Обзор изменений в законодательстве за январь 2022

Обзор изменений в законодательстве за январь 2022
В обзоре за январь 2022 года узнаем об особенностях уведомления субъектами КИИ в сфере науки и оборонной промышленности ФСТЭК России; предполагаемых ужесточениях штрафных санкций за непредставление сведений по результатам категорирования. Рассмотрим нормотворческую деятельность в части регулирования процессов идентификации и (или) аутентификации с использованием биометрических ПДн, в т.ч. с применением ЕБС, а также в части стандартизации защиты информации.

Субъекты КИИ в сфере науки и оборонной промышленности

Информационным сообщением от 18 декабря 2021 г. № 240/81/2547 ФСТЭК России уведомляет о порядке рассмотрения перечней объектов критической информационной инфраструктуры (далее – КИИ), подлежащих категорированию, а также сведений о результатах категорирования субъектов КИИ в сфере науки и оборонной промышленности.

В части субъектов КИИ, являющихся федеральными органами исполнительной власти, государственными корпорациями, головными организациями интегрированных структур, а также включенных в Перечень стратегических предприятий и стратегических акционерных обществ, утвержденный Указом Президента Российской Федерации от 4 августа 2004 г. № 1009, рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России.

В части субъектов КИИ, являющихся самостоятельными юридическими лицами, дочерними, зависимыми обществами, входящими в интегрированные структуры, а также организациями, подведомственными органам власти субъектов РФ или органам местного самоуправления, рассмотрение перечней и сведений осуществляется управлением ФСТЭК России по федеральному округу, на территории которого расположены указанные субъекты КИИ.

Изменения в КоАП РФ в области обеспечения безопасности КИИ

ФСТЭК России 26 января 2022 г. опубликовала проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – проект ФЗ).

Проектом ФЗ предлагается внесение изменений в статью 19.7.15 КоАП РФ о непредставлении сведений, предусмотренных законодательством в области обеспечения безопасности КИИ РФ. Предполагается установление дополнительных мер ответственности субъектов КИИ за представление неактуальных или недостоверных сведений о результатах категорирования, а также за повторное непредставление, либо представление неактуальных или недостоверных сведений, или нарушение сроков представления. Так повторное совершение указанного административного правонарушения по проекту влечет наложение административного штрафа на должностных лиц в размере от 50 000 до 100 000 руб.; на юридических лиц – от 150 000 до 500 000 руб.

Идентификация и (или) аутентификация с использованием биометрических персональных данных

Минцифры России 28 января 2022 г. опубликовало проект приказа «Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации».
  • Статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – ФЗ № 149).
  • Приказа Минцифры России от 27 августа 2021 г. № 896 «Об утверждении требований к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа организации, владеющей информационной системой, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающей услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц».
  • Правил аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, утвержденных постановлением Правительства Российской Федерации от 20 октября 2021 г. № 1799.
В январе 2022 г. к публичному обсуждению был представлен проект постановления Правительства РФ «Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» (далее – Положение о ЕБС).

Положение о ЕБС разработано во исполнение части 1.2 статьи 14.1 ФЗ № 149 и определяет цели и задачи создания и развития Единой биометрической системы (ЕБС). Напомним, что статьей 14.1 ФЗ № 149 закреплено отнесение ЕБС к государственным информационным системам, что также отражено в Положение о ЕБС.

Также в январе 2022 г. к общественному обсуждению был представлен проект постановления Правительства РФ «Об утверждении порядка размещения физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также случаев и сроков использования указанных биометрических персональных данных» (далее – Проект ПП РФ).

Проект ПП РФ определяет порядок размещения биометрических персональных данных (далее – ПДн) в ЕБС посредством мобильного приложения. Предполагается, что программное обеспечение должно быть российской разработки и предполагать штатное функционирование с прошедшими в установленном порядке процедуру оценки соответствия шифровальными (криптографическими) средствами защиты информации.

Кроме того, в январе 2022 г. был опубликован Проект постановления Правительства РФ «Об утверждении порядка получения кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона «О Центральном банке Российской Федерации (Банке России)» виды деятельности, субъектами национальной платежной системы, иными организациями, владеющими информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающими услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, согласия субъектов персональных данных для размещения принадлежащих им биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» (далее – Проект Порядка).

Проект Порядка устанавливает процедуру уведомления субъектов ПДн о возможности размещения их биометрических ПДн в ЕБС организациями финансового рынка, иными организациями, владеющими информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических ПДн, и (или) оказывающими услуги по идентификации и (или) аутентификации с использованием биометрических ПДн.

Стандарты по защите информации

Согласно перспективным планам на 2022-2024 гг. Технический комитет по стандартизации «Защита информации» (ТК 362) планирует пересмотреть и разработать 38 национальных стандартов.
К разработке предлагается ряд терминологических стандартов, стандарты по управлению идентификацией и аутентификацией, стандарты по управлению доступом, разработке безопасного ПО и доверенных систем. Пересмотреть планируется ГОСТ Р 50922; ГОСТы серии 15408; ГОСТ Р ИСО/МЭК 18045-2013; ГОСТ Р 52447-2005; ГОСТ Р 53113.1-2008 и 53113.2-2009; ГОСТ Р 56939.
Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) в январе 2022 г. опубликовал:
  • Проект предварительного национального стандарта (ПНСТ) «Информационная технология. Криптографическая защита информации. Термины и определения». Обсуждения проекта продлятся до 31 марта 2022 г.
  • Проект рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Контрольные примеры использования российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3)». Завершение обсуждения запланировано на 24 марта 2022 г.
  • Проект рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе штампов времени (TSP)». Завершение обсуждения – 20 марта 2022 г.
Также следует отметить, что с 1 января 2022 г. в силу вступают следующие ГОСТы:

  • ГОСТ 34.201-2020 «Информационные технологии (ИТ). Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем» взамен ГОСТ 34.201-89.
  • ГОСТ 34.602-2020 «Информационные технологии (ИТ). Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» взамен ГОСТ 34.602-89.
  • ГОСТ Р 59853-2021 «Информационные технологии (ИТ). Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» взамен ГОСТ 34.003-90.
  • ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
Автор: Анастасия Заведенская, старший аналитик УЦСБ
информационная безопасность КИИ
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

ussc

Уральский центр систем безопасности УЦСБ