Контакты
Подписка 2024

Обзор изменений в законодательстве в мае и июне 2020 г.

Анастасия Заведенская, 27/07/20

Помимо штрафов и уголовной ответственности в КИИ приходит импортозамещение, а к средствам ГосСОПКА предъявлены новые требования

Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности

Май-2020

В майском обзоре изменений российского законодательства речь пойдет об отсрочках, которые были предоставлены регуляторами в связи с коронавирусной инфекцией, о нашумевших проектах документов по импортозамещению

Банк России о неприменении мер в связи с коронавирусной инфекцией

В информационном письме от 14.05.2020 г. № ИН-014-56/88 "О неприменении мер в связи с коронавирусной инфекцией (COVID-19)"1 Банк России сообщает о неприменении до 01.07.2021 г. мер в случае нарушения кредитными организациями п. 4 положения Банка России от 17.04.2019 г. № 683-П и некредитными финансовыми организациями положения Банка России от 17.04.2019 г. № 684-П.

Таким образом, временные регуляторные послабления до 1 июля 2021 г. в отношении нарушений требований нормативных актов Банка России получили:

  1. Кредитные организации. В части требования по использованию сертифицированного прикладного программного обеспечения или того, для которого проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4. Требование вступило в силу с 1 января 2020 г.
  2. Некредитные финансовые организации. В части исполнения требований положения Банка России от 17.04.2019 г. № 684-П. и об административной, а также уголовной ответственности для субъектов КИИ.

Требования вступили в силу с 1 января 2020 г.

Следует отметить, что отсрочка по применению мер за нарушение требований положений Банка России не отменяет самой необходимости исполнения требований в корректные сроки.

Применение в ГИС средств защиты информации, соответствующих уровням доверия

13 мая 2020 г. был официально опубликован приказ ФСТЭК России от 27.04.2020 г. № 61 "О внесении изменения в приказ ФСТЭК России от 28 мая 2019 г. № 106 "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17"2. Приказ вступил в силу 24 мая 2020 г.

Этот приказ предусматривает сдвиг срока вступления в силу требования по применению в государственных информационных системах сертифицированных средств защиты информации, соответствующих уровням доверия, до 1 января 2021 г. Требования безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131.

Импортозамещение в критической информационной инфраструктуре

21 мая 2020 г. был опубликован проект указа Президента Российской Федерации "О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры" 3.

Проектом указа предусматривается наделение Правительства Российской Федерации полномочиями по утверждению требований к ПО и оборудованию, используемому на объектах критической информационной инфраструктуры, а также порядок перехода на преимущественное использование российского оборудования и ПО. При этом, по проекту указа, требования к импортозамещению на объектах КИИ будут утверждены к 1 сентября 2020 г., осуществить переход на российское ПО будет необходимо до 1 января 2021 г., а на российское оборудование – до 1 января 2022 г.

К проекту указа прилагается проект постановления Правительства Российской Федерации, согласно которому надзорным органом по контролю использования субъектами КИИ российского ПО будет Минкомсвязь России, а по контролю использования российского оборудования – Минпромторг России. В случае если переход на российское обеспечение все-таки невозможен, то необходимо согласовать перечень используемого (или планируемого к использованию) иностранного ПО с Минкомсвязью России, а иностранного оборудования – с Минпромторгом России. Процедуру такого согласования должны будут регламентировать совместно и Минкомсвязь России, и Минпромторг России, и ФСБ России, и ФСТЭК России. Пока неизвестно, в какие сроки будет подготовлено описание порядка согласования. Никаких временных рамок проект указа не устанавливает, а проекты нормативных актов от регуляторов еще не были представлены.

В конечном итоге субъектам КИИ будет необходимо сформировать план перехода на преимущественное использование российского ПО и/или оборудования и в течение 30 рабочих дней с момента утверждения направить копию этого плана в Минкомсвязь России и Минпромторг России.

При этом экспертным сообществом отмечается:

  1. Невозможность исполнения предлагаемых сроков выполнения требований, которые будут утверждены к 1 сентября 2020 г. (между тем часть из этих требований надо будет выполнить за лето 2020 г.). К тому же достаточно большое количество субъектов КИИ – это государственные организации со строго нормированным бюджетированием и процедурами закупок.
  2. Проекты нормативных актов, скорее всего, направлены на первоначальное планирование перехода на отечественное ПО и оборудование к 1 января 2021 г., с дальнейшим непосредственным переходом в более поздние регламентированные сроки.
  3. Проекты нормативных актов предусматривают распространение требований по импортозамещению на все объекты КИИ. То есть необходимо будет использовать российское ПО и оборудование не только в значимых объектах КИИ, но и на всех объектах КИИ, принадлежащих субъектам КИИ.

Новый КоАП РФ

29 мая 2020 г. для общественного обсуждения был представлен проект нового Кодекса Российской Федерации об административных правонарушениях4. Проект КоАП РФ содержит в том числе и изменения в статьи касательно административных правонарушений в области информационной безопасности.

Рассмотрим некоторые из основных изменений, предлагаемых проектом КоАП РФ:

  1. Ч. 3 ст. 12.1. Отказ в заключении, изменении, расторжении и/или исполнении договора с потребителем в связи с отказом потребителя предоставить персональные данные, за исключением случаев, когда обязанность предоставления таких данных предусмотрена законодательством и связана с непосредственным исполнением договора с потребителем, влечет наложение штрафов в размере до 500 тыс. руб.
  2. Ст. 30.34. Нарушение требований законодательства в сфере деятельности некредитных финансовых организаций в части защиты информации влечет предупреждение или наложение штрафов до 500 тыс. руб.
  3. Ст. 30.35. Нарушение оператором платежной системы и оператором услуг платежной инфраструктуры требований законодательства о национальной платежной системе в части защиты информации влечет предупреждение или наложение штрафа на должностных лиц до 100 тыс. руб. Административный штраф за повторные нарушения может доходить до 1 млн руб.
  4. Ч. 6 ст. 33.1. Невыполнение обязанности по соблюдению конфиденциальности ПДн влечет наложение штрафа в размере до 500 тыс. руб. Экспертным сообществом отмечается, что введение именно такого административного правонарушения позволит наконец привлекать операторов ПДн к ответственности за утечки ПДн.

В табл. ниже приведен перечень административных штрафов по предлагаемым к включению в КоАП РФ ст. 39.24 и 39.25 о нарушении требований в области обеспечения безопасности КИИ Российской Федерации, которые уже давно активно обсуждаются в рамках других проектов изменений законодательства.

Лицо Административный штраф За что?
Должностное лицо От 10 тыс. руб. до 50 тыс. руб.

Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния

Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ

Непредоставление или нарушение сроков предоставления во ФСТЭК России сведений о результатах категорирования объекта КИИ

Непредоставление или нарушение порядка либо сроков предоставления информации в ГосСОПКА

От 10 тыс. руб. до 50 тыс. руб. Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния
От 20 тыс. руб. до 50 тыс. руб. Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты
Юридическое лицо От 50 тыс. руб. до 100 тыс. руб.

Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния

Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния

Непредоставление или нарушение сроков предоставления во ФСТЭК России сведений о результатах категорирования объекта КИИ

От 150 тыс. руб. до 200 тыс. руб. Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ
От 100 тыс. руб. до 500 тыс. руб.

Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты

Непредоставление или нарушение порядка либо сроков предоставления информации в ГосСОПКА

Индивидуальный предприниматель От 30 тыс. руб. до 70 тыс. руб.

Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования, если такие действия (бездействия) не содержат уголовно наказуемого деяния

Нарушение требований по обеспечению безопасности значимых объектов КИИ, за исключением случаев, повлекших причинение вреда КИИ РФ, если такие действия (бездействия) не содержат уголовно наказуемого деяния

Непредоставление или нарушение сроков предоставления во ФСТЭК России сведений о результатах категорирования объекта КИИ

От 50 тыс. руб. до 100 тыс. руб.

Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ

Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты

Непредоставление или нарушение порядка либо сроков предоставления информации в ГосСОПКА

 

Безопасность критической информационной инфраструктуры и УК РФ

Вслед за административной ответственностью за нарушения в области обеспечения безопасности КИИ Российской Федерации внесены проекты изменений в Уголовный кодекс РФ, связанные с неправомерным воздействием на КИИ. 19 мая 2020 г. Минэкономразвития России опубликовало проект федерального закона "О внесении изменений в статью 274.1 Уголовного кодекса Российской Федерации"5.

Согласно пояснительной записке к проекту ФЗ изменения обусловлены особенностями использованного понятийного аппарата, применение которого в силу неоднозначной и субъективной трактовки может сформировать спорную правоприменительную практику на всех стадиях уголовного судопроизводства. Ввиду этого авторами проекта ФЗ предложено дополнить перечень способов неправомерного воздействия на КИИ, приведенный в части первой ст. 274.1, предоставлением доступа к информации, содержащейся в КИИ, а также завершить данный перечень словами "а равно для иных неправомерных действий в отношении указанной информации". Данная поправка должна привести перечень способов неправомерного воздействия на КИИ в соответствие с основными задачами системы безопасности значимого объекта КИИ.

Проектом ФЗ предлагается отказаться от термина "причинение вреда", который также не однозначен и субъективен."Причинение вреда" предлагается заменить на"причинение крупного ущерба".Понятие "причинение крупного ущерба" точно и однозначно трактуется и широко используется в УК РФ как связанное с причинением материально-вредных последствий и, как правило, раскрывается непосредственно в тексте соответствующей статьи или главы УК РФ. Согласно п.2 примечания к ст. 272 УК РФ – "Неправомерный доступ к компьютерной информации" – крупным ущербом в статьях главы 28 "Преступления в сфере компьютерной информации" УК РФ признается ущерб, сумма которого превышает 1 млн руб.

Таким образом, предлагаемые изменения, по мнению авторов проекта ФЗ, позволят четко определить размер имущественноговреда, причинениекоторого станетоснованиемдлянаступленияуголовной ответственности по частям 2 и 3 ст. 274.1 УК РФ.

Июнь-2020

В июне были опубликованы требования к установке и эксплуатации средств ГосСОПКА в сетях связи, используемых для взаимодействия объектов КИИ. В этом обзоре мы также ознакомимся с классификацией средств обеспечения ИБ и новым положением Банка России о системе управления операционным риском в кредитных организациях.

Средства ГосСОПКА

25 июня 2020 г. был официально опубликован приказ Минкомсвязи России от 17.03.2020 г. № 114 "Об утверждении Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации"6, который вступает в силу 6 июля 2020 г.

Приказ Минкомсвязи России № 114 направлен на урегулирование отношений между операторами связи, ФСБ России и Минкомсвязи России, в контексте установки и эксплуатации средств поиска признаков компьютерных атак. Речь идет о средствах ГосСОПКА, а именно о технических, программных, программно-аппаратных и иных средствах поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры (далее – средства ППКА). Требования к средствам ППКА установлены приказом ФСБ России от 06.05.2019 г. № 196.7

Согласно этому приказу необходимость и места установки средств ППКА определяются ФСБ России, в том числе выбор и привлечение сторонних организаций для таких работ (при необходимости). О всех работах ФСБ России уведомляет оператора связи согласно установленным процедурам.

Эксплуатация средств ППКА осуществляется ФСБ России, а оператор связи обеспечивает непрерывность функционирования в круглосуточном режиме и сохранность средств ППКА. Техническое обслуживание установленных средств поиска атак также проводится ответственными лицами ФСБ России или организацией, которая была привлечена к работам.

Классификатор программ для электронных вычислительных машин и баз данных

Минкомсвязью России 22 июня 2020 г. был опубликован проект приказа "Об утверждении классификатора программ для электронных вычислительных машин и баз данных"8.

Этот проект приказа должен заменить предыдущий классификатор программ для электронных вычислительных машин и баз данных, утвержденный еще в 2015 г. По проекту приказа Минкомсвязи к средствам обеспечения информационной безопасности будут относиться следующие классы средств:

  • средства защиты от несанкционированного доступа;
  • системы управления событиями информационной безопасности;
  • межсетевые экраны;
  • средства фильтрации негативного контента;
  • системы защиты сервисов онлайн-платежей и дистанционного банковского обслуживания;
  • средства антивирусной защиты;
  • средства выявления целевых атак;
  • средства гарантированного уничтожения данных;
  • системы предотвращения утечек информации;
  • средства криптографической защиты информации и электронной подписи;
  • системы управления доступом к информационным ресурсам;
  • системы резервного копирования.

Управление рисками в кредитных организациях

Банк России опубликовал положение от 08.04.2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"9 (далее – положение № 716-П).

Положение № 716-П устанавливает требования к системе управления операционным риском в кредитной организации и банковской группе. К операционным рискам в том числе относятся:

  1. Риск информационной безопасности – это риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения ИБ, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности кредитной организации.
  2. Риск информационных систем – это риск отказов и/или нарушения функционирования применяемых кредитной организацией информационных систем и/или несоответствия их функциональных возможностей и характеристик потребностям кредитной организации.

При этом к рискам ИБ относятся:

  1. Киберриск – это риск преднамеренных действий со стороны работников кредитной организации и/или третьих лиц с использованием программных и/или программно-аппаратных средств, направленных на объекты информационной инфраструктуры кредитной организации (головной кредитной организации банковской группы) в целях нарушения и/или прекращения их функционирования, создания угрозы безопасности информации, подготавливаемой, обрабатываемой и хранимой такими объектами, а также в целях несанкционированного присвоения, хищения, изменения, удаления данных и иной информации (структуры данных, параметров и характеристик систем, программного кода) и нарушения режима доступа.
  2. Другие виды риска ИБ, связанные с обработкой (хранением, уничтожением) информации без использования объектов информационной инфраструктуры.

Положение № 716-П вступает в силу с 1 октября 2020 г., а систему управления операционным риском необходимо привести в соответствие с его требованиями в срок до 1 января 2022 г. В случае если система управления операционным риском будет приведена в соответствие ранее 1 января 2022 г., кредитные организации вправе проинформировать об этом Банк России в целях организации Банком России оценки соответствия системы управления операционным риском требованиям положения № 716-П. 


1 https://cbr.ru/StaticHtml/File/59420/20200514_in_014_56-88.pdf  
2 http://publication.pravo.gov.ru/Document/View/0001202005130016  
3 https://regulation.gov.ru/projects#npa=102172  
4 https://regulation.gov.ru/projects#npa=102447  
5 https://regulation.gov.ru/projects#npa=102094  
6 http://publication.pravo.gov.ru/Document/View/0001202006250021  
7 http://publication.pravo.gov.ru/Document/View/0001201905310017  
8 https://regulation.gov.ru/projects#npa=103165  
9 http://www.cbr.ru/Queries/UniDbQuery/File/90134/1063  

Темы:Право и нормативыЖурнал "Информационная безопасность" №3, 2020

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных
    Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
    На каких основаниях операторы ПДн привлекаются к ответственности и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?
  • Закон об ИТ-аутсорсинге: как он отразится на ИБ?
    Максим Захаров, управляющий партнер юридической фирмы Bishenov&Partners
    Участники финансового рынка все чаще прибегают к аутсорсингу ИТ-услуг – почему произошел этот переход и к чему он приведет?
  • Обзор изменений в законодательстве. Ноябрь-декабрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Порядок перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ, ужесточение административной и уголовной ответственности в области обработки ПДн и другие важные изменения
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП
  • Обзор изменений в законодательстве в мае и июне 2023 года
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в трансграничную передачу ПДн, в положение о ФСТЭК, ограничения на мессенджеры, методические рекомендации к процессу управления уязвимостями и др.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать