В обзоре за январь 2022 года узнаем об особенностях уведомления субъектами КИИ в сфере науки и оборонной промышленности ФСТЭК России; предполагаемых ужесточениях штрафных санкций за непредставление сведений по результатам категорирования. Рассмотрим нормотворческую деятельность в части регулирования процессов идентификации и (или) аутентификации с использованием биометрических ПДн, в т.ч. с применением ЕБС, а также в части стандартизации защиты информации.
Субъекты КИИ в сфере науки и оборонной промышленности
от 18 декабря 2021 г. № 240/81/2547 ФСТЭК России уведомляет о порядке рассмотрения перечней объектов критической информационной инфраструктуры (далее – КИИ), подлежащих категорированию, а также сведений о результатах категорирования субъектов КИИ в сфере науки и оборонной промышленности.
В части субъектов КИИ, являющихся федеральными органами исполнительной власти, государственными корпорациями, головными организациями интегрированных структур, а также включенных в Перечень стратегических предприятий и стратегических акционерных обществ, утвержденный Указом Президента Российской Федерации от 4 августа 2004 г. № 1009, рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России.
В части субъектов КИИ, являющихся самостоятельными юридическими лицами, дочерними, зависимыми обществами, входящими в интегрированные структуры, а также организациями, подведомственными органам власти субъектов РФ или органам местного самоуправления, рассмотрение перечней и сведений осуществляется управлением ФСТЭК России по федеральному округу, на территории которого расположены указанные субъекты КИИ.
Изменения в КоАП РФ в области обеспечения безопасности КИИ
ФСТЭК России 26 января 2022 г. опубликовала «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – проект ФЗ).
Проектом ФЗ предлагается внесение изменений в статью 19.7.15 КоАП РФ о непредставлении сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ. Предполагается установление дополнительных мер ответственности субъектов КИИ за представление неактуальных или недостоверных сведений о результатах категорирования, а также за повторное непредставление, либо представление неактуальных или недостоверных сведений, или нарушение сроков представления. Так повторное совершение указанного административного правонарушения по проекту влечет наложение административного штрафа на должностных лиц в размере от 50 000 до 100 000 руб.; на юридических лиц – от 150 000 до 500 000 руб.
Идентификация и (или) аутентификация с использованием биометрических персональных данных
Минцифры России 28 января 2022 г. опубликовало «Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации».
- Статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – ФЗ № 149).
- Приказа Минцифры России от 27 августа 2021 г. № 896 «Об утверждении требований к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа организации, владеющей информационной системой, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающей услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц».
- Правил аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, утвержденных постановлением Правительства Российской Федерации от 20 октября 2021 г. № 1799.
В январе 2022 г. к публичному обсуждению был представлен «Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» (далее – Положение о ЕБС).
Положение о ЕБС разработано во исполнение части 1.2 статьи 14.1 ФЗ № 149 и определяет цели и задачи создания и развития Единой биометрической системы (ЕБС). Напомним, что статьей 14.1 ФЗ № 149 закреплено отнесение ЕБС к государственным информационным системам, что также отражено в Положение о ЕБС.
Также в январе 2022 г. к общественному обсуждению был представлен «Об утверждении порядка размещения физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также случаев и сроков использования указанных биометрических персональных данных» (далее – Проект ПП РФ).
Проект ПП РФ определяет порядок размещения биометрических персональных данных (далее – ПДн) в ЕБС посредством мобильного приложения. Предполагается, что программное обеспечение должно быть российской разработки и предполагать штатное функционирование с прошедшими в установленном порядке процедуру оценки соответствия шифровальными (криптографическими) средствами защиты информации.
Кроме того, в январе 2022 г. был опубликован «Об утверждении порядка получения кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)» виды деятельности, субъектами национальной платежной системы, иными организациями, владеющими информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающими услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, согласия субъектов персональных данных для размещения принадлежащих им биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» (далее – Проект Порядка).
Проект Порядка устанавливает процедуру уведомления субъектов ПДн о возможности размещения их биометрических ПДн в ЕБС организациями финансового рынка, иными организациями, владеющими информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических ПДн, и (или) оказывающими услуги по идентификации и (или) аутентификации с использованием биометрических ПДн.
Стандарты по защите информации
Согласно Технический комитет по стандартизации «Защита информации» (ТК 362) планирует пересмотреть и разработать 38 национальных стандартов.
К разработке предлагается ряд терминологических стандартов, стандарты по управлению идентификацией и аутентификацией, стандарты по управлению доступом, разработке безопасного ПО и доверенных систем. Пересмотреть планируется ГОСТ Р 50922; ГОСТы серии 15408; ГОСТ Р ИСО/МЭК 18045-2013; ГОСТ Р 52447-2005; ГОСТ Р 53113.1-2008 и 53113.2-2009; ГОСТ Р 56939.
Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) в январе 2022 г. опубликовал:
- (ПНСТ) «Информационная технология. Криптографическая защита информации. Термины и определения». Обсуждения проекта продлятся до 31 марта 2022 г.
- «Информационная технология. Криптографическая защита информации. Контрольные примеры использования российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3)». Завершение обсуждения запланировано на 24 марта 2022 г.
- «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе штампов времени (TSP)». Завершение обсуждения – 20 марта 2022 г.
Также следует отметить, что с 1 января 2022 г. в силу вступают следующие ГОСТы:
- ГОСТ 34.201-2020 «Информационные технологии (ИТ). Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» взамен ГОСТ 34.201-89.
- ГОСТ 34.602-2020 «Информационные технологии (ИТ). Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» взамен ГОСТ 34.602-89.
- ГОСТ Р 59853-2021 «Информационные технологии (ИТ). Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» взамен ГОСТ 34.003-90.
- ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
