Дайджест изменений в российском законодательстве по ИБ №29

Дайджест изменений в российском законодательстве по ИБ №29

Что-то подзатянул я с выпуском дайджеста — пропустил целый месяц. Но сегодня, в международный день защиты информации, я хочу наверстать упущенное и опубликовать дайджест с законодательными новациями за последние два месяца. Тем более, что наши законодатели и регуляторы, не сидели сложа руки и за это время дали почти шесть десятков поводов написать про них и их инициативы.

Но для начала с профессиональным праздником — международным днем защиты информации!!!

Критическая инфраструктура

    ФСТЭК подготовила проект изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 08.02.2018 №127. Схожие поправки ФСТЭК уже предлагала летом этого года, но в этот раз регулятор предлагает внести коррективы и в показатели критериев значимости ОКИИ и их значений, что потребует от субъектов КИИ осуществить категорирование вновь.
  1. Минцифры сообщило о подготовке поправок в закон «О безопасности критической информационной инфраструктуры», которые наделят правительство полномочиями сверху определять по каждой отрасли те типы информационных систем, которые будут обязательно относиться к КИИ, а не ждать, когда это категорирование проведут сами субъекты КИИ.
  2. Вице-премьер Дмитрий Чернышенко утвердил Методические рекомендации по формированию отраслевых планов мероприятий по обеспечению готовности заказчиков к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры РФ.
  3. ФСБ представила проект приказа «Об утверждении Порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими», направленный на реализацию отдельных требований 250-го Указа Президента.

  4. В Госдуму внесен законопроект №164428-8, который позволит Банку России обеспечить выполнение мероприятий по обеспечению технологической независимости (импортозамещению) на значимых объектах КИИ организаций кредитно-финансовой сферы. Проект разработан с целью определения полномочий Банка России по контролю выполнения планов мероприятий по переходу на преимущественное применение финансовыми организациями отечественного программного обеспечения на значимых объектах КИИ, включая контроль выполнения этими организациями закупок иностранного ПО и услуг с ними связанных.

Электронная подпись и удостоверяющие центры

  1. В Госдуму внесен законопроект № 216859-8 «О внесении изменений в Федеральный закон «Об электронной подписи», который определяет порядок выдачи доверенностей в порядке передоверия участниками финансового рынка. В противном случае отсутствие такого механизма ставит финансовый рынок в неравные условия по отношению к другим сферам экономики, в связи с отсутствием в №63-ФЗ положений о возможности передоверия для всех организаций, поднадзорных Банку России.

  2. В Госдуму внесен законопроект № 216878-8 «О внесении изменений в отдельные законодательные акты Российской Федерации», который продлевает до 31.08.2023 «переходный период», в рамках которого сохраняется возможность использования квалифицированных сертификатов представителей юридических лиц, индивидуальных предпринимателей, кредитных организаций, операторов платежной системы, некредитных финансовых организаций без применения машиночитаемой доверенности.

  3. Опубликовано Постановление Правительства РФ от 07.10.2022 №1786 «О внесении изменений в Правила создания и использования сертификата ключа проверки усиленной неквалифицированной электронной подписи в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме».

  4. В Госдуму внесен законопроект №244043-8 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях о защите информации», направленный на создание государственной информационной системы национального удостоверяющего центра (НУЦ), которая будет выдавать сертификаты с применение ГОСТ (чего пока не было) и выдавать сертификаты с применение иных алгоритмов (это уже реализовано с начала года). Оператором НУЦ будет Минцифры. Организации, ИП и физические лица, осуществляющие деятельность по созданию ПО в целях получения доступа к сайтам в сети «Интернет», обязаны обеспечить возможность использования средствами информатизации сертификатов безопасности для установления пользователем криптографически защищенного соединения с сайтами в сети «Интернет». Минцифры по согласованию с ФСБ России и ФСТЭК России устанавливает требования к технологиям взаимодействия СКЗИ со средствами информатизации, сайтами в сети «Интернет», а также использованию содержащихся в сертификате безопасности ключей идентификации и аутентификации сайтов в сети «Интернет».
  5. Минюстом России зарегистрировано Указание Банка России от 20.07.2022 №6206 «О порядке представления доверенности в электронной форме, подтверждающей полномочия физического лица действовать от имени кредитной организации, оператора платежной системы, некредитной финансовой организации и индивидуального предпринимателя, осуществляющих указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» виды деятельности, кредитного рейтингового агентства, бюро кредитных историй, лица, осуществляющего актуарную деятельность».

Персональные данные

  1. Роскомнадзор разродился очередным разъяснением в виде письма от 19 августа 2022 г. № 08-75348 “О результатах рассмотрения обращения”, в котором регулятор объясняет, что уведомление о начале обработки ПДн необходимо подавать в РКН даже при реализации стандартных трудовых отношений (раньше это попадало в исключения) и не требовало уведомления.
  2. Президент утвердил перечень поручений по итогам состоявшегося 31 августа 2022 года совещания с членами Правительства, среди которых очередная попытка:
    • Обеспечить возможность размещения на едином портале государственных и муниципальных услуг перечня согласий на обработку персональных данных, которые были даны гражданами органам и организациям, в том числе при получении государственных, муниципальных и коммерческих услуг.
    • Обеспечить возможность давать согласие на обработку персональных данных и отзывать такое согласие с использованием единого портала государственных и муниципальных услуг.
  3. Роскомнадзор представил проект приказа «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных», который по сути регламентирует правила работы с формой уведомления РКН об инцидентах с утечками ПДн.

  4. Роскомнадзор опубликовал приказ от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
  5. Роскомнадзор опубликовал приказ от 27.10.2022 №178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных». Весь ущерб делится на три степени (высокий, средний и низкий), которые определяются в зависимости от того, какая статья ФЗ-152 нарушена (мнение субъекта, как обычно, никто не учитывает).
  6. Роскомнадзор представил проект приказа «Об утверждении Порядка передачи информации о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных».

  7. Минцифры подготовилоеще одна точки зрения) очередной вариант законопроекта об оборотных штрафах за утечки ПДн.
  8. Президент поручил ускорить работу над законопроектом по обезличиванию персональных данных.

Идентификация и аутентификация

  1. Приказом Федерального агентства по техническому регулированию и метрологии от 5 августа 2022 г. №740-ст «Об утверждении национального стандарта Российской Федерации» утверждён национальный стандарт Российской Федерации ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации».

Биометрия

  1. Указом Президента Российской Федерации от 30.09.2022 № 693 «Об определении организации, обеспечивающей развитие цифровых технологий идентификации и аутентификации» предписано создать совместное предприятие АО «Центр биометрических технологий» (ЦБТ), учредителями которого станут «Ростелеком» (49% акций), Российская Федерация в лице Федерального агентства по управлению государственным имуществом (26% акций) и Банк России (25% акций). ЦБТ займется разработкой, развитием и тиражированием цифровых технологий идентификации и аутентификации (в том числе на основе биометрических ПДн), а также сервисов подписания и хранения документов, включая создание, развитие и эксплуатацию коммерческих сервисов и типовых решений.
  2. В Госдуму внесен законопроект №211535-8 «О государственной информационной системе «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица», который выводит ЕБС из под действия ФЗ-149 и по сути запрещает обрабатывать биометрические ПДн без подключения к ЕБС.
  3. Проектом постановления Правительства предполагается создать координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических ПДн, который займется:
    • Выработкой рекомендаций и предложений по определению направлений развития и совершенствования биометрической идентификации и аутентификации.
    • Определением стратегических направлений развития биометрической идентификации и аутентификации

Финансовый сектор

  1. Банк России разослал информационное письмо от 06.10.2022 №ИН-04-13/122 «О совершении банками с универсальной лицензией действий, предусмотренных пунктом 58-1 статьи 7 Федерального закона от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», в котором отсрочил до конца 2022 года применение мер воздействия на организации из-за невыполнения мер, связанных с удаленной идентификацией клиентов по причине сложностей с импортозамещением, в том числе и в области ИБ. Отсрочка позволит кредитным организациям завершить технологические мероприятия и внедрить такую идентификацию в мобильных приложениях и интернет-банке.
  2. Банк России отменил Положение 747-П «О требованиях к защите информации в платежной системе Банка России» и вместо него принял новое одноименное положение от 25 июля 2022 года №802-П. Почему-то ЦБ в последнее время стал не просто вносить изменения в свои положения по защите информации, а целиком их переписывать…
  3. Президент подписал Федеральный закон от 20.10.2022 №408-ФЗ «О внесении изменений в статью 26 Федерального закона «О банках и банковской деятельности» и статью 27 Федерального закона «О национальной платежной системе», который предусматривает подключение МВД к АСОИ ФинЦЕРТ Банка России. Благодаря этому правоохранительные органы смогут практически в онлайн-режиме получать сведения о мошеннических операциях, в том числе о получателях похищенных денег. Обмен данными будет происходить с соблюдением всех норм банковской тайны. МВД России, в свою очередь, будет передавать в базу ФинЦЕРТ сведения о совершенных противоправных действиях. Закон вступит в силу 21 октября 2023 года. До этого момента регулятор и министерство заключат двустороннее соглашение, в котором будут определены виды сведений, порядок, сроки и формат их передачи, а также интегрируют информационные системы.

  4. Банк России опубликовал 12-МР от 02.11.2022 года «Методические рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации».
  5. Банк России подготовил проект Указания «О минимальных (стандартных) требованиях к условиям и порядку осуществления добровольного имущественного страхования в связи с использованием электронного средства платежа», описывающего регламент страхования ущерба в случае реализации инцидентов с платежными картами.
  6. Банк России опубликовал очередной проект «Основных направлений развития финансового рынка Российской Федерации на 2023 год и период 2024 и 2025 годов», в котором нашлось место и для темы информационной безопасности.

Государственные информационные системы

  1. ФСТЭК в информационном письме от 24 августа 2022 г. N 240/24/4678 пишет, что на основании приказа Федерального агентства по техническому регулированию и метрологии от 8 августа 2022 г. N 746-ст «Об отмене национального стандарта Российской Федерации» отменен ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».
  2. Опубликован приказ ФСБ от 24.10.2022 №524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».
  3. Минцифры подготовило проект постановления Правительства Российской Федерации «Об утверждении Положения о единой цифровой платформе Российской Федерации «ГосТех» и внесении изменений в постановление Правительства Российской Федерации от 6 июля 2015 г. №676″, затрагивающий и вопросы обеспечения информационной безопасности платформы «ГосТех».

Оценка защищенности

  1. ФСТЭК опубликовала методический документ от 28 октября 2022 года «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств», о котором я уже писал .
  2. ФСТЭК опубликовала методический документ от 28 октября 2022 года «Методика тестирования обновлений безопасности программных, программно-аппаратных средств», о котором я уже писал .
  3. ФСТЭК подготовила , но пока не опубликовала проект методики оценки защищенности информационных систем.
  4. ФСТЭК подготовила комментарии в СМИ уже есть) проект методики оценки состояния защиты информации (обеспечения безопасности) в органе (организации).
  5. ФСТЭК готовит проекты национальных стандартов
    • Руководство по оценке безопасности разработки программного обеспечения
    • Руководство по проведению статического анализа программного обеспечения
    • Руководство по проведению динамического анализа программного обеспечения
    • Тестирование на проникновение. Общие требования
    • Статический анализ исходных текстов. Требования к документированию порядка применения и результатов работы инструментальных средств
    • Поиск уязвимостей программного обеспечения на этапе эксплуатации и выпуск обновлений безопасности. Общие требования
    • Тестирование безопасного программного обеспечения. Требование к документированию порядка применения результатов
    • Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (Идентичный на основе 180/1ЕС 15408-1:2021)
    • Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности (Идентичный на основе 180/1ЕС 15408-2:2021)
    • Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности (Идентичный на основе 180/1ЕС 15408-3:2021)
    • Методология оценки безопасности информационных технологий (Идентичный на основе 180/1ЕС 18045:2021).

Оценка соответствия

  1. ФСТЭК опубликовала информационное сообщение ФСТЭК России от 15 ноября 2022 г. №240/24/5981 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК России от 3 апреля 2018 г. №55″. Изменения направлены на сокращение сроков проведения сертификации средств защиты информации, в том числе за счет внедрения разработчиками процедур безопасной разработки программного обеспечения в соответствии с национальными стандартами.
  2. Минцифры подготовило проект постановления Правительства, которым предполагается установить требования к ПО в едином реестре российских программ для электронных вычислительных машин и баз данных, в том числе и некоторые общие требования по ИБ, а именно:

    • Обновления ПО должны выполняться только после подтверждения со стороны пользователя ПО.

    • ПО должно соответствовать требованиям законодательства России о защите информации и о защите ПДн в случаях, установленных законодательством России.

    • Передача данных по каналам связи, в том числе текстовых сообщений и (или) электронных документов, голосовой, звуковой, визуальной и иной информации, ‎с использованием ПО должна осуществляться с учетом требований законодательства Российской Федерации о защите информации ‎и о связи.

  3. ФСТЭК подготовила проект Постановления Правительства «О внесении изменений в Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, утвержденные постановлением Правительства Российской Федерации от 3 ноября 2014 г. № 1149», которым планируется ввести аттестацию экспертов органов по сертификации и специалистов испытательных лабораторий.

Квалификация специалистов

  1. Приказом Министерства труда и социальной защиты Российской Федерации от 09.08.2022 №474н «Об утверждении профессионального стандарт «Специалист по технической защите информации» утвержден соответствующий профессиональный стандарт.

  2. Приказом Министерства труда и социальной защиты Российской Федерации от 14.09.2022 №536н «Об утверждении профессионального стандарта «Специалист по защите информации в телекоммуникационных системах и сетях» утвержден соответствующий профессиональный стандарт.
  3. Приказом Министерства труда и социальной защиты Российской Федерации от 14.09.2022 №533н «Об утверждении профессионального стандарта «Специалист по безопасности компьютерных систем и сетей» утвержден соответствующий профессиональный стандарт.
  4. Приказом Министерства труда и социальной защиты Российской Федерации от 14.09.2022 №525н «Об утверждении профессионального стандарта «Специалист по защите информации в автоматизированных системах» утвержден соответствующий профессиональный стандарт.

Криптография

  1. ТК 26 «Криптографическая защита информации» представил для общественного обсуждения  проект изменений в  ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».
  2. ФСБ России планирует обновить Административный регламент Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

Разное

  1. Опубликовано Распоряжение Правительства Российской Федерации от 12.09.2022 №2603-р «О создании федерального казенного учреждения «8 Центр Федеральной службы исполнения наказаний», который будет заниматься инженерно-техническим обеспечению информационной безопасности в уголовно-исполнительной системе РФ.

  2. Указом Президента Российской Федерации от 30.09.2022 №688 «О внесении изменений в некоторые акты Президента Российской Федерации» в структуре МВД создается новое управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий.

    Среди основных задач Управления выделены: предупреждение, выявление, пресечение и раскрытие преступлений и иных правонарушений в сфере IT-технологий, а также координация этой деятельности в системе МВД России; анализ данных, содержащихся в информационно-телекоммуникационных сетях, в целях выявления запрещенного контента и противодействия преступности; организация взаимодействия подразделений органов внутренних дел РФ с государственными органами, органами государственной власти субъектов, учреждениями финансово-кредитной системы, организациями информационно-коммуникационной сферы, иными участниками информационного обмена, включая агрегаторы больших данных.

    Интересно, почему по организации борьбы, а не по самой борьбе? А бороться кто будет? И что с Управлением «К», которое раньше занималось этой задачей?

  3. Опубликовано Постановление Правительства Российской Федерации от 30.09.2022 №1729 «Об утверждении Положения о государственной аккредитации российских организаций, осуществляющих деятельность в области информационных технологий», которое пришло на смену ПП-929 и ПП-1350 и которое определяет правила аккредитации среди прочего и компаний в области ИБ.
  4. Минцифры опубликовало приказ от 08.10.2022 №766 «О перечне видов деятельности в области информационных технологий», которое разработано во исполнение ПП-1729 (см.предыдущий пункт) и которое относит ИБ к сфере информационных технологий (коды 1.08, 11.01, 18.01, 21.01).

  5. Опубликовано Постановление Правительства Российской Федерации от 01.10.2022 №1743 «О внесении изменений в постановление Правительства Российской Федерации от 10 марта 2022 г. №336», которое определяет, что в 2023 году не будут проводиться плановые проверки в отношении большинства предприятий и организаций. Плановые контрольные (надзорные) мероприятия, плановые проверки будут осуществляться только в отношении объектов контроля, отнесенных к категориям чрезвычайно высокого и высокого риска, опасным производственным объектам II класса опасности, гидротехническим сооружениям II класса.
  6. Опубликовано Постановление Правительства Российской Федерации от 29.10.2022 №1932 «О внесении изменений в Инструкцию о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне».
  7. Опубликовано Постановление Правительства Российской Федерации от 29.10.2022 №1934 «О требованиях к адресам электронной почты, используемым государственными органами и органами местного самоуправления», которое в целях обеспечения ИБ требует от госорганов c 1 декабря использовать адреса электронной почты только в национальной доменной зоне. Согласно приказу Роскомнадзора от от 29.07.2019 №216 к таким доменам относятся .RU, .SU, .РФ.
  8. Президент подписал Федеральный закон от 04.11.2022 №427-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», который выводит из под действия федерального закона «Об организации предоставления государственных и муниципальных услуг» ФСБ, СВР, ФСО, ГУСПа, Минобороны России, МВД России (за исключением «установленного перечня») и ФСТЭК.
  9. Опубликовано Постановление Правительства Российской Федерации от 03.11.2022 № 1979 «Об утверждении Правил направления в систему обеспечения соблюдения операторами связи требований при оказании услуг связи и услуг по пропуску трафика в сети связи общего пользования и получения из указанной системы сведений», которое устанавливает требования к системе блокировок вызовов и СМС с подменой номера «Антифрод». Постановление вступает в силу с 1 января 2023 года. Оператором системы назначен подведомственный РКН и недавно взломанный хакерами ГРЧЦ. Работать с «Антифродом» также должны РКН, Минцифры, правоохранительные органы и все операторы связи.
  10. Опубликовано постановление Правительства РФ от 14.11.2022 №2051 «Об утверждении Правил обращения со сведениями о результатах проведенной оценки уязвимости объектов транспортной инфраструктуры, судов ледокольного флота, используемых для проводки по морским путям, судов, в отношении которых применяются правила торгового мореплавания и требования в области охраны судов и портовых средств, установленные международными договорами Российской Федерации, а также со сведениями, содержащимися в планах и паспортах обеспечения транспортной безопасности объектов транспортной инфраструктуры и (или) транспортных средств, которые являются информацией ограниченного доступа, и признании утратившими силу некоторых актов Правительства Российской Федерации», которое определяет правила работы с определенной информацией ограниченного доступа.

  11. В Госдуму внесли законопроект №238005-8, предлагающий конфисковывать имущество, полученное в результате совершения преступлений в сфере компьютерной информации, подпадающих под действие статей 272-274 УК РФ.

Заметка Дайджест изменений в российском законодательстве по ИБ №29 была впервые опубликована на Бизнес без опасности .

Alt text

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!