Дайджест изменений в российское законодательство по ИБ №19

Дайджест изменений в российское законодательство по ИБ №19
    Правительство подготовило проект постановления “О внесении изменений в постановление Правительства Российской Федерации от 10 июля 2017 г. № 816 “О порядке регистрации радиоэлектронных средств и высокочастотных устройств государственных органов и организаций, используемых для нужд органов государственной власти, для нужд обороны страны, безопасности государства и обеспечения правопорядка, и внесении изменений в постановление Правительства Российской Федерации от 12 октября 2004 г. № 539”. Изменения носят косметический характер и подготовлены в связи с признанием утратившим силу с 1 марта 2022 г. постановления Правительства Российской Федерации от 12 октября 2004 г. № 539 «О порядке регистрации радиоэлектронных средств и высокочастотных устройств” и вступлением в силу постановления Правительства Российской Федерации от 20 октября 2021 г. № 1800 “О порядке регистрации радиоэлектронных средств и высокочастотных устройств”. ​К такого рода устройствам и средствам относятся генераторы шумов и иные средства защиты от утечек по техническим каналам.
  1. В период с 2022 года по 2024 год технический комитет по стандартизации «Защита информации» (ТК 362) планирует разработать ряд национальных стандартов, среди которых терминологические стандарты, стандарты по управлению идентификацией и аутентификацией, стандарты по управлению доступом, разработке безопасного ПО и доверенных систем. Кроме того, планируется пересмотреть ГОСТ 15408 и 18045, ГОСТ 52447, 53113 и 56939.

  2. С 01.01.2022 вступило в силу Указание Банка России от 16.12.2021 №6018-У «О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами».

  3. Президент РФ своим указом наделил Минобороны и Генштаб полномочиями в сфере международной информационной безопасности, присоединив эти две структуры к МИДу, который ранее единственный отвечал за реализацию основ государственной политики в области международной ИБ, утвержденных в апреле 2020 года.

  4. Правительство подготовило проект постановления «Об утверждении порядка размещения физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также случаев и сроков использования указанных биометрических персональных данных”, необходимость принятого которого обусловлена необходимостью обеспечения полностью удаленного взаимодействия сторон различных отношений; при этом удаленное взаимодействие должно быть обеспечено посредством достоверной юридически значимой дистанционной идентификации участников взаимодействия. Указанное постановление позволяет физическим лицам с применением мобильного устройства посредством мобильного приложения ЕБС размещать свои биометрические данные в ЕБС. При этом такое размещение допускается при наличии подтвержденной учетной записи в ЕСИА, а также при наличии действительного заграничного паспорта с биометрическими данными.

  5. Правительство подготовило проект постановления “Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица”, которое определяет цели и задачи создания единой биометрической системы, которая является государственной информационной системой и элементом инфраструктуры, обеспечивающей информационно-технологическое взаимодействие действующих и создаваемых информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, а также порядок ее функционирования и взаимодействия с иными информационными системами.

    Этот проект постановления появился спустя некоторое время после внесения поправок в 149-ФЗ, которые позволили отдельным СМИ писать, что теперь ЕБС стала ГИС. На самом деле она и была ГИС (после поправок в ФЗ-149 законом 479-ФЗ в 2020-м году). Просто недавние правки, которые многими были приняты за придание ЕБС статуса ГИС, позволили разработать и принять Положение о ЕБС, а также допустить сдавать биометрические ПДн через смартфоны. 

  6. Правительство подготовило проект постановления “Об утверждении порядка получения кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона “О Центральном банке Российской Федерации (Банке России)” виды деятельности, субъектами национальной платежной системы, иными организациями, владеющими информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающими услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц, согласия субъектов персональных данных для размещения принадлежащих им биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица”.

    Утверждаемый порядок направлен на обеспечение достоверного и подробного информирования субъекта персональных данных о возможности передачи его биометрических персональных данных в ЕБС. Проектом постановления предусмотрено несколько способов направления соответствующего уведомления субъекту ПДн, а именно, использование мобильного приложения организации, а также направление СМС-сообщения.

  7. Принято Постановление Правительства от 21.01.2022 №23 «О внесении изменений в некоторые акты Правительства Российской Федерации в части совершенствования процедуры регистрации в федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме».

  8. Президент РФ своим указом наделил Минюст полномочиями в сфере международной информационной безопасности, присоединив этом орган исполнительной власти к МИДу, Минобороны и Генштабу.

  9. Минцифры представило проект ведомственного приказа “Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации”.

  10. ТК26 выложил проект нового терминологического стандарта по криптографии — ПНСТ “Информационная технология. Криптографическая защита информации. Термины и определения”.

  11. ТК26 подготовил проект рекомендаций по стандартизации “Информационная технология. Криптографическая защита информации. Контрольные примеры использования российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3)”.

  12. ТК26 подготовил проект рекомендаций по стандартизации “Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе штампов времени (TSP)”.

  13. Законопроектом предусматривается внесение изменений в статью ‎19.7.15 Кодекса Российской Федерации об административных правонарушениях‎от 30 декабря 2001 г. № 195-ФЗ с целью установления дополнительных мер ответственности субъектов критической информационной инфраструктуры за предоставление неактуальных или недостоверных сведений (в том числе ‎о категорировании объектов критической информационной инфраструктуры) для внесения в реестр значимых объектов критической информационной инфраструктуры Российской Федерации, а также за повторное непредставление, либо представление неактуальных или недостоверных сведений, или нарушение сроков представления в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, сведений о результатах присвоения объекту критической информационной инфраструктуры Российской Федерации одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации, либо об отсутствии необходимости присвоения ему одной из таких категорий.

  14. ЦБ подготовил проект нового указания по отчетности для страховых компаний «О формах, сроках и порядке составления и представления в Банк России отчетности страховщиков». Среди прочего там есть и отчетность 0420175 «Сведения об оценке выполнения требования к обеспечению защиты информации страховой организацией». Небольшой такой отчетик — всего пара десятка пунктов надо заполнить. Не чета другим отчетам, которые страховая должна подготовить, и которые содержат по 900+ (!) пунктов.

  15. ЦБ подготовил еще один проект нового указания по отчетности «Об объеме, формах, сроках и порядке составления и представления в Банк России отчетности профессиональных участников рынка ценных бумаг, организаторов торговли и клиринговых организаций, а также другой информации», в котором вводится отчетность 0420433 по выполнению требований по защите информации.

  16. ЦБ еще один проект указания по отчетности подготовил — «О формах, сроках и порядке составления и представления в Банк России отчетности негосударственных пенсионных фондов«. В нем есть и отчетность 0420266 по защите информации для негосударственных пенсионных фондов.

  17. ЦБ подготовил проект еще одного указания по отчетности — «О составе, формах, сроках и порядке составления и представления отчетов операторами инвестиционных платформ и отчетности и иной информации операторами финансовых платформ, операторами информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и операторами обмена цифровых финансовых активов в Банк России». В нем есть и отчетность по защите информации 0420722.

  18. ЦБ продолжает публиковать проекты указаний по отчетности. На этот раз ЦБ представил проект указания «О формах, порядке и сроках составления и представления в Банк России отчетности бюро кредитных историй«. В нем есть две новых формы отчетности — 0420764 о выполнении требований по защите информации и 0420753 об используемых средствах защиты. Вторая отчетность является новацией для финансовых организаций — другие их типы такую отчетность не сдают. Но по закону о кредитных историях кредитные бюро обязаны использовать сертифицированные средства защиты и иметь лицензию ФСТЭК на ТЗКИ (хорошо, что для других финансовых организаций такого не требуется).

  19. Опубликовано постановление Правительства от 03.02.2022 №94 «Об утверждении Правил предоставления субсидий из федерального бюджета российскому юридическому лицу на разработку и реализацию на регулярной основе программы кибергигиены и повышения грамотности широких слоев населения по вопросам информационной безопасности».

Заметка Дайджест изменений в российское законодательство по ИБ №19 была впервые опубликована на Бизнес без опасности .

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!