В февральском обзоре за 2022 г. поговорим о нормативных документах, определяющих основные направления госконтроля регуляторов, начиная с лицензирования деятельности по защите информации, заканчивая обработкой персональных данных. Рассмотрим требования к отчетности по ИБ финансового сектора, а также вопросы стандартизации защиты.
Оценка соискателей лицензии (лицензиатов) на соответствие лицензионным требованиям
«Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-Ф3 «О лицензировании отдельных видов деятельности» (далее – Приказ ФСБ России) официально опубликован 16 февраля 2022 г. Приказ ФСБ России вступил в силу с 1 марта 2022 г.
Приказ ФСБ России устанавливает ряд форм документов, используемых регулятором в процессах лицензирования, а также определяет содержание оценочных листов, применяемых при оценке соискателя лицензии (лицензиата) лицензионным требованиям. Так оценочные листы разработаны для проверки соответствия требованиям:
- Постановления Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных(криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
- Постановления Правительства РФ от 12.04.2012 № 287 «Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации».
- Постановления Правительства РФ от 16.04.2012 № 314 «Об утверждении Положения о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
- Постановления Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» (далее – ПП РФ № 171) в части, касающейся полномочий ФСБ России.
Позднее, 28 февраля 2022 г., были официально опубликованы аналогичные приказы ФСТЭК России по определению форм оценочных листов:
- «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации».
- «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации».
Приказы направлены на проверку соответствия требованиям Постановления Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» и ПП РФ № 171 в части, касающейся полномочий ФСТЭК России, и вступили в силу с 1 марта 2022 г.
Индикаторы риска нарушения требований от Минцифры России
Индикаторы риска нарушения требований от Минцифры России
«Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации» (далее – Приказ Минцифры России № 1308) официально опубликован 18 февраля 2022 г. Приказ Минцифры России № 1308 вступил в силу 1 марта 2022 г.
Приказом Минцифры России № 1308 устанавливаются признаки возможных нарушений требований при осуществлении аккредитованными организациями идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц.
«Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи» (далее – Приказ Минцифры России № 1312) официально опубликован 18 февраля 2022 г. Приказ Минцифры России № 1312 также вступил в силу с 1 марта 2022 г.
Приказом Минцифры России № 1312 определяются признаки потенциальных нарушений требований в сфере электронной подписи аккредитованными удостоверяющими центрами.
Индикаторы из Приказов Минцифры России № 1308 и № 1312 нужны для принятия решения о проведении и выборе вида внепланового контрольного (надзорного) мероприятия.
Госконтроль в области обработки персональных данных
Госконтроль в области обработки персональных данных
«Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами» (далее – Приказ Роскомнадзора № 253) официально опубликован 28 февраля 2022 г. Приказ Роскомнадзора № 253 вступает в силу с 11 марта 2022 г.
Приказ Роскомнадзора № 253 устанавливает контрольные вопросы, определяющие соблюдение контролируемым лицом требований в области обработки персональных данных. В форму проверочного листа включены контрольные вопросы по выполнению требований:
- Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
- Приказа Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
- Постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
- Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
- пункта 8 ст. 86, ст. 87, 88 Трудового кодекса Российской Федерации.
- пунктов 3-6 ч. 1 с. 42 Федерального закона от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации».
Отчетность ЦБ РФ по защите информации
Центральный Банк России в феврале 2022 г. опубликовал ряд проектов указаний по формам отчетности регулятору, включающие в т.ч. и отчетности по защите информации:
- . Содержит форму 0420175 «Сведения об оценке выполнения требования к обеспечению защиты информации страховой организацией».
- . Включает форму 0420433 Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями».
- . Содержит форму 0420266 «Сведения об оценке выполнения требований к обеспечению защиты информации негосударственным пенсионным фондом».
- . Включает форму 0420722 «Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов».
- . Содержит формы отчетности 0420764 «Сведения об оценке выполнения требований к обеспечению защиты информации бюро кредитных историй» и 0420753 «Сведения о программно-технических средствах и сетевых коммуникациях бюро кредитных историй, средствах защиты информации, применяемых бюро кредитных историй, и лицах, допущенных к работе с программно-техническими средствами и сетевыми коммуникациями».
В феврале 2022 г. Банк России официально опубликовал «О внесении изменений в Указание Банка России от 8 октября 2018 года N 4927-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации», которое в том числе вводит формы отчетности:
- 0409071 «Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации».
- 0409106 «Отчет по управлению операционным риском в кредитной организации».
Стандарты по защите информации
утвержден и введен в действие с 1 февраля 2022 г. ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации».
В феврале 2022 г. на сайте ФСТЭК России было опубликовано «О реорганизации рабочей группы, назначении руководителя и утверждении состава рабочей группы» ( далее – Решение ТК 362).
Решением ТК 362 определены приоритеты по проведению работ по разработке классификации средств защиты информации и пересмотру следующих национальных стандартов:
- ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества».
- ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения».
- ГОСТ Р 53113.2-2009 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов».
