Автор: Лобачева Любовь, аналитик
В обзоре изменений за февраль 2023 года рассмотрим: положение о единой биометрической системе (далее – ЕБС), взаимодействие оператора регионального сегмента ЕБС с Министерством внутренних дел Российской Федерации (далее – МВД России) и Федеральной службой безопасности Российской Федерации (далее – ФСБ России), порядок обработки биометрических персональных данных (далее – ПДн) и изменение случаев и сроков их использования, национальные стандарты по безопасности финансовых операций и управлению компьютерными инцидентами, изменения в приказе Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) № 235, отраслевой план перехода на использование отечественного программного обеспечения (далее – ПО) на значимых объектах критической информационной инфраструктуры (далее – КИИ) и порядок оценки актуальности сведений о субъектах КИИ, новые формы заявлений ФСТЭК России по лицензированию, контроль защиты государственной тайны, управление федеральной государственной информационной системой (далее – ГИС) «Управление государственной единой облачной платформой» (далее – ГосОблако), внеплановые проверки Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), перечень иностранных сервисов и другие новости.
Признание геномной информации биометрическими ПДн
Официально опубликован «О внесении изменений в Федеральный закон «О государственной геномной регистрации в Российской Федерации» и отдельные законодательные акты Российской Федерации». Согласно изменениям геномная информация признается биометрическими ПДн.
Под геномной информацией понимаются биометрические ПДн, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа.
Данное изменение вступает в силу 8 мая 2023 года.
ФСБ России отменила ряд административных регламентов по лицензированию отдельных видов деятельности
Официально опубликован «О признании утратившими силу приказов ФСБ России по вопросам предоставления органами федеральной службы безопасности государственных услуг по лицензированию отдельных видов деятельности», который признает утратившими силу следующие приказы ФСБ России:
- «Об утверждении административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»;
- «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации»;
- «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»;
- «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)»;
- «Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации».
Основанием для таких изменений является вступление в силу с 3 февраля 2023 года пункта 7 части 2.3 статьи 1 «Об организации предоставления государственных и муниципальных услуг» (далее – 210-ФЗ), в соответствии с которым устанавливается, что деятельность, осуществляемая ФСБ России, не является предоставлением государственных и муниципальных услуг.
Новые формы документов ФСТЭК России по лицензированию видов деятельности
14 февраля 2023 года вступили в силу «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17.07.2017 г. № 134 и внесенных в него изменений» и «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17.07.2017 г. № 133 и внесенных в него изменений».
Приказы отменяют действующие ранее административные регламенты по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации и по разработке и производству средств защиты конфиденциальной информации.
Взамен старых утверждаются новые формы, необходимые ФСТЭК России в процессе лицензирования указанных видов деятельности для юридических лиц и индивидуальных предпринимателей:
- заявление о предоставлении лицензии;
- заявление о внесении изменений в реестр лицензий;
- заявление о прекращении действия лицензии;
- заявление об исправлении технических ошибок в сведениях, внесенных в реестр лицензий;
- заявление о предоставлении сведений о конкретной лицензии.
Основанием для таких изменений является вступление в силу с 3 февраля 2023 года пункта 7 части 2.3 статьи 1 210-ФЗ, согласно которому деятельность, осуществляемая ФСТЭК России, не является предоставлением государственных и муниципальных услуг.
Президента НИЦ «Курчатовский институт» включили в состав комиссии по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ
Опубликован «О внесении изменения в состав Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации по должностям, утвержденный Указом Президента Российской Федерации от 14 апреля 2022 г. № 203».
В соответствии с данным Указом в Межведомственную комиссию Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ, в состав которой входят заместитель Председателя Совета Безопасности РФ, заместители Председателя Правительства РФ, министры некоторых ведомств, директора Росгвардии, ФСБ России, ФСТЭК России, гендиректора Госкорпораций «Росатом», «Роскосмос», «Ростех» и другие участники, включен Президент федерального государственного бюджетного учреждения «Национальный исследовательский центр «Курчатовский институт».
Биометрические ПДн и ЕБС
Положение о ЕБС
Опубликован «Об утверждении Положения о единой биометрической системе, в том числе о ее региональных сегментах, и о признании утратившим силу постановления Правительства Российской Федерации от 16.06.2022 № 1089».
Основное отличие проекта постановления от ранее действующего «Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» (далее – ПП 1089) заключается в появлении региональных сегментов ЕБС, определении порядка их функционирования, взаимодействия с другими информационными системами (далее – ИС) и обработки ими биометрических ПДн.
Проектом постановления устанавливается, что ЕБС и региональные сегменты используются в целях идентификации и аутентификации физических лиц с использованием биометрических ПДн государственными органами, органами местного самоуправления, Центральным банком РФ, банками, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке, нотариусами и иными организациями (далее – участники взаимодействия). Также проектом постановления закрепляется, что функционирование ЕБС и ее региональных сегментов осуществляется с учетом положений (далее – 152-ФЗ), в том числе установленных организационных и технических мер по обеспечению безопасности ПДн.
Размещение в ЕБС биометрических ПДн физического лица может осуществляться банками, многофункциональными центрами предоставления государственных и муниципальных услуг (далее – МФЦ) и иными организациями, а также физическими лицами самостоятельно посредством мобильного приложения ЕБС.
ЕБС проверяет соответствие биометрических ПДн векторам ЕБС (результат математического преобразования биометрических ПДн физического лица), содержащимся в ЕБС, и предоставляет информацию о результатах проверки участникам взаимодействия.
Также в проекте постановления появился ряд функций оператора ЕБС, которых не было в ПП 1089:
- осуществление по требованию физического лица блокирования или уничтожения биометрических ПДн, векторов ЕБС;
- направление мотивированного запроса оператору регионального сегмента, аккредитованному государственному органу, Центральному банку РФ, иной организации, осуществляющей аутентификацию на основе биометрических ПДн о блокировании, удалении, уничтожении векторов ЕБС или внесении изменений в имеющиеся сведения;
- предоставление результатов проверки соответствия ПДн, предоставленных на основании обращения субъекта ПДн, предполагающего неправомерную обработку его биометрических ПДН при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации;
- и другие.
В ЕБС запрещена в целях осуществления идентификации или аутентификации обработка геномной информации и сведений, отнесенных к государственной тайне.
Общественное обсуждение проекта завершилось 21 февраля 2023 года.
Правила предоставления оператором регионального сегмента ЕБС сведений в МВД России и ФСБ России
Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) опубликовало для общественного обсуждения «О внесении изменений в постановление Правительства Российской Федерации от 28.12.2018 № 1703». Согласно изменениям в текущее постановление предлагается добавить Правила предоставления оператором регионального сегмента ЕБС в МВД России и ФСБ России сведений, содержащихся в региональном сегменте.
Утверждение правил обусловлено вступлением в силу с 1 июня 2023 года «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (далее – 572-ФЗ), согласно которому оператор регионального сегмента ЕБС по мотивированному запросу обязан предоставить в МВД России и ФСБ России сведения, содержащиеся в региональном сегменте.
Общественное обсуждение завершилось 7 февраля 2023 года.
Порядок обработки биометрических ПДн и векторов ЕБС
Официально опубликован «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц», которым планируется заменить «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации» с целью актуализации порядка обработки биометрических ПДн, установления порядка обработки векторов ЕБС, распространения действия приказа на региональные сегменты ЕБС и приведения положений приказа в соответствие с 572-ФЗ.
Проектом приказа устанавливаются:
- порядок обработки биометрических ПДн, в том числе требования к параметрам биометрических ПДн;
- порядок размещения, обновления, случаи и сроки использования биометрических ПДн при их размещении в ЕБС;
- порядок обработки биометрических ПДн, векторов ЕБС в ИС аккредитованных государственных органов, Центрального банка РФ в случае прохождения им аккредитации, иных организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц;
- порядок создания и передачи векторов ЕБС в целях осуществления аутентификации;
- требования к информационным технологиям и техническим средствам, предназначенным для обработки биометрических ПДн и векторов ЕБС в целях проведения идентификации и (или) аутентификации и порядок подтверждения соответствия указанным требованиям.
Стоит отметить, что в ЕБС осуществляется сбор двух видов данных – изображений лица, полученных с помощью фото- и (или) видеоустройств, и данных голоса, полученных с помощью звукозаписывающих устройств, с последующим созданием биометрических образцов данных изображения лица и (или) голоса физического лица. Биометрические образцы проходят контроль качества с использованием ПО ЕБС.
Размещение и обновление биометрических ПДн в региональном сегменте ЕБС осуществляется физическими лицами с использованием регионального мобильного приложения ЕБС самостоятельно, в то время как размещение биометрических ПДн в ЕБС также возможно:
- банками, МФЦ и иными организациями после проведения идентификации при личном присутствии физического лица;
- государственными органами, органами местного самоуправления, Центральным банком РФ, банками и иными организациями, в случае если в их ИС собраны биометрические ПДн, соответствующие видам, размещаемым в ЕБС;
- региональным сегментом ЕБС.
Общественное обсуждение проекта продлится до 9 марта 2023 года.
Правила получения согласия физического лица на обработку биометрических ПДн в ЕБС
Минцифры России для общественного обсуждения опубликовало «Об утверждении правил получения согласия физического лица на размещение биометрических персональных данных в региональном сегменте единой биометрической системы, их передачу и обработку в единой биометрической системе, а также согласия физического лица на обработку персональных данных и биометрических персональных данных в целях проведения аутентификации в соответствии с пунктом 10 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» и формы согласия физического лица на размещение биометрических персональных данных в региональном сегменте единой биометрической системы».
Согласно проекту постановления оператор сможет получать согласия на размещение биометрических ПДн в региональном сегменте ЕБС в электронном виде с использованием регионального мобильного приложения ЕБС.
Субъекту ПДн необходимо будет заполнить в приложении Форму согласия на размещение биометрических ПДн в региональном сегменте (далее – Форма согласия). Стоит отметить, что при заполнении физическим лицом Формы согласия, согласие на обработку биометрических ПДн дается сразу двум операторам – оператору регионального сегмента и оператору ЕБС.
Помимо этого, физическое лицо указывает в Форме согласия:
- фамилию, имя, отчество;
- паспортные данные;
- адрес проживания;
- чьи ПДн разрешается размещать в региональном сегменте ЕБС (свои, недееспособного или несовершеннолетнего);
- полное наименование оператора регионального сегмента и адрес местонахождения;
- сведения о недееспособном или несовершеннолетнем лице (при наличии).
Общественное обсуждение проекта постановления завершилось 16 февраля 2023 года.
Изменение случаев и сроков использования биометрических ПДн
Опубликован «О внесении изменений в постановление Правительства Российской Федерации от 15.06.2022 № 1067», который разработан в целях приведения в соответствие с 572-ФЗ.
Изменениями предлагается утвердить случаи и сроки использования биометрических ПДн, размещенных физическими лицами в ЕБС с использованием:
- мобильного приложения ЕБС;
- мобильного приложения ЕБС при отсутствии сведений о физическом лице в единой системе идентификации и аутентификации;
- мобильного приложения ЕБС, согласие физического лица на размещение и обработку которых подписано простой электронной подписью;
- мобильного приложения ЕБС без подтверждения личности физического лица с использованием загранпаспорта, содержащего электронный носитель информации.
При этом в зависимости от способа размещения биометрические ПДн можно будет использовать в различных случаях. Так при размещении в ЕБС с использованием мобильного приложения биометрические ПДн могут использоваться при выдаче квалифицированной электронной подписи, заключении договоров об оказании услуг связи посредством сети «Интернет» или аутентификации на портале Госуслуг.
Другие способы размещения позволяют использовать биометрические ПДн, например, при осуществлении оплаты проезда с использованием ИС, аутентификации на сайтах и в мобильных приложениях, осуществлении прохода на территорию государственных органов и организаций посредством системы контроля и управления доступом.
Общественное обсуждение проекта постановления завершилось 20 февраля 2023 года.
Правила рассмотрения обращений об образовании регионального сегмента ЕБС
Опубликован «Об утверждении правил рассмотрения обращения высшего исполнительного органа субъекта Российской Федерации об образовании регионального сегмента в составе единой биометрической системы, а также предложений уполномоченного органа в сфере идентификации и аутентификации физических лиц на основе биометрических персональных данных об образовании регионального сегмента в составе единой биометрической системы и об исключении регионального сегмента из состава единой биометрической системы», который разработан в виду вступления в силу с 1 июня 2023 года части 2 статьи 5 572-ФЗ.
Правила устанавливают порядок и сроки рассмотрения обращений субъектов РФ об образовании регионального сегмента ЕБС, а также предложений об образовании или исключении регионального сегмента из состава ЕБС.
Обращение об образовании в составе ЕБС регионального сегмента должно содержать:
- наименование ГИС и их модулей, которые будут образовывать региональный сегмент;
- наименование оператора регионального сегмента;
- сведения о соответствии ГИС требованиям 572-ФЗ к региональному сегменту;
- выписку из модели угроз, содержащую информацию о составе и особенностях функционирования ГИС;
- сведения о технических параметрах взаимодействия регионального сегмента с ЕБС;
- фамилию, имя, отчество и контактные данные ответственного за сопровождение рассмотрения обращения.
В случае соответствия предоставленных данных установленным требованиям обращение и проект предложения об образовании регионального сегмента направляются на согласование в ФСБ России, ФСТЭК России и оператору ЕБС. При выявлении несоответствий требованиям 572-ФЗ субъекту РФ дается 60 рабочих дней на их устранение.
После устранения несоответствий и положительного результата согласования Правительством РФ принимается решение о создании регионального сегмента.
При выявлении факта несоблюдения оператором регионального сегмента установленных требований может быть инициировано предложение об исключении регионального сегмента из состава ЕБС.
Общественное обсуждение проекта постановления завершилось 14 февраля 2023 года
Критическая информационная инфраструктура
Изменения в приказе ФСТЭК № 235
ФСТЭК России для общественного обсуждения представил «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21.12.2017 № 235».
Проектом приказа вносятся изменения, согласно которым специалисты со средним профессиональным образованием по специальности «Информационная безопасность» могут быть привлечены к выполнению следующих функций:
- установка и настройка средств защиты информации (далее – СрЗИ) значимых объектов КИИ;
- информирование работников о нарушениях требований по безопасности информации и правил эксплуатации СрЗИ;
- ведение протоколов и журналов учета при осуществлении мониторинга СрЗИ значимых объектов КИИ.
В соответствии с требованиями, установленными , в проекте приказа появилась возможность возложить полномочия по созданию системы безопасности, организации и контролю ее функционирования на заместителя руководителя субъекта КИИ, а также возложить функции по обеспечению безопасности значимых объектов КИИ на структурное подразделение или отдельных работников структурного подразделения, ответственных за обеспечение безопасности значимых объектов КИИ.
Также в проекте приказа закрепляется необходимость реализации субъектом КИИ организационных и технических мер, обеспечивающих нейтрализацию угроз безопасности информации, в соответствии с , если нет возможности обеспечить СрЗИ гарантийной или технической поддержкой со стороны разработчиков.
Общественное обсуждение завершится 8 марта 2023 года.
Оценка актуальности сведений о субъектах КИИ в области оборонной, металлургической и химической промышленности
Министерство промышленности и торговли Российской Федерации (далее – Минпромторг России) представило для общественного обсуждения «Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, и определении состава организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации». Данный проект приказа разработан в соответствии пунктами 192 и 193 (далее – Правила категорирования), в которых сказано, что государственные органы, выполняющие функции по реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, определяют порядок проведения и осуществляют мониторинг представления субъектами КИИ, осуществляющими виды деятельности в соответствующих сферах, актуальных и достоверных сведений, указанных в пункте 17 Правил категорирования.
Проект приказа устанавливает перечень информации, запрашиваемой об объектах КИИ:
- документы, определяющие форму собственности субъекта КИИ и разрешенные виды экономической деятельности;
- информация об организационной структуре субъекта КИИ;
- перечень и описание бизнес-процессов субъекта КИИ (процессная карта);
- документы, регламентирующие порядок обеспечения безопасности информации субъекта КИИ, сведения об организации охраны территории и объектов КИИ;
- сведения об опасных производственных объектах, потенциально опасных объектах;
- перечень ИС, автоматизированных систем управления, информационно-телекоммуникационных систем, принадлежащих субъекту КИИ и ряд сведений о них;
- финансовая отчетность за прошедший пятилетний период;
- перечень объектов КИИ, подлежащих категорированию, сведения о результатах категорирования и о методике расчета показателей критериев значимости для объектов КИИ;
- сведения о взаимодействии субъекта КИИ с Национальным координационным центром по компьютерным инцидентам в области обнаружения, предупреждения и ликвидации последствий компьютерных атак (при наличии);
- копии ряда сопроводительных писем (о направлении сведений о результатах категорирования и перечней объектов КИИ в ФСТЭК России и т.д.);
- иная информация.
Также утверждаемый порядок определяет методы и порядок проведения оценки (в том числе и выездной), цели, задачи и состав рабочей группы по проведению оценки, сроки и порядок формирования экспертного заключения по результатам оценки и иные аспекты.
Общественное обсуждение проекта приказа завершилось 20 февраля 2023 года.
Отраслевой план перехода на преимущественное использование отечественного ПО на значимых объектах КИИ
Минпромторг России представил для общественного обсуждения «Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на значимых объектах критической информационной инфраструктуры Российской Федерации, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии».
Отраслевой план содержит наименования классов (типов) ПО и долю используемого отечественного ПО, которая должна быть достигнута по результатам 2023 и 2024 годов в горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности, а также в области использования атомной энергии. По итогам 2024 года доля отечественного ПО по всем видам должна составлять 100%.
Общественное обсуждение завершилось 22 февраля 2023 года.
Управление государственной единой облачной платформой
Минцифры России представило для общественного обсуждения «Об утверждении Положения о федеральной государственной информационной системе «Управление государственной единой облачной платформой».
Проект постановления определяет Минцифры России оператором ГосОблака.
Данный проект разработан в целях мониторинга функционирования инфраструктуры ГосОблака, управления параметрами и уровнем предоставления услуг. В проекте постановления определены цели, назначение, основные задачи и функции, состав участников и порядок использования ГосОблака, описание подсистем и порядок обеспечения доступа к ГосОблаку.
Общественное обсуждение проекта постановления завершилось 1 марта 2023 года.
Контроль за обеспечением защиты государственной тайны
ФСБ России представила для общественного обсуждения «Об утверждении Правил осуществления федерального государственного контроля за обеспечением защиты государственной тайны, об изменении и признании утратившими силу некоторых актов Правительства Российской Федерации».
Проект постановления вносит изменение в «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», возлагая полномочия по контролю за соблюдением лицензионных условий лицензиатами, выполняющими работы, связанные с использованием сведений, составляющих государственную тайну, созданием СрЗИ или оказанием услуг по защите государственной тайны на уполномоченные органы государственной власти в соответствии с их компетенцией. Ранее данные полномочия были возложены на органы, уполномоченные на ведение лицензионной деятельности.
Также проект устанавливает новый порядок осуществления государственного контроля за обеспечением защиты гостайны с учетом особенностей и специфики деятельности уполномоченных на его проведение органов государственного контроля. В проекте установлен перечень органов государственного контроля , их права и обязанности, полномочия руководителей органов государственного контроля, а также порядок осуществления проверок и требования к результатам.
Общественное обсуждение проекта постановления завершилось 2 марта 2023 года.
Изменения в Положении о проведении эксперимента по повышению уровня защищенности ГИС
Минцифры России представила «О внесении изменений в постановление Правительства Российской Федерации от 13.05.2022 № 860». Проектом постановления предлагается продлить срок реализации эксперимента на 1 год – до 30 марта 2024 года, а также дополнить его мероприятиями по устранению участниками эксперимента выявленных недостатков в системах защиты информации ГИС и оценкой уровня защищенности ГИС и их компонентов.
Помимо этого, изменения затронули перечень обязательств Минцифры России и участников эксперимента. Если ранее Минцифры России самостоятельно разрабатывала и согласовывала с ФСТЭК России и ФСБ России перечень мер, направленных на нейтрализацию выявленных в ГИС в рамках эксперимента недостатков, то теперь это обязательство перешло к участникам эксперимента. Еще одним нововведением стало решение Минцифры России привлечь ФСТЭК России к контролю за ходом реализации участниками эксперимента мероприятий по устранению выявленных недостатков.
По состоянию на 1 марта 2023 года проект находится на стадии завершения разработки и формирования окончательного варианта текста документа.
Штраф за неисполнение обязанности обеспечению устойчивого функционирования средств связи
С 1 февраля 2023 года вступила в силу З «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», согласно которой к административной ответственности за неисполнение обязанности по соблюдению требований к обеспечению устойчивого функционирования средств связи, обеспечивающих взаимодействие с другими средствами связи, в том числе находящихся за пределами территории РФ, могут быть привлечены:
- операторы связи;
- владельцы технологической сети связи;
- лица, обеспечивающие функционирование ИС и (или) ПО, предназначенные для приема, передачи, доставки или обработки электронных сообщений пользователей сети «Интернет».
Размер штрафов:
- для граждан – от 3 тысяч до 5 тысяч рублей;
- для должностных лиц – от 5 тысяч до 10 тысяч рублей;
- для индивидуальных предпринимателей – от 10 тысяч до 20 тысяч рублей;
- для юридических лиц – от 30 тысяч до 50 тысяч рублей.
Стандарты
ГОСТ по управлению риском реализации информационных угроз
С 1 февраля начал действовать новый стандарт «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения» (далее – ГОСТ Р 57580.3-2022).
ГОСТ Р 57580.3-2022 определяет требования к составу и содержанию мер по управлению риском реализации информационных угроз. Данные меры применяются кредитными и некредитными финансовыми организациями (далее – финансовые организации) в рамках следующих направлений:
- планирование системы управления риском реализации информационных угроз (далее – система управления риском);
- реализация системы управления риском;
- контроль системы управления риском;
- совершенствование системы управления риском.
Каждое из направлений включает перечень процессов и состав технических и организационных мер по их реализации. Так планирование системы управления риском включает процессы определения политики управления риском, выявления и идентификации риска, его оценку, организации ресурсного (кадрового и финансового) обеспечения.
Реализация системы управления риском включает планирование, реализацию, контроль и совершенствование мероприятий, направленных на повышение эффективности управления риском и уменьшение негативного влияния риска (разработку мероприятий, защиту от информационных угроз, реагирование на инциденты и т.д.), выявление событий риска, обеспечение осведомленности об актуальных информационных угрозах.
Контроль системы управления риском включает установление программ контроля и аудита и мониторинг риска реализации информационных угроз.
Совершенствование системы управления риском включает обеспечение соответствия фактического уровня риска контрольному показателю уровня риска реализации информационных угроз, принятому финансовой организацией.
Помимо систем управления риском, данные требования применимы к системам организации и управления защитой информации и системам организации и управления операционной надежностью.
Данный стандарт аналогично «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» устанавливает три уровня защиты:
- уровень 1 – усиленный;
- уровень 2 – стандартный;
- уровень 3 – минимальный.
Уровень защиты финансовой организации устанавливается нормативными актами Банка России на основании вида деятельности, состава предоставляемых услуг, объема финансовых (банковских) операций, размера организации и ее значимости в рамках банковской системы.
ГОСТ по обеспечению операционной надежности
1 февраля введен в действие «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.4-2022).
ГОСТ Р 57580.4-2022 описывает требования к составу и содержанию мер обеспечения операционной надежности, дополняя требования «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» и «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг».
Стандартом устанавливаются требования к мерам по обеспечению операционной надежности следующих процессов:
- идентификация критичной архитектуры;
- управление изменениями;выявление, регистрация, реагирование на инциденты и восстановление после их реализации;
- взаимодействие с поставщиками услуг;
- тестирование операционной надежности бизнес- и технологических процессов;
- защита критичной архитектуры от возможностей реализации угроз при организации удаленной работы;
- управление риском внутреннего нарушителя;
- обеспечение осведомленности об актуальных информационных угрозах.
Образовательный стандарт «Обеспечение информационной безопасности информационных систем»
Министерство просвещения РФ представило «Об утверждении федерального государственного образовательного стандарта среднего профессионального образования по специальности 10.02.04 Обеспечение информационной безопасности информационных систем».
Согласно стандарту обучение предусматривается в очной и очно-заочной форме, а выпускникам будет присваиваться квалификация специалиста среднего звена «техник по защите информации».
Общественное обсуждение образовательного стандарта завершилось 15 февраля 2023 года.
Национальный стандарт «Интеллектуальные системы учета электрической энергии (мощности). Общие технические требования»
Технический комитет по стандартизации «Электроэнергетика» представил для рассмотрения «Интеллектуальные системы учета электрической энергии (мощности). Общие технические требования». Стандарт устанавливает общие технические требования к интеллектуальным системам учета электрической энергии (далее – ИСУЭ), а также содержит требования к защищенности и информационной безопасности, которые определяются исходя из присвоенной категории значимости или требуемого уровня защищенности ПДн, если они обрабатываются ИСУЭ.
К ИСУЭ должны применяться меры, обеспечивающие:
- идентификацию и аутентификацию, в частности соблюдение парольной политики;
- предотвращение неправомерного доступа к информации, обрабатываемой ИСУЭ;
- недопущение воздействия на технические или программные средства ИСУЭ;
- восстановление функционирования;
- контроль доступа пользователей и обнаружение несанкционированного доступа.
Помимо этого стандартом описывается порядок разработки частных моделей угроз и применения средств криптографической защиты информации при передаче информации по каналам ИСУЭ.
Рассмотрение первой редакции проекта стандарта завершилось 20 февраля 2023 года.
ГОСТы по управлению компьютерными инцидентами
С 1 февраля 2023 года введены в действие ГОСТы по управлению компьютерными инцидентами:
- «Защита информации. Управление компьютерными инцидентами. Термины и определения»;
- «Защита информации. Управление компьютерными инцидентами. Общие положения»;
- «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами»;
- «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты».
Разработанные стандарты регламентируют процессы управления компьютерными инцидентами и предназначены для участников информационного обмена с ГосСОПКА.
