет предъявить один из документов, удостоверяющих личность:
паспорт гражданина РФ;
паспорт иностранного гражданина;
документы, удостоверяющие личность лица без гражданства.
При этом надо собственноручно заполнить заявление на бумажном бланке и подписать его.
МФЦ в течение одного календарного дня направляет через единую систему межведомственного электронного взаимодействия (СМЭВ) оператору ЕБС сведения об отказе или отзыве отказа. Информация о том, что оператор ЕБС получил эти сведения, поступит в МФЦ автоматически – также через СМЭВ.
Постановление вступает в силу с 1 июня 2023 года.
3. устанавливает порядок направления оператором регионального сегмента ЕБС мотивированного запроса оператору ЕБС о предоставлении информации о результатах проверки соответствия предоставленной биометрии физлица его биометрии, содержащейся в ЕБС.
Запрос оператору регионального сегмента направляет субъект ПДн в случае выявления неправомерной обработки его биометрических ПДн и (или) в случае оспаривания результатов проведения аутентификации с использованием его данных, хранящихся в ЕБС.
Государственные информационные системы
4. Подписан , определяющий порядок создания, развития и эксплуатации государственных информационных систем (далее – ГИС) с использованием платформы «ГосТех».Создание, развитие и эксплуатация ГИС должны осуществляться с помощью платформы «ГосТех» с 1 апреля 2023 для федеральных государственных систем, с 1 января 2024 года – для региональных информационных систем.
Переход ГИС на «ГосТех» происходит по результатам оценки экономической и (или) технологической целесообразности. Оценку проводят в соответствии с методическими рекомендациями, утвержденными в порядке, который определило Правительство РФ.
Оператор платформы «ГосТех» заключает соглашения с операторами государственных информационных систем о распределении ответственности между этими лицами.
Правительство РФ должно в 10-месячный срок обеспечить внесение в законодательство изменений, необходимых для развития платформы «ГосТех».
Государственная тайна
5. В Государственной Думе находится «О внесении изменений в Закон Российской Федерации "О государственной тайне" и Федеральный закон "О порядке выезда из Российской Федерации и въезда в Российскую Федерацию», которым предлагается:
- Ввести понятие «Режим секретности». Правительство РФ наделить полномочиями по установлению порядка обеспечения режима секретности.
Уточнить понятие «Допуск к государственной тайне». Установить процедуру его оформления должностным лицам и гражданам РФ, которым допуск оформляется в особом порядке, также определяются условия прекращения допуска к государственной тайне, обязанности и условия ограничения прав граждан, допущенных или ранее допускавшихся к государственной тайне.
Предусмотреть наделение Межведомственной комиссии по защите государственной тайны полномочиями принимать решения о допуске к государственной тайне заместителей руководителей федеральных органов исполнительной власти и государственных корпораций «Росатом» и «Роскосмос».
6. Банк России представил «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Проект устанавливает:
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются субъектами национальной платежной системы для осуществления переводов денежных средств;
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений;
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые в отношении технологии обработки информации, подготавливаемой, обрабатываемой и хранимой субъектами национальной платежной системы в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств, в том числе к регистрации результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, которая включает регистрацию действий работников, а также регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения;
требования об информировании Банка России об инцидентах, связанных с нарушением требований защиты информации субъектами национальной платежной системы;
требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием средств криптографической защиты информации в отношении субъектов национальной платежной системы.
Предполагается, что новое положение вступит в силу с 1 апреля 2024 года (отдельные положения – с 1 января 2031 года). С этого момента утратит силу положение Банка России № 719-П.
7. Для общественного обсуждения представлен , в котором указаны требования к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования.Информационные сообщения регуляторов
8. о прекращении применения с 1 мая 2023 года отдельных средств активной акустической и вибрационной защиты акустической речевой информации в связи с несоответствием требованиям по технической защите информации и отсутствием технической поддержки.
Владельцы аттестованных объектов информатизации, на которых перечисленные средства защиты информации (далее – СЗИ) установлены, должны спланировать и осуществить замену на СЗИ, у которых есть действующие сертификаты соответствия, и провести дополнительные аттестационные испытания объектов информатизации.
9. о возможности применения в составе аттестованных объектов информатизации отдельных средств активной акустической и вибрационной защиты акустической речевой информации.
Новости в области стандартизации
10. Техническим комитетом по стандартизации «Криптографическая защита информации» (ТК 26) опубликованы для обсуждения:
- .
Отраслевые изменения
11. ФСБ России Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны.
12. Опубликован , утверждающий перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи.
13. Минцифры подготовило .
Методические рекомендации определяют, как обеспечить защиту открытых репозиториев программного обеспечения. Также они задают единые подходы для формирования требований к информационной безопасности в подобных системах.
14. Правительство проведения плановых проверок до 2030 года только в отношении объектов контроля, отнесенных к категориям чрезвычайно высокого и высокого риска причинения вреда, а также опасных производственных объектов и гидротехнических сооружений II класса опасности.
15. Для публичного рассмотрения представлен «Руководство по управлению уязвимостями программного обеспечения и программно-аппаратных средств в органе (организации)».
Документ предназначен для организации процессов управления уязвимостями в органах (организациях). Это основа для разработки детальных регламентов по управлению уязвимостями с учетом особенностей функционирования органов (организаций) и организации взаимодействия между их структурными подразделениями по вопросам устранения уязвимостей.
Предложения и замечания по проекту принимаются до 17 апреля 2023 года.
Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности отдела комплаенс и аттестации центра «Solar Интеграция» компании «РТК-Солар»
