Дайджест изменений в российском законодательстве по ИБ №28

Дайджест изменений в российском законодательстве по ИБ №28

Мобилизация мобилизацией, а законодательство по ИБ продолжает приниматься. И вот что я хочу сказать, прежде чем опишу очередных 20 с лишним нормативных актов и их проектов, которые появились за последний месяц. Сегодня активно обсуждают различные высказывания официальных и не очень лиц по поводу объявленной частичной мобилизации и отсрочек от нее. Многие воспринимают их как догму и руководство к действию, но… любое официальное лицо работает, опираясь не на высказывания другого официального лица, даже если это министр обороны или президент, а на действующее законодательство. Слова чиновника к делу не пришьешь, а вот нарушение нормативных требований вполне. Поэтому примите как аксиому: если какого-то требования или условия нет в нормативном правовом акте, то этого требования или условия не существует и никто не обязан им следовать (их же нет). С этой точки и надо рассматривать любое высказывание или прямую речь любого чиновника, касаются ли они призыва, мобилизации или кибербезопасности!

Исключения бывают, но редко. Например, несмотря на требования законодательства об отправке уведомлений об инцидентах на объектах КИИ в два адреса — ЦБ и ФСБ, финансовые организации, по договоренности между двумя регуляторами, могут отправлять уведомления только в адрес одного из них. Так что министр цифрового развития вполне может достучаться до отдельного военкома (чем ближе к Москве, тем больше шансов) и потребовать отсрочки для специалистов по кибербезопасности ИБ-компаний, но все это будет на уровне только джентльменских договоренностей ????

Ну а теперь поговорим о новеллах законодательства по ИБ. Их опять более двадцати, то есть по одной на каждый рабочий день месяца.

Критическая инфраструктура

  1. Спустя 5 месяцев (вместо одного, предусмотренного Указом Президента) Правительство утвердило Постановление от 22.08.2022 №1478 «Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом «О закупках товаров, работ, услуг отдельными видами юридических лиц» (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации», которое определяет требования к ПО, используемому органами власти и госкомпаниями на значимых объектах КИИ, а также правила согласования закупок иностранного и перехода на отечественное ПО.Там все предсказуемо — ПО должно быть в реестре российского ПО, а средства ИБ должны еще и иметь сертификаты ФСТЭК или ФСБ. Закупки иностранного ПО возможны, но по согласованию с отраслевым министерством (а при закупке более 100 миллионов рублей потребуется согласование еще и комиссии при Минцифре). Министерства должны утвердить собственные планы перехода на отечественное ПО.

Идентификация и аутентификация

  1. Официально опубликовано Постановление Правительства от 26.08.2022 №1498 «Об утверждении требований к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем и Правил прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем».

Государственные информационные системы

  1. Минцифры представило проект Федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации», который устанавливает разновидности государственных информационных систем (федеральные, региональные, муниципальные, иные), а также ряд иных действий в отношении ГИС. Жаль, что эта инициатива Минцифры не синхронизирована с другой от них же, которая в июле прошлого года не только предлагала трактовки не только разных типов ГИС, но и само определение самой ГИС. В новом законопроекте это определение куда-то исчезло.

  2. ФСБ представила проект своего ведомственного приказа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, ‎с использованием шифровальных (криптографических) средств», которым предусмотрено утверждение требований о защите информации, содержащейся в ГИС, которые регламентируют вопросы защиты информации в ГИС с использованием шифровальных (криптографических) средств, а также правила определения класса указанных средств, подлежащих использованию для защиты информации в ГИС.

Персональные данные

  1. Роскомнадзор информирует о порядке уведомления о начале или осуществлении любой обработки персональных данных в соответсвии с вступившими с 01.09.2022 изменениями в закон «О персональных данных», за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации. Предельный срок уведомления Роскомнадзора об обработке персональных данных не определен. Таким образом, 1 сентября 2022 не является крайним сроком подачи уведомления об обработке персональных данных. До утверждения форм уведомления Роскомнадзором оператор ПДн вправе заполнить форму уведомления об обработке ПДн на Портале персональных данных Роскомнадзора или направить такое уведомление в адрес территориального управления ведомства по месту регистрации оператора ПДн на бумажном носителе по форме, утвержденной Приказом от 30.05.2017 №94.

  2. Роскомнадзор представил специальную электронную форму подачи уведомлений об утечке ПДн .

  3. Роскомнадзор представил специальную электронную форму подачи уведомлений о трансграничной передаче данных .

  4. Минцифры России предлагает создать реестр согласий на обработку персональных данных, которые граждане отдают при получении различных услуг (в госорганах, банках, при оформлении программ лояльности и т.д.). На Госуслугах должна появиться возможность для отзыва таких согласий.
  5. Роскомнадзор опубликовал письмо от 29 августа 2022 г. №08-78032 «О рассмотрении обращения», отвечающее на вопрос, относится ли фотография гражданина к биометрическим персональным данным. В целом можно отметить некоторую либерализацию отношения регулятора к этому вопросу.
  6. Минцифры опубликовало проект Постановления Правительства «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных по представлению уполномоченного органа».
  7. Минцифры опубликовало проект Постановления Правительства «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».
  8. Минцифры опубликовало проект Постановления Правительства «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона «О персональных данных».
  9. Официально опубликован приказ РКН от 05.08.2022 №128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».

Финансовый сектор

  1. Опубликовано Указание Банка России от 25 марта 2022 года №6103-У «О внесении изменений в Положение Банка России от 8 апреля 2020 года №716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». Почти 40 страниц поправок, которые включают в себя требования сценарного анализа рисков, моделирования угроз, определения недопустимых событий, выделения критически важных процессов и т.п.
  2. Подготовлен законопроект «О внесении изменений в Федеральный закон «О национальной платежной системе», который разработан с целью совершенствования механизма противодействия хищению денежных средств (антифрода) в качестве превентивных мер. Также предлагаемые изменения позволят увеличить суммы возврата банками денежных средств, уже похищенных мошенниками в качестве мер, защищающих интересы вкладчиков и кредиторов.
  3. Я уже не раз высказывался о снижении качества нормативных актов Банка России, которые выпускаются настолько сырыми, что регулятору приходится чуть ли не на каждое требование давать разъяснения и не по одному разу. Самым непонятным из последних документов регулятора стало положение 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе». И вот на днях ЦБ опубликовал очередную порцию ответов на вопросы финансовой отрасли относительно этого положения. Интересно, все эти ответы учтены в Указании №6103-У, о котором упомянуто двумя пунктами выше?..

Электронная подпись

  1. Минцифры разработало проект Постановления Правительства «О внесении изменений в некоторые акты Правительства Российской Федерации в части хранения и предоставления машиночитаемых доверенностей в электронной форме», которым устанавливается, что вместо хранения и предоставления машиночитаемых доверенностей и документов о полномочиях из информационной системы ГУЦ, указанные документы хранятся и предоставляются из ЕСИА.

  2. Департамент информационной безопасности Банка России поддержал позицию Национального совета финансового рынка о возможности в соответствии с п. 5.1 Положения Банка России № 683-П использования при подписании электронных сообщений аналогов собственноручной подписи, кодов, паролей и других средств, в том числе простой электронной подписи, при условии использования средств криптографической защиты информации, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.

Стандартизация

  1. Техническим комитетом по стандартизации «Защита информации» (ТК 362) представлены для обозрения и проработки членами комитета проекты национальных стандартов:

    • ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения»

    • ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»

    • ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности».

Разное

  1. Верховный Суд РФ подготовил проект постановления Пленума Верховного суда «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть «Интернет». Сам проект суд просил не публиковать в открытых источниках, но он каким-то образом появился в них (удивительно).
  2. Глава государства утвердил перечень поручений по итогам заседания Совета по стратегическому развитию и национальным проектам. Поручено
    • Представить предложения об определении специальных условий использования иностранного программного обеспечения, в отношении которого невозможно исполнение добросовестными российскими пользователями действующих договорных обязательств.
    • Принять меры, направленные на поэтапное увеличение нормативных финансовых затрат на формирование объема финансового обеспечения государственного задания на подготовку кадров в области информационной безопасности.
    • Правительству совместно с ФСБ и ФСТЭК принять меры по совершенствованию механизма категорирования объектов КИИ в целях обеспечения достоверности информации, включенной в реестр таких объектов, предусмотрев внесение соответствующих изменений в законодательство РФ.
    • Обратить внимание на обеспечение технологической независимости от используемого в настоящее время иностранного программного обеспечения
  3. Правительство опубликовало Постановление от 17.09.2022 №1636 «Об утверждении Правил предоставления субсидии из федерального бюджета на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности», согласно которому решего создать центр по информационной безопасности в промышленности (очень похожий на центр ГосСОПКА). Субсидию на создание данного центра выделит Минпромторг.

  4. Правительство своим Постановлением от 17.09.2022 №1641 «О признании утратившими силу некоторых актов Правительства Российской Федерации» отменило свое постановление от 07.10.2019 №1285 «Об утверждении Правил предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах». Можно сделать вывод, что отраслевой центр ГосСОПКИ в сфере связи создан.
аутентификация Банк России импортозамещение КИИ Минцифры персональные данные риски Роскомнадзор стандарты терминология ФСБ
Alt text

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!