Обзор изменений в законодательстве за апрель 2022

Обзор изменений в законодательстве за апрель 2022

В обзоре изменений за апрель 2022 г. рассмотрим: информационные письма ФСТЭК России в части отмены уплаты госпошлины при получении лицензий и порядка предоставления аттестационных материалов; изменения в правила ведения реестра значимых объектов КИИ; создание Межведомственной комиссии при Совете Безопасности РФ по вопросам в сфере КИИ; нормативное регулирование при использовании ПДн для идентификации и (или) аутентификации; проект изменений в федеральном законе о ПДн.

Отмена госпошлины на лицензии ФСТЭК России

На официальном сайте ФСТЭК России опубликовано информационным сообщением от 25.03.2022 № 240/13/1561 «Об отмене оплаты государственной пошлины в рамках оказания государственных услуг за предоставление лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации в 2022 году».

ФСТЭК России сообщает, что с 12 марта по 31 декабря 2022 г. отменены государственные пошлины за предоставление лицензий:
  • на деятельность по технической защите конфиденциальной информации;
  • деятельность по разработке и производству средств защиты конфиденциальной информации.
Создание Межведомственной комиссии по вопросам в сфере КИИ
В апреле 2022 г. официально опубликован Указ Президента Российской Федерации от 14.04.2022 № 203  «О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации» (далее – Указ Президента РФ № 203). Указом Президента РФ № 203 образована Межведомственная комиссия Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации (далее – КИИ). Председателем комиссии назначен Заместитель Председателя Совета Безопасности Российской Федерации. В состав комиссии также включены директора ФСТЭК России и ФСБ России.

Реестр значимых объектов КИИ
Официально опубликован приказ ФСТЭК России от 10.02.2022 № 26 «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227» (далее – Приказ ФСТЭК России № 26).
Согласно изменениям, вносимым Приказом ФСТЭК России № 26, в порядке ведения реестра значимых объектов КИИ меняется следующее:
  • разнесены по разным группам значимые объекты КИИ, функционирующие в энергетике и топливно-энергетическом комплексе;
  • субъекты КИИ должны направлять измененные сведения в ФСТЭК России не позднее 20 рабочих дней со дня их изменения на бумажном и электронном носителях. Напомним, что аналогичные изменения уже были внесены в Правила категорирования объектов КИИ Постановлением Правительства Российской Федерации от 24.12.2021 №2431 «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации»;
  • сведения из реестра теперь будут предоставляться государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сферах КИИ, не только по запросам, но и на ежеквартальной основе.
Разъяснения ФСТЭК России по порядку аттестации

Официально опубликовано информационное сообщение ФСТЭК России от 11.04.2022 № 240/24/1950 «О порядке представления документов по аттестации объектов информации, обрабатывающих информацию ограниченного доступа, не составляющей государственную тайну».
Напомним, что в соответствии с пунктом 27 Приказа ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (далее – Приказ ФСТЭК России № 77) орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия должен представить в территориальный орган ФСТЭК России в электронном виде копии ряда аттестационных документов.
В целях разъяснения порядка и формы представления указанных материалов ФСТЭК России сообщает в информационном письме следующее:
  • Материалы с результатами аттестации федеральных государственных информационных систем (далее – ГИС) необходимо представлять в центральный аппарат ФСТЭК России.
  • Материалы с результатами аттестации региональных ГИС и иных объектов информатизации необходимо направлять в управление ФСТЭК России по федеральному округу, на территории которого расположены объекты информатизации.
  • Представление копий документов осуществляется почтовым отправлением. Представление материалов с использованием электронной почты не допускается. К письму необходимо прилагать машинный носитель информации (оптический диск или иной носитель), содержащий файлы с электронными копиями (образами).
  • Порядок аттестации распространяется на аттестацию на соответствие требованиям по защите информации объектов информатизации, указанных в пункте 3 Приказа ФСТЭК России № 77. К таким объектам информатизации относятся: государственные и муниципальные информационные системы; информационных систем управления производством, используемые организациями оборонно-промышленного комплекса, в том числе автоматизированные системы станков с числовым программным управлением; защищаемые помещения; значимые объекты КИИ; информационные системы персональных данных (далее – ПДн); автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Аттестация иных объектов информатизации проводится в соответствии с Приказом ФСТЭК России № 77 по решению владельца объекта информатизации. В случае принятия такого решения положения Порядка аттестации должны реализовываться в полном объеме за исключением пунктов 27 и 32 Порядка аттестации – это пункты, устанавливающие требования по отправке аттестационных материалов во ФСТЭК России органами по аттестации и представлению владельцами объектов информатизации в ФСТЭК России протоколов контроля защиты информации на аттестованных объектах.

Контрольные вопросы Минцифры России в сфере идентификации и (или) аутентификации

Приказ Минцифры России от 25.02.2022 № 142 «Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации» (далее – Приказ Минцифры № 142) был официально опубликован 15 апреля 2022 г. Приказ Минцифры № 142 вступает в силу с 1 сентября 2022 г.
Приказ Минцифры № 142 направлен на установление контрольных вопросов при проверке выполнения требований статьи 14.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – № 149 ФЗ) в части использования ПДн при идентификации и (или) аутентификации.

Аккредитация владельцев и операторов ГИС, применяемых для осуществления идентификации и (или) аутентификации
Также, 5 апреля 2022 г. Минцифры России опубликовало для общественного обсуждения проект Постановления Правительства РФ «Об утверждении Требований для прохождения аккредитации государственных органов, являющихся владельцами и (или) операторами государственных информационных систем, с применением которых осуществляется идентификация и (или) аутентификация, а также Правил прохождения такой аккредитации» (далее – Проект ПП РФ).
Проект ПП РФ разработан во исполнение части 18.14 статьи 14.1 № 149-ФЗ, которой предусмотрено, что в случае, если для реализации установленных нормативными правовыми актами полномочий государственных органов, и (или) органов местного самоуправления, и (или) организаций, осуществляющих отдельные публичные полномочия, необходима обработка видов биометрических ПДн, не соответствующих размещаемым в единой биометрической системе (ЕБС), идентификация и (или) аутентификация для реализации указанных полномочий осуществляются с применением иных ГИС, владельцами и (или) операторами которых являются государственные органы, прошедшие аккредитацию на право владения такими ГИС и (или) осуществления функций их операторов в порядке и в соответствии с требованиями, которые установлены Правительством Российской Федерации.
Проектом ПП РФ предлагаются требования для прохождения аккредитации государственных органов, являющихся владельцами и операторами, либо только операторами ГИС, с применением которых осуществляется идентификация и (или) аутентификация, а также являющихся только владельцами таких систем. В последнем случае требования предъявляются, в том числе, к организации, осуществляющей функции оператора ГИС, с применением которой осуществляется идентификация и (или) аутентификация.

Изменения в федеральном законе о ПДн

В ГосДуму внесен Законопроект № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных».

Из основных изменений, предлагаемых к внесению в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – № 152-ФЗ), отметим:
  • Появление новой сущности – лица, осуществляющего обработку по поручению оператора. Аналогичная сущность есть, например, в европейских нормах (GDPR): процессор/обработчик. При этом, ответственность перед субъектом ПДн за действия лица, осуществляющего обработку ПДн, будет нести оператор. Лицо, осуществляющее обработку ПДн, несет ответственность перед оператором.
  • Расширение понятия «трансграничной передачи ПДн» и изменение подходов к трансграничной передаче ПДн.
  • Роскомнадзором будут установлены требования по оценке вреда, который может быть причинен субъектам ПДн в случае нарушения № 152-ФЗ.
  • Операторы будут обязаны обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу ПДн.
  • Операторы будут обязаны в течение 24 часов уведомить Роскомнадзор в случае установления факта неправомерного или случайного доступа, предоставления, распространения, передачи ПДн, повлекших нарушение прав субъектов ПДн. Отметим, что аналогичные нормы также есть в GDPR.
Автор: Анастасия Заведенская, старший аналитик УЦСБ
ИБ информационная безопасность КИИ
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

ussc

Уральский центр систем безопасности УЦСБ