Обзор изменений законодательства в финале 2021 года

Авторы:
Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
Наталья Григорьева, помощник аналитика Аналитического центра Уральского центра систем безопасности

Ноябрь-2021

В ноябрьском обзоре за 2021 г. рассмотрим изменения в положения о лицензировании отдельных видов деятельности в области защиты информации и о сертификации средств защиты, новеллы в части обработки персональных данных и фиксации административных правонарушений, связанных с ГосСОПКА. Немного поговорим о требованиях по защите информации при функционировании системы “112”, новых дефинициях в части облачных технологий и вступлении в силу стандартов по ИБ.

Изменения в положения о лицензировании

Постановление Правительства РФ от 26 ноября 2021 г. No 2055 "О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации" [1] (далее – ПП по ТЗКИ) было опубликовано 29 ноября 2021 г.

ПП по ТЗКИ вносит изменения в постановление Правительства РФ от 3 февраля 2012 г. No 79 "О лицензировании деятельности по технической защите конфиденциальной информации" и вступает в силу с 1 марта 2022 г.

Согласно ПП по ТЗКИ:

• иностранные юридические лица не смогут осуществлять деятельность по технической защите конфиденциальной информации (далее – ТЗКИ);
• соискатель лицензии будет вправе отозвать свое заявление о предоставлении лицензии до принятия решения лицензирующим органом о предоставлении лицензии или об отказе в ее предоставлении;
• лицензируемый вид деятельности нельзя осуществлять в помещениях, являющихся объектами жилого назначения;
• в состав документов для получения лицензии внесены уточнения в части подтверждения опыта и квалификации работников соискателя лицензии, наличия помещения для осуществления лицензируемого вида деятельности и подтверждения защищенности автоматизированных систем;
• уточнено, что заявление о предоставлении лицензии (внесении изменений в реестр лицензий) и прилагаемые к нему документы соискатель лицензии (лицензиат) должен представлять в лицензирующий орган на бумажном носителе или заказным письмом (с уведомлением о вручении);
• дополнено, что при организации и осуществлении лицензионного контроля положения Федерального закона от 26 декабря 2008 г. No 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" применяются до 31 декабря 2024 г.

Постановление Правительства РФ от 26 ноября 2021 г. No 2054 "О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации" [2] (далее – ПП по СЗКИ) также было опубликовано 29 ноября 2021 г.

ПП по СЗКИ вносит изменения в постановление Правительства РФ от 3 марта 2012 г. No 171 "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации". Состав вносимых изменений по ПП по СЗКИ, которые также вступают в силу с 1 марта 2022 г., по большей мере аналогичен составу изменений рассмотренного выше ПП по ТЗКИ.

Изменения в положении о сертификации средств защиты информации

ФСТЭК России информационным сообщением от 10 ноября 2021 г. [3] напоминает о внесении изменений в Положение о системе сертификации средств защиты информации (далее – СрЗИ), утвержденное приказом ФСТЭК России от 3 апреля 2018 г. No 55.

Указанные изменения были внесены приказом ФСТЭК России от 5 августа 2021 г. No 121 и вступили в силу 7 ноября 2021 г. Информационным письмом ФСТЭК России отмечает следующие основные изменения:

• установлен запрет на сертификацию СрЗИ иностранного производства, в отношении которых нормативными правовыми актами РФ установлены ограничения или запреты на их использование в РФ;
• отменен срок действия сертификата соответствия для единичного образца или партии СрЗИ. Определены условия, при которых серийно производимые СрЗИ считаются сертифицированными, в том числе после окончания срока действия сертификата соответствия;
• уточнен порядок отбора образцов (образца) СрЗИ для сертификационных испытаний;
• упразднена процедура предварительного рассмотрения образца СрЗИ и документации на него;
• изменен порядок маркирования сертифицированных СрЗИ;
• сокращен объем испытаний сертифицированных СрЗИ при продлении срока действия сертификата соответствия.

Порядок уничтожения персональных данных субъектом экспериментального правого режима

Приказ Минцифры от 29 сентября 2021 г. No 1015 "Об утверждении порядка уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима" [4] (далее – приказ Минцифры России) официально опубликован 29 ноября 2021 г.

Требования приказа Минцифры России распространяются на субъекты экспериментального правового режима в сфере цифровых инноваций в случае прекращения такого статуса в соответствии с Федеральным законом от 31 июля 2020 г. No 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации".

В целом текст приказа Минцифры России почти не изменился по сравнению с редакцией его проекта, о требованиях которого мы говорили в обзоре за сентябрь 2021 г. [5]

Из основных требований отметим:

• для уничтожения обезличенных данных должны применяться средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
• факт уничтожения обезличенных данных должен быть зафиксирован в акте об их уничтожении. Состав включаемой в акт информации также утвержден приказом Минцифры России.

Индикаторы риска нарушения обязательных требований в сфере идентификации и (или) аутентификации

Минцифры России 9 ноября 2021 г. представило для общественного обсуждения проект приказа "Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) в сфере идентификации и/или аутентификации" [6].

К индикаторам риска нарушения требований предлагается относить:

• пять случаев технического сбоя в течение 14 календарных дней в работе аппаратно-шифровальных средств, используемых для оказания услуг по идентификации и/или аутентификации;
• возникновение у аккредитованной организации более 10 ошибок в течение 14 календарных дней при определении степени взаимного соответствия предоставленных биометрических персональных данных (далее – ПДн) физического лица его биометрическим ПДн, содержащимся в информационных системах, обеспечивающих идентификацию и/или аутентификацию;
• обнаружение атак на биометрическое предъявление в процессе прохождения идентификации и/или аутентификации в течение 14 календарных дней.

Напомним, что порядок организации и осуществления государственного надзора в отношении аккредитованных организаций, осуществляющих идентификацию и (или) аутентификацию физических лиц с использованием их биометрических ПДн, определяется опубликованным в октябре и вступающим в силу 1 января 2022 г. постановлением Правительства Российской Федерации от 11 октября 2021 г. No 1729 "Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и/или аутентификации" [7].

Порядок защиты информации при функционировании системы обеспечения вызова по единому номеру "112"

В ноябре 2021 г. Минцифры России опубликовало проект приказа "Об определении порядка защиты сетей связи и информационных систем операторов связи от несанкционированного доступа к ним и передаваемой по ним информации при функционировании системы обеспечения вызова экстренных оперативных служб по единому номеру "112" [8] (далее – проект приказа).

Проект приказа устанавливает требования по обеспечению информационной безопасности (далее – ИБ) и зоны разграничения ответственности при взаимодействии в системе обеспечения вызова экстренных оперативных служб по единому номеру "112" (далее – система-112) для операторов связи и операторов системы-112.

По проекту приказа при защите сетей связи и информационных систем операторов связи при функционировании системы-112 применяются требования нормативно-правовых актов по обеспечению ИБ ПДн, критической информационной инфраструктуры и требований, предъявляемых к сетям связи.

Отметим несколько положений проекта приказа:

• при межсистемном взаимодействии системы-112 с информационными системами операторов связи должны применяться средства криптографической защиты информации, имеющие подтверждение соответствия требованиям по безопасности информации, установленным федеральным органом исполнительной власти в области обеспечения безопасности, по классу не ниже КС3;
• система-112 должна взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА).

Административные нарушения, связанные с обеспечением функционирования ГосСОПКА

В конце ноября 2021 г. официально опубликован приказ ФСБ России от 29 ноября 2021 No 472 "О внесении изменений в приказ ФСБ России от 11 декабря 2013 г. No 747 "Об утверждении Перечня должностных лиц органов федеральной службы безопасности, уполномоченных составлять протоколы об административных правонарушениях, и о реализации отдельных положений Кодекса Российской Федерации об административных правонарушениях в органах федеральной службы безопасности" и утвержденный этим приказом Перечень" [9].

ФСБ России расширила перечень должностных лиц, уполномоченных составлять протоколы об административных правонарушениях, связанных с обеспечением функционирования ГосСОПКА (ч. 2 и 3 ст. 13.12.1 и ч. 2 ст. 19.7.15 КоАП РФ).

Правовое регулирование облачных технологий

Минцифры России в ноябре 2021 г. подготовило и представило для общественного обсуждения проект внесения изменений в Федеральный закон от 27.07.2006 No 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее – проект изменений) [10].

Проект изменений предлагает ввести в нормативное поле российского законодательства следующие понятия:

• государственная единая облачная платформа (далее – ГосОблако);
• облачные услуги;
• облачные вычисления;
• пользователи облачных услуг. Проект изменений предлагает определить порядок отнесения компонентов к инфраструктуре ГосОблака, а также предполагается дальнейшая разработка требований к ГосОблакам, в том числе по ИБ.

Стандартизация в области ИБ

С 30 ноября 2021 г. введены в действия порядка 49 новых ГОСТов [11], связанных с защитой информации. Так, например, обновили и привели к соответствию с действующим на момент написания обзора стандартам ISO: ИСО/МЭК ГОСТ Р 27000–2021; ИСО/МЭК ГОСТ Р 27002–2021; ИСО/МЭК ГОСТ Р 27003–2021; ИСО/МЭК ГОСТ Р 27004–2021; ИСО/МЭК ГОСТ Р 27017–2021.

Декабрь-2021

В обзоре за декабрь 2021 г. рассмотрим реакцию регуляторов на нашумевшую уязвимость Log4j и то, каким образом планируется регламентировать проведение контрольных (надзорных) мероприятий. Поговорим об изменениях в правилах категорирования объектов КИИ, а также о том, какие изменения НПА от ФСТЭК России ждут нас в грядущем году. Затронем вопросы защиты информации в финансовом секторе, обращения с документами для служебного пользования и возможности появления новых дефиниций в нормативном поле.

Выявление и устранении уязвимости Log4j

ФСТЭК России 21 декабря опубликовала информационное сообщение от 21 декабря 2021 г. No 240/22/631911 о выявлении и устранении уязвимостей компонента JNDI (Java Naming and Directory Interface) библиотеки apache Log4j.

В сообщении приводится перечень мероприятий по устранению выявленной уязвимости (обновление библиотек) и комплекс компенсирующих мер в случае невозможности установить обновление. Стоит отметить, что ФСТЭК России адресует указанные рекомендации федеральным органам исполнительной власти в отношении государственных информационных систем, находящихся в их ведении.

Изменения в Правила категорирования объектов критической информационной инфраструктуры

28 декабря 2021 г. официально опубликовано постановление Правительства Российской Федерации от 24.12.2021 No 2431 "О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации" [12] (далее – ПП РФ). Изменения вступают в силу 4 января 2022 г.

ПП РФ определяет порядок информирования субъектом критической информационной инфраструктуры (далее – КИИ) ФСТЭК России об изменении сведений об объекте КИИ в печатном и электронном виде не позднее 20 рабочих дней. Сведения будет необходимо отправить по новой по форме, установленной приказом ФСТЭК России от 22 декабря 2017 г. No 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий".

Второе изменение, вносимое ПП РФ, обязует государственные органы и российские юридические лица, выполняющие функции разработки, проведения или реализации государственной политики и/или нормативно-правового регулирования в установленной сфере деятельности, осуществлять мониторинг предоставления субъектами КИИ актуальных и достоверных сведений об объектах КИИ.

План разработки ФСТЭК России нормативных правовых актов на 2022 г.

ФСТЭК России 1 декабря опубликовала выписку из плана разработки ФСТЭК России нормативных правовых актов на 2022 г. [13]

В плане есть проекты актов президента РФ и проекты актов ФСТЭК России. Многие проекты относятся к лицензированию деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации. Однако планируются и изменения в приказ ФСТЭК России от 11 февраля 2013 г. No 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".

Формы документов, используемые ФСБ России в процессе лицензирования

ФСБ России 10 декабря опубликовала проект приказа "Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. No 99-ФЗ "О лицензировании отдельных видов деятельности" [14] (далее – проект приказа ФСБ России).

В проекте приказа ФСБ России планируется утвердить формы документов, используемых ФСБ России в процессе лицензирования, и оценочные листы, применяемые при осуществлении оценки соответствия соискателя лицензии (лицензиата) лицензионным требованиям.

Формы оценочных листов ФСТЭК России для проведения оценки соответствия соискателя лицензии или лицензиата лицензионным требованиям

ФСТЭК России 3 декабря опубликовала проекты приказов "Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации" [15] и "Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации" [16] (далее – проекты приказов ФСТЭК России).

Оба проекта приказов ФСТЭК России относительно оценочных листов содержат списки контрольных вопросов, ответы на которые должны свидетельствовать о соответствии (несоответствии) соискателя лицензии или лицензиата лицензионным требованиям.

Список контрольных вопросов для проверок соблюдения требований в области обработки персональных данных

Роскомнадзор 2 декабря опубликовал проект приказа "Об утверждении форм проверочных листов (списков контрольных вопросов), используемых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при проведении выездной проверки при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных" [17] (далее – проект приказа Роскомнадзора).

В проекте приказа Роскомнадзора приводятся два варианта проверочных листов:

• для юридических лиц, физических лиц и индивидуальных предпринимателей;
• для оператора, являющегося государственным или муниципальным органом.

Требования по защите информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке

Банк России 20 декабря опубликовал проект приказа "Об установлении обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, требований к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами" [18] (далее – проект Банка России).

Основные требования по защите информации устанавливаются для бюро кредитных историй. Отметим, что по проекту Банка России лица, оказывающие профессиональные услуги на финансовом рынке (за исключением бюро кредитных историй), вправе принять решение о необходимости соблюдения в отношении объектов информационной инфраструктуры требований ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (далее – ГОСТ Р 57580.1–2017), соответствующих минимальному уровню защиты информации. Квалифицированные бюро кредитных историй должны соблюдать требования ГОСТ Р 57580.1–2017, соответствующие стандартному уровню защиты информации; бюро кредитных историй, не являющиеся квалифицированными – минимальному уровню. Бюро кредитных историй также должны осуществлять оценку соответствия уровня защиты информации в соответствии с требованиями ГОСТ Р 57580.2–2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия".

Основные направления цифровизации финансового рынка

Банк России опубликовал проект Основных направлений цифровизации финансового рынка на период 2022–2024 гг.[19] Часть направлений определяют, чем Банк России будет заниматься в области информационной безопасности (далее – ИБ) в указанный временной промежуток. Концентрация усилий будет сосредоточена на обеспечении высокого качества аутентификации клиентов и возможности широкого использования облачной электронной подписи. Всего выделено шесть направлений по ИБ:

• обеспечение возможности использования сервиса облачной усиленной квалифицированной электронной подписи (далее – УКЭП) участниками финансового рынка;
• обеспечение всех надзорных организаций УКЭП;
• формирование среды доверия при удаленном предоставлении финансовых услуг и сервисов;
• снижение уровня потерь по операциям, совершаемым с использованием дистанционных каналов обслуживания, включая социальную инженерию;
• внедрение института киберучений как основного механизма стресс-тестирования при осуществлении надзора в части оценки киберрисков;
• развитие информационного обмена ФинЦЕРТ с участниками кредитно-финансовой сферы в части противодействия компьютерным атакам.

Национальная система управления данными

Проект федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" в части формирования национальной системы управления данными" [20] (далее – проект ФЗ) был опубликован 7 декабря.

Согласно проекту ФЗ под национальной системой управления данными (далее – НСУД) будет подразумеваться совокупность взаимосвязанных методологических, правовых, организационно-управленческих и информационно-технологических компонентов, обеспечивающих эффективное управление данными НСУД на федеральном, региональном и муниципальном уровне.

В проекте ФЗ предлагается дать новую трактовку понятиям:

• информация;
• обладатель информации;
• документированная информация;
• оператор информационной системы.

В это проекте предлагается и ввести ряд новых понятий:

• государственные данные;
• информационная система публичного сектора;
• эталонные данные НСУД;
• вид данных НСУД;
• модель данных НСУД и др.

Предлагается дополнить Федеральный закон от 27 июля 2006 г. No 149-ФЗ "Об информации, информационных технологиях и о защите информации" статьями "Обязанности оператора информационной системы публичного сектора" и "Национальная система управления данными".

Порядок обращения с документами для служебного пользования

Минцифры России 1 декабря опубликовало проект приказа "Об утверждении Положения о порядке обращения с документами для служебного пользования" [21] (далее – проект приказа Минцифры России).

Проектом приказа Минцифры России планируется признать утратившим силу постановление Правительства Российской Федерации от 3 ноября 1994 г. No 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности" и ввести новое положение о порядке обращения с документами для служебного пользования.

1. http://publication.pravo.gov.ru/Document/View/0001202111290059 
2. http://publication.pravo.gov.ru/Document/View/0001202111290074 
3. https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2291-informatsionnoe-soobshchenie-fstek-rossii-ot-10-noyabrya-2021-g-n-240-24-5444 
4. http://publication.pravo.gov.ru/Document/View/0001202111290065 
5. См. Заведенская А., Григорьева Н. Обзор изменений в законодательстве. Сентябрь-2021 // Information Security/ Информационная безопасность. 2021. No 5. С. 4–8.
6. https://regulation.gov.ru/projects#npa=122291 
7. http://publication.pravo.gov.ru/Document/View/0001202110130008 
8. https://regulation.gov.ru/projects#npa=122181 
9. http://publication.pravo.gov.ru/Document/View/0001202111300061 
10. https://regulation.gov.ru/projects#npa=122604 
11. https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2314-informatsionnoe-soobshchenie-fstek-rossii-ot-21-dekabrya-2021-g-n-240-22-6319 
12. http://publication.pravo.gov.ru/Document/View/0001202112270037 
13. https://fstec.ru/normotvorcheskaya/akty/54-inye/2308-plan-razrabotki-normativnykh-pravovykhaktov-fstek-rossii-na-2022-god 
14. https://regulation.gov.ru/projects#npa=123334 
15. https://regulation.gov.ru/projects#npa=123136 
16. https://regulation.gov.ru/projects#npa=123137 
17. https://regulation.gov.ru/projects#npa=123061 
18. https://regulation.gov.ru/projects#npa=123595 
19. https://cbr.ru/Content/Document/File/131360/oncfr_2022-2024.pdf  
20. https://regulation.gov.ru/projects#npa=115660
21. https://regulation.gov.ru/projects#npa=123026