Дайджест изменений в российское законодательство по ИБ №22

Дайджест изменений в российское законодательство по ИБ №22

Война войной, а даджест законодательных изменений по расписанию. Очередная десятка нормативно-правовых актов, а также их проектов и просто правовых документов, имеющих отношение к кибербезопасности.

  1. В Госдуму был внесен законопроект «О внесении изменения в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации», который вновь вернулся к год назад подготовленному законопроекту о том, что информация, обладателем которой является Россия, субъект РФ или муниципальное образование, должны защищаться по требованиям ФСБ и ФСТЭК. То есть требования 17-го приказа ФСТЭК, проекта будущего приказа ФСБ по применению СКЗИ в ГИС, сертификация и аттестация, в случае принятия закона (а сомневаться в этом не приходиться) станут распространяться и на коммерческие предприятия, работающие с государством (в части, касающейся взаимодействия с государством). Закон предполагается к вступлению в силу через год после его принятия. Такая отсрочка редкость в нашем законодательстве по ИБ. Она обусловлена тем, что необходимо будет внести поправки в 17-й приказ ФСТЭК и в так и непринятый пока проект приказа ФСБ по защите ГИС с помощью криптографических средств.

  2. ФСТЭК подготовила проект постановления Правительства «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации», которым предполагается урегулировать дополнительные проверки актуальности и достоверности сведений об объектах КИИ.

  3. Правительство приняло Постановление от 10 марта 2022 года №336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля», которое вводит надзорные каникулы на 2022-й год, но только тех надзорных мероприятий, которые регулируются соответствующими ФЗ «О государственном контроле (надзоре)» и «О защите прав юрлиц и ИП при осуществлении госконтроля (надзора)».С точки зрения персональных данных каникулы распространяются на инспекционные визиты, документарные и выездные проверки. Из под действия закона о госконтроле выведены мероприятия, осуществляемые без взаимодействия с проверяемым лицом, то есть наблюдение через Интернет или анализ информации, предоставленный контролируемым лицом через ГИС или полученный через СМЭВ. То есть они в 2022-м году проводиться могут. Есть спорный момент касательно профилактических мероприятий (информирование, визиты, консультирование и предостережение), но на мой взгляд на них тоже распространяются каникулы, так как они не указаны явно в ПП-1046 среди мероприятия без взаимодействия с проверяемым лицом, которые и выведены из под действия ФЗ-248, на который и распространяются каникулы.Каникулы, предусмотренные этим Постановлением, не распространяются на надзор по защите информации от Банка России (но есть письмо от ЦБ), на надзор в сфере КИИ, на надзор в сфере лицензирования разработки средств ТЗКИ и деятельности по ТЗКИ (но есть письмо от ФСТЭК). Деятельность ФСБ также не регулируется ФЗ-248 и не подпадает под каникулы.
  4. ФСТЭК опубликовала информационное сообщение от 14.03.2022 №240/13/1294 «Об отмене плановых проверок по вопросам лицензионного контроля в 2022 году», которое, как видно из названия, отменяет плановые (внеплановые остаются) проверки своих лицензиатов. На надзор в сфере выполнения требований по защите информации (защита ГИС, КИИ и т.п.) это письмо не распространяется.
  5. Банк России выпустил письмо от 25 марта 2022 года №017-56/2226 «Об особенностях применения мер за нарушения требования к обеспечению защиты информации кредитными организациями», согласно которому с одной стороны проверки ЦБ проводить все-таки будет, а с другой — не будет наказывать за выявленные нарушения. Но только если будут приняты компенсирующие меры, которые устроят ЦБ, что на практике означает — «как повезет».
  6. Вступил в силу приказ Минцифры России от 31.01.2022 № 71 «О внесении изменений в пункт 1.4 перечня угроз безопасности, актуальных при идентификации заявителя — физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре, утвержденного приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 26 ноября 2020 г. № 624″, в котором обновлено две угрозы нарушения целостности (подмены) квалифицированного сертификата.

  7. Банк России принял новое Указание от 12.01.2022 № 6060-У «О формах и методиках составления, порядке и сроках представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств». Оно отменяет Указание 2831-У. Кроме того, оно теперь не распространяется на операторов по переводу денежных средств, которые должны будут отчитываться по новой форме отчетности 0409071, утвержденной другим указанием Банка России 5986-У.

  8. ФСТЭК выпустила информационное сообщение от 24 марта 2022 г. №240/22/1549 «О мерах по повышению защищенности информационной инфраструктуры«, которое повторяет многие ранее выданные рекомендации по защите информации, отправленные в государственные органы и субъекты КИИ, имеющие пометку «для служебного пользования».

  9. НКЦКИ 29 марта 2022 года также выпустил обобщенные рекомендации по минимизации возможных угроз информационной безопасности, которые аккумулируют ранее выпущенные советы. Однако бюллетени от НКЦКИ нельзя отнести к нормативно-правовым актам. При этом Банк России разослал по финансовым организациям письмо с рекомендациями по выполнению данного бюллетеня НКЦКИ (хотя они и противоречат местами требованиям самого Банка России).

  10. Аналогичная ситуация и с бюллетенем безопасности НСПК #02.2022 от 23.03.2022 «О применимости стандартов безопасности индустрии платежных карт в ПС «Мир» и поддержании соответствия требованиям безопасности ПС «Мир», который, не являясь нормативным актом, напоминает об обязательности требований по безопасности для Участников НСПК, ТСП, Платежных сервис-провайдеров и Производителей карт, базирующихся на стандартах индустрии платежных карт, которые создаются и поддерживаются организацией Payment Card Industry Security Standards Council (PCI SSC). Это важно, тем более, что PCI SSC вчера анонсировал выпуск 4-й версии стандарта PCI DSS.

  11. Приказом Министра обороны РФ от 17 января 2022 года № 22 утвержден «Перечень сведений Вооруженных Сил Российской Федерации, подлежащих отнесению к служебной тайне в области обороны», о проекте которого я уже писал . В документ включены 689 видов сведений, распределённые по 16 разделам, в т.ч. и сведения в области обеспечения защиты сведений, составляющих государственную тайну и служебную тайну в области обороны.
  12. Минцифры утвердила приказ от 10.03.2022 №186 «Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ». В частности, рекомендуется обеспечить на постоянной основе реализацию организационно-технических мер, предусмотренных нормативными правовыми актами, а также методическими рекомендациями, письмами и иными документами ФСБ России и ФСТЭК России. До 11 апреля 2022 года рекомендуется провести мероприятия, предусмотренные договорами на оказание услуг по повышению уровня информационной безопасности, заключенными с экспертными организациями в сфере обеспечения информационной безопасности.

  13. Чертову дюжину замыкает Указ Президента России от 30.03.2022 №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», который устанавливает требования по запрету (и это не первоапрельская шутка) закупки и использования госорганами и госзаказчиками иностранного программного обеспечения на значимых объектах КИИ.

Заметка Дайджест изменений в российское законодательство по ИБ №22 была впервые опубликована на Бизнес без опасности .

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!