Обзор изменений в законодательстве. Июль, август 2021 г.

Анастасия Заведенская, 04/10/21

Устанавливаются новые правила маркирования СрЗИ, информирования ФСБ России о компьютерных инцидентах, использования информационной системы Роскомнадзора.

Июль-2021

Автор: Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности

В июле 2021 г. ФСТЭК России выступила с законодательными инициативами изменений нормативных требований в части категорирования объектов КИИ, а также ведения реестра значимых объектов КИИ. Была опубликована информация об изменении порядка маркирования сертифицированных средств защиты информации, а также о применении сертифицированных средств в автоматизированных системах управления. Для регламентации в нормативно-правовых актах было предложено определение, какие информационные системы являются государственными и как их нужно классифицировать. Об этом и других изменениях читайте в июльском обзоре изменений законодательства по информационной безопасности за 2021 г.

Изменения в правилах категорирования объектов КИИ

Проект постановления Правительства Российской Федерации "О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. No 127" [1] (далее – проект постановления) опубликован 22 июля 2021 г.

Проектом постановления предлагается:

наделение государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и/или нормативно-правовому регулированию в установленной сфере деятельности, полномочиями по осуществлению ведомственного и/или отраслевого мониторинга состояния работ по категорированию объектов критической информационной инфраструктур (далее – КИИ);
установление требований о направлении во ФСТЭК России скорректированных сведений о значимом объекте КИИ в случае их изменения в течение 10 рабочих дней со дня внесения изменений;
внести уточнение, что за непредставление или нарушение сроков представления сведений субъекты КИИ несут административную ответственность.

Изменения в порядке ведения реестра значимых объектов КИИ

Следом, 29 июля 2021 г., ФСТЭК России опубликовала проект приказа "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. No 227" [2] (далее – проект приказа).

Проектом приказа предлагаются следующие изменения:

l разделение сфер энергетики и топливно-энергетического комплекса при обозначении для значимого объекта КИИ сферы (области) деятельности, в которой он функционирует;

введение аналогичной проекту постановления нормы по направлению сведений субъектами КИИ во ФСТЭК России об изменениях в значимом объекте КИИ;
дополнение случаев предоставления информации из реестра значимых объектов КИИ государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и/или нормативно-правовому регулированию в сфере функционирования значимого объекта КИИ.

Порядок маркирования сертифицированных средств защиты информации

Информационным сообщением "О порядке маркирования сертифицированных средств защиты информации в системе сертификации ФСТЭК России" от 22 июля 2021 г. N 240/24/3487 [3] ФСТЭК России сообщает о подготовке проекта изменений в Положение о системе сертификации средств защиты информации (далее – СрЗИ), утвержденное приказом ФСТЭК России от 3 апреля 2018 г. No 55, предусматривающим в том числе изменение порядка маркирования сертифицированных СрЗИ.

Сообщение поясняет новый порядок маркирования СрЗИ идентификатором, состоящим из прописных букв и групп цифр. Описанный порядок маркирования должен применяться с момента опубликования информационного сообщения. Специальные защитные знаки для маркирования сертифицированных средств СрЗИ больше выдаваться не будут.

Организации, имеющие запас специальных защитных знаков, могут продолжить маркирование производимых ими сертифицированных СрЗИ специальными защитными знаками до израсходования имеющихся знаков. При этом изготовители СрЗИ должны вести журнал, в котором будут регистрироваться промаркированные образцы СрЗИ с указанием идентификаторов, а также ежегодно, не позднее 1 февраля, представлять в ФСТЭК России отчет о количестве произведенных СрЗИ за год.

Защита информации в АСУ

Приказ ФСТЭК России от 15.03.2021 No 46 "О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России 14 марта 2014 г. No 31" [4], опубликован 1 июля 2021 г.

Изменения направлены на нормализацию требований по использованию сертифицированных СрЗИ в автоматизированных системах управления (далее – АСУ) действующей системы сертификации ФСТЭК России. То есть регламентировано использование СрЗИ, соответствующих тому или иному уровню доверия, в зависимости от класса защищенности АСУ.

Государственные информационные системы

Проект федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "О техническом регулировании" [5] (далее – проект ФЗ) опубликован 26 июля 2021 г.

Проектом ФЗ предлагается наконец регламентировать дефиницию государственной информационной системы (далее – ГИС), а также жизненный цикл информационной системы. В классификации информационных систем вводится деление на федеральные ГИС, региональные ГИС, муниципальные и иные информационные системы.

Лицензирование отдельных видов деятельности

Проект постановления Правительства Российской Федерации "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности" [6] был опубликован 27 июля 2021 г.

Основное предлагаемое изменение – запрет на осуществление лицензируемой деятельности иностранными юридическими лицами в области разработки криптографических СрЗИ и средств негласного получения информации. Предполагается вступление изменений в силу с 1 марта 2022 г.

Лицензирование деятельности по технической защите конфиденциальной информации

Проект постановления Правительства Российской Федерации "О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. No 79" [7] опубликован 14 июля 2021 г.

Основные предлагаемые для внесения изменения:

нельзя вести лицензируемый вид деятельности иностранным юридическим лицам;
местом осуществления лицензируемого вида деятельности не могут являться помещения, здания, сооружения жилого назначения;
соискатель лицензии может отозвать заявление о предоставлении лицензии до принятия лицензирующим органом решения о предоставлении лицензии или об отказе в ее предоставлении.

Государственный контроль в сфере электронной подписи

Постановление Правительства Российской Федерации от 29.06.2021 г. No 1044 "Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере электронной подписи" [8] официально опубликовано и вступило в силу 1 июля 2021 г.

Государственный контроль (надзор) осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации. Государственный контроль (надзор) осуществляется без проведения плановых контрольных (надзорных) мероприятий, только посредством проведения внеплановых мероприятий, таких как инспекционный визит, документарная проверка, выездная проверка.

Стандарт Банка России

Принят и введен в действие приказом Банка России от 23 июля 2021 г. No ОД-1536 стандарт Банка России "Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования" СТО БР ФАПИ.ПАОК-1.0-2021 [9] (далее – стандарт).

Стандарт рекомендован для использования при создании и оценке соответствия программных средств, предназначенных для безопасного обмена финансовыми сообщениями в среде открытых банковских интерфейсов. Стандарт носит рекомендательный характер и предназначен для:

участников получения информации о банковском счете (банки и их клиенты, а также сторонние поставщики);
участников перевода денежных средств (банки и их клиенты, а также сторонние поставщики);
разработчиков информационного и программного обеспечения, информационных систем.

Проекты ГОСТов

В июле 2021 г. ФСТЭК России представила сведения о национальных стандартах, разработанных в результате деятельности технического комитета по стандартизации "Защита информации" (ТК 362), а именно проекты трех ГОСТов:

проект национального стандарта ГОСТ Р. Управление инцидентами, связанными с безопасностью информации. Принципы менеджмента инцидентов [10];
проект национального стандарта ГОСТ Р. Управление инцидентами, связанными с безопасностью информации. Руководство по планированию и подготовке к реагированию на инциденты [11];
проект национального стандарта ГОСТ Р. Управление инцидентами, связанными с безопасностью информации. Руководство по реагированию на инциденты в сфере информационных и компьютерных технологий [12].

Август-2021

В обзоре изменений нормативно-правовых актов в области ИБ за август 2021 г. поговорим об изменениях от ФСТЭК России в порядке аттестации, об уточнении порядка информирования ФСБ России о компьютерных инцидентах, о потенциальных изменениях в перечне государств, обеспечивающих адекватную защиту ПДн, и об информационной системе Роскомнадзора, предназначенной для обеспечения получения оператором согласия на обработку ПДн, разрешенных субъектом ПДн для распространения.

Порядок организации и проведения работ по аттестации объектов информатизации

Приказ ФСТЭК Росси от 29.04.2021 г. No 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" [13] (далее – приказ ФСТЭК России No 77) официально опубликован 10 августа 2021 г. Приказ ФСТЭК России No 77 вступил в силу 1 сентября 2021 г.

Порядок, установленный приказом ФСТЭК России No 77, распространяется на аттестацию следующих объектов информатизации:

государственных и муниципальных информационных систем, в том числе государственных, муниципальных ИС персональных данных;
ИС управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;
защищаемых помещений;
значимых объектов КИИ;
ИСПДн;
автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

По решению руководителя федерального органа государственной власти, органа государственной власти субъекта РФ, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации может проводиться структурным подразделением (работниками) этого органа, ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при выполнении требований, установленных приказом ФСТЭК России No 77 для проведения работ по аттестации.

Приказом ФСТЭК России No 77 определен минимальный состав аттестационной комиссии – руководитель комиссии и не менее двух экспертов, установлен максимальный срок проведения работ по аттестации – 4 месяца. При этом не допускается назначение экспертов органов по аттестации из числа работников, участвующих в разработке и/или внедрении системы защиты информации объекта информатизации.

Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия должен представить во ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:

аттестата соответствия объекта информатизации;
технического паспорта на объект информатизации;
акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта КИИ;
программы и методик аттестационных испытаний объекта информатизации;
заключения и протоколов.

Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации. При этом владелец аттестованного объекта информатизации должен проводить периодический контроль уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте. Протоколы контроля защиты информации не реже одного раза в два года должны представляться владельцем объекта информатизации во ФСТЭК России (территориальный орган ФСТЭК России). Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет во ФСТЭК России сведения об аттестованных им объектах информатизации.

В случае развития (модернизации) объекта информатизации, приводящей к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и/или к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация. В случае развития (модернизации) объекта информатизации, не приводящей к указанным выше изменениям, проводятся дополнительные аттестационные испытания. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.

Изменение порядка информирования ФСБ России о компьютерных инцидентах

ФСБ России 26 августа 2021 г. был опубликован проект приказа "О внесении изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации", утвержденный приказом ФСБ России от 19 июня 2019 г. No 282 [14].

Предлагаемые изменения:

разработанный план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак утверждается руководством субъекта КИИ;
копия утвержденного плана в срок до 7 календарных дней направляется в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ);
проект плана реагирования, содержащий положения о привлечении подразделений и должностных лиц ФСБ России к проведению мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак, должен разрабатываться при методическом обеспечении НКЦКИ до его утверждения.

Защита информации, обладателями которой являются государственные органы

ФСТЭК России 4 августа 2021 г. опубликовала проект федерального закона "О внесении изменений в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации" [15] (далее – проект ФЗ).

Проект ФЗ предлагает явно закрепить применение единых требований о защите информации, обладателями которой являются государственные органы, любыми операторами ИС, независимо от отраслевой и ведомственной принадлежности, обрабатывающими такую информацию.

Изменения в перечне государств, обеспечивающих адекватную защиту ПДн

Роскомнадзор представил проект приказа "О внесении изменений в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденный приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. No 274" [16] 19 августа 2021 г.

Из перечня предлагается исключить: Аргентинскую Республику, Королевство Марокко, Республику Чили, Тунисскую Республику. Включить предлагается Народную Республику Бангладеш, Республику Беларусь, Республику Замбию, Республику Нигер, Новую Зеландию, Республику Таджикистан, Республику Узбекистан, Республику Чад, Социалистическую Республику Вьетнам, Тоголезскую Республику, Федеративную Республику Бразилию, Федеративную Республику Нигерию.

Правила использования информационной системы Роскомнадзора

Приказ Роскомнадзора от 21.06.2021 No 106 "Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором" [17] (далее – приказ Роскомнадзора No 106) официально опубликован 11 августа 2021 г.

Приказ Роскомнадзора No 106 утверждает правила использования информационной системы Роскомнадзора, предназначенной для обеспечения получения оператором согласия на обработку ПДн, разрешенных субъектом ПДн для распространения (далее – согласие). Приказ Роскомнадзора No 106 вступит в силу с 1 марта 2022 г. и будет действовать до 1 марта 2028 г.

В соответствии с приказом Роскомнадзора No 106 согласие предоставляется и отзывается субъектом ПДн на информационном ресурсе оператора в соответствии с порядком, установленным для Единой системы идентификации и аутентификации (ЕСИА) постановлением Правительства Российской Федерации от 28 ноября 2011 г. No 977. Подписание субъектом ПДн согласия осуществляется с использованием электронной подписи.

После подписания субъектом ПДн согласия с использованием информационной системы Роскомнадзора обеспечивается получение следующей обезличенной информации:

о факте предоставления согласия;
о цели (целях) обработки ПДн;
об информационных ресурсах оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с ПДн субъекта ПДн;
о категориях и перечне ПДн, на обработку которых дается согласие;
о категориях и перечне ПДн, для обработки которых субъектом ПДн установлены условия и запреты;
перечень устанавливаемых в отношении ПДн условий и запретов.