Дайджест изменений в российском законодательстве по ИБ №30

Дайджест изменений в российском законодательстве по ИБ №30

Спецоперация спецоперацией, а нормативка по расписанию. Очередных три десятка законодательных инициатив, которым нас «порядовали» регуляторы и законодатели за последнее время.

Критическая инфраструктура

    Официально опубликован Федеральный закон от 19.12.2022 №518-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», который вносит поправки в КоАП, определяющие ответственность за предоставление недостоверных сведений о результатах категорирования ОКИИ (в т.ч. за повторное аналогичное правонарушение).
  1. Официально опубликовано Постановление Правительства от 20.12.2022 №2360 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. №127», которое вносит ряд изменений в процедуру категорирования объектов КИИ и показатели критериев их значимости.
  2. Президент подписал Указ от 26.12.2022 №954 «О внесении изменения в состав Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации по должностям, утвержденный Указом Президента Российской Федерации от 14 апреля 2022 г. №203», который включил в состав комиссии Президента Российской академии наук.

Персональные данные

  1. Правительство подготовило проект своего Постановления «О внесении изменений в некоторые акты Правительства Российской Федерации», которое подготовлено в целях предотвращения проблем, связанных с массовыми утечками персональных данных. Проект постановления позволяет Роскомнадзору при условии согласования с органами прокуратуры осуществлять внеплановые контрольные (надзорные) мероприятия за обработкой персональных данных в отношении операторов, являющихся в том числе аккредитованными организациями, которые осуществляют деятельность в области информационных технологий, в случае если установлен факт распространения (предоставления) в информационно-телекоммуникационной сети «Интернет» баз персональных данных (или их части), в том числе имеющих признаки принадлежности аккредитованной организации.
  2. Роскомнадзор опубликовал приказ от 28 октября 2022 г. №180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
  3. Опубликован приказ Роскомнадзора от 14.11.2022 №187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».
  4. Роскомнадзор подготовил проект приказа «О внесении изменений в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. №253».
  5. Депутаты и сенаторы приняли законопроект №181342-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», которые позволит составлять протоколы об административных правонарушениях за нарушения в области персональных данных без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом.
  6. В законопроект об оборотных штрафах за утечку ПДн вносят очередные правки, а именно — для таких штрафов может быть установлен верхний предел в 500 млн руб., а нижний — в 5 млн руб.

У законодателей и регуляторов очень специфическое понимание термина «защита прав». Вместо того, чтобы защищать граждан, когда их права нарушаются, например, поддержкой в суде или выплатами компенсаций, у нас все больше вводят запретов и ограничений, считая, что тем самым права граждан нарушаться не будут, а если и будут, то нарушители будут наказаны. Но наказание нарушителей != защита прав!

Управление инцидентами

  1. Утверждено 4 национальных стандарта по управлению инцидентами, вступающие в силу с 1 февраля 2023 года, которые разработаны 8-м Центром ФСБ и ЦБИ:
    • ГОСТ Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения».
    • ГОСТ Р 59710-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения».
    • ГОСТ Р 59711-2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами»
    • ГОСТ Р 59712-2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты».

Криптография

  1. Ростандарт опубликовал новый предварительный национальный стандарт ПНСТ 799-2022 «Информационные технологии. Криптографическая защита информации. Термины и определения».

  2. ТК26 подготовил проекты новых рекомендаций по стандартизации в области криптографии:
    • Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе обмена ключами в сети Интернет версии 2 (IKEv2)»

    • Рекомендации по стандартизации «ИТ.КЗИ. Криптографические алгоритмы выработки ключей шифрования информации и аутентификационных векторов, предназначенные для реализации в аппаратных модулях доверия для использования в подвижной радиотелефонной связи»

  3. Росстандарт вместе с ТК26 опубликовали рекомендации по стандартизации в области криптографии:
    • Изменения в Р 1323565.1.029–2019 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем»

    • Р 1323565.1.042–2022 «Информационная технология. Криптографическая защита информации. Режим работы блочных шифров, предназначенный для защиты носителей информации с блочно-ориентированной структурой»

    • Р 1323565.1.044–2022 «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе штампов времени (TSP)»

    • Р 1323565.1.043–2022 «Информационная технология. Криптографическая защита информации. Контрольные примеры использования российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3)».

  4. ОпубликованФедеральный закон от 19.12.2022 №536-ФЗ, устанавливающий до сентября 2023 года «переходный период» при применении машиночитаемой доверенности, а также сертификатов юридических лиц.

  5. Официально опубликован приказ Министерства юстиции от 14.12.2022 №397 «Об утверждении Порядка хранения нотариальных документов в электронной форме, электронных образов нотариальных документов, созданных на бумажном носителе, содержащихся в единой информационной системе нотариата, включая технические требования к форматам таких документов, использования усиленной квалифицированной электронной подписи при их хранении и доступа к таким документам».
  6. Минцифры России опубликовало два перечня, имеющих отношения к контрольным мероприятиям  в сфере электронной подписи:

    • перечень нормативных правовых актов, содержащих обязательные требования, оценка соблюдения которых осуществляется в рамках осуществления госконтроля, привлечения к административной ответственности в сфере электронной подписи;

    • перечень нормативных правовых актов, содержащих обязательные требования, оценка соблюдения которых осуществляется в рамках предоставления лицензий и иных разрешений, аккредитации.

Финансовый сектор

  1. Спустя 10 лет с выхода «мертвого» ПП-584, Правительство решило внести в него изменение и выпустило Постановление Правительства от 08.12.2022 №2250 «О внесении изменения в Положение о защите информации в платежной системе».
  2. Росстандарт принял два национальных стандарта, разработанных в ТК122 и вводимых в действие с 1 февраля 2023 года
    • ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения»
    • ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер»

  3. Банк России опубликовал информационное письмо от 26 декабря 2022 года №ИН-03-12/141 о продлении периода неприменения Банком России мер к кредитным организациям и некредитным финансовым организациям, допустившим нарушения, указанные в информационном письме Банка России от 21.09.2021 No ИН-014-12/72 «О неприменении Банком России мер к кредитным организациям и некредитным финансовым организациям», в отношении операций, предусмотренных пунктом 1.3-1 статьи 6 Федерального закона от 07.08.2001 No 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
  4. Банк России опубликовал информационное письмо от 26 декабря 2022 года №ИН-03-12/140 о продлении периода неприменения Банком России мер к кредитным организациям и некредитным финансовым организациям, допустившим нарушения, указанные в информационном письме Банка России от 15.11.2021 No ИН-014-12/88 «О неприменении Банком России мер к кредитным организациям и некредитным финансовым организациям».

Квалификация специалистов

  1. Министерство труда и социальной защиты опубликовало приказ от 28.11.2022 № 739н «Об утверждении профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере».

Лицензирование ФСТЭК

  1. ФСТЭК подготовила проект своего приказа «Об утверждении Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации», который отменит ранее действовавший административный регламент по данному вопросу.
  2. ФСТЭК подготовила проект своего приказа «Об утверждении Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по технической защите конфиденциальной информации».
  3. ФСТЭК подготовила проект своего приказа «Об утверждении Регламента осуществления Федеральной службой по техническому и экспортному контролю функции по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации».
  4. ФСТЭК подготовила проект своего приказа «Об утверждении Регламента осуществления Федеральной службой по техническому и экспортному контролю функции по лицензированию деятельности по технической защите конфиденциальной информации».
  5. ФСТЭК опубликовала информационное сообщение от 1 декабря 2022 г. №240/24/6265 «Об утверждении требований по безопасности информации к средствам контейнеризации». Также ФСТЭК опубликовала выписку из данных требований.
  6. ФСТЭК опубликовала проект своего приказа «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации».
  7. ФСТЭК опубликовала проект своего приказа «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации».
  8. ФСТЭК планирует подготовить проект приказа «Об утверждении Порядка проведения проверки соблюдения лицензионных требований лицензиатами, осуществляющими деятельность по технической защите конфиденциальной информации и о признании утратившим силу приказа ФСТЭК России от 20 июля 2012 г. № 89 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований  при осуществлении деятельности по технической  защите конфиденциальной информации».

Разное

  1. ФСБ опубликовало приказ от 01.11.2022 №543 «Об определении переходного периода, предусмотренного подпунктом «б» пункта 5 Указа Президента Российской Федерации от 1 мая 2022 г. №250″.
  2. Правительство опубликовало распоряжение от 22.12.2022 № 4088-р, утвердившую Концепцию формирования и развития культуры информационной безопасности граждан Российской Федерации.
  3. Правительство подготовило и внесло в Госдуму законопроект №265468-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который устанавливает штрафы за создание и использование сайтов-двойников единого государственного реестра недвижимости (ЕГРН).
  4. Официально опубликован приказ Главного управления специальных программ Президента Российской Федерации от 22.10.2022 № 163 «Об установлении перечня информации об отнесенных к ведению Главного управления специальных программ Президента Российской Федерации пунктах управления государством и Вооруженными Силами Российской Федерации, иных специальных объектах мобилизационного назначения и объектах их инфраструктуры, составляющей профессиональную тайну, а также требований к защите данной информации».
  5. ФСТЭК планирует подготовить проект указа Президента Российской Федерации «Об утверждении Положения о государственной системе защиты информации в Российской Федерации».
  6. ФСТЭК планирует подготовить проект приказа «Об утверждении Порядка аттестации экспертов органов по сертификации и специалистов испытательных лабораторий».
  7. ФСТЭК планирует подготовить проект приказа «О внесении изменений в Правила выполнения отдельных работ по аккредитации органов по сертификации и испытательных  лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности, утвержденные приказом ФСТЭК России от 10 апреля 2015 г. №33.
  8. В Госдуму внесен законопроект, обязующий операторов связи получать согласие абонента на пропуск голосовых сообщений по сетям телефонной и мобильной связи напрямую или через заказчика рассылки. Ранее аналогичную норму предлагало внести Минцифры.

Заметка Дайджест изменений в российском законодательстве по ИБ №30 была впервые опубликована на Бизнес без опасности .

Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!