Обзор изменений законодательства в сентябре и октябре 2020 года

Сентябрь-2020

В сентябре 2020 г. произошло несколько значимых событий: ФСТЭК России инициировала изменения по приведению в соответствие реестровой модели оказываемых ей государственных услуг по лицензированию; Минцифры России (в прошлом – Минкомсвязь России) разработало проект федерального закона, предлагающего изменения в законодательстве о персональных данных; в области обеспечения безопасности значимых объектов критической информационной инфраструктуры выпущены изменения в приказ ФСТЭК России от 25 декабря 2017 г. N 239 и новый приказ о порядке согласования подключения значимых объектов к сетям связи общего пользования.

Автор: Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности

Лицензирование видов деятельности по защите информации

ФСТЭК России 9 сентября 2020 г. опубликовала проект постановления Правительства РФ "О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации (СЗКИ)", утвержденный постановлением Правительства РФ от 3 марта 2012 г. No 171¹ (далее – Проект).

Разработка этого Проекта обусловлена вступлением в силу с 1 января 2021 г. изменений, вводимых Федеральным законом от 27 декабря 2019 г. No 478-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части внедрения реестровой модели предоставления государственных услуг по лицензированию отдельных видов деятельности" (далее – закон No 478-ФЗ). Проект направлен на приведение Положения о лицензировании деятельности по разработке и производству СЗКИ в соответствие с внедренной законом No 478-ФЗ реестровой моделью предоставления государственных услуг по лицензированию отдельных видов деятельности.

Кроме того, Проектом исключаются из Положения о лицензировании деятельности по разработке и производству СЗКИ ссылки на утратившие силу пункты Федерального закона "О лицензировании отдельных видов деятельности" от 04.05.2011 г. No 99-ФЗ.

10 сентября 2020 г. был опубликован аналогичный проект постановления Правительства РФ "О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации"², утвержденный постановлением Правительства РФ от 3 февраля 2012 г. No 79. Предлагаемые этим проектом изменения также направлены на приведение деятельности по лицензированию в соответствие с новой реестровой моделью предоставления государственных услуг. Реестровая модель подразумевает переход от предоставления результата госуслуги в виде бумажного документа к записи в электронном реестре.

Следствием указанных инициатив стали проекты изменений в административные регламенты по предоставлению государственной услуги ФСТЭК России в связи с вводом реестровой модели, а именно:

* проект приказа ФСТЭК России "О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. No 134"³;
* проект приказа ФСТЭК России "О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. No 133"⁴.

Персональные данные

9 сентября 2020 г. Минцифры России опубликовало проект федерального закона "О внесении изменений в Федеральный закон "О персональных данных" в части установления основ правового регулирования обязательных требований"⁵ (далее – Проект ФЗ).

Проект ФЗ определяет конкретный перечень областей регулирования, связанных с обработкой персональных данных (ПДн), требования которых определяются как обязательные, а именно:

соблюдение принципов обработки ПДн;
установление правовых оснований обработки ПДн;
поручение оператором обработки ПДн другому лицу;
согласие субъекта ПДн на обработку его ПДн;
обработка специальных категорий ПДн;
обработка биометрических ПДн;
трансграничная передача ПДн;
обработка ПДн в государственных или муниципальных информационных системах ПДн;
предоставление субъекту ПДн информации, касающейся обработки его ПДн;
обработка ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации (в части установления правовых оснований для осуществления такой обработки и ее прекращения);
защита прав субъектов ПДн при принятии решений на основании исключительно автоматизированной обработки их ПДн;
действия оператора при сборе ПДн;
обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом "О персональных данных" от 27.07.2006 г. No 152-ФЗ;
действия оператора при обращении к нему субъекта ПДн либо при получении запроса субъекта ПДн или его представителя;
устранение нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн;
уведомление уполномоченного органа по защите прав субъектов ПДн о намерении осуществлять обработку ПДн;
порядок и условия назначения лица, ответственного за организацию обработки ПДн в организации;
полномочия лица, ответственного за организацию обработки ПДн в организации;
хранение и уничтожение ПДн;
обработка ПДн, осуществляемая без использования средств автоматизации;
обеспечение безопасности ПДн при их обработке;
обезличивание ПДн.

Следует отметить, что была получена отрицательная оценка регулирующего воздействия Проекта ФЗ. В частности, отмечается, что используемые разработчиком в Проекте ФЗ формулировки не позволяют систематизировать обязательные нормы в полной мере, поскольку перечень групп обязательных требований не является закрытым. Кроме того, отмечается, что систематизация обязательных требований должна иметь четкую структуру и определять все конкретные требования, которые будут полноценно раскрыты в подзаконных актах.

Обеспечение безопасности значимых объектов КИИ

14 сентября 2020 г. официально опубликован приказ ФСТЭК России от 20.02.2020 No 35 "О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. No 239"⁶ (далее – приказ No 35).

Приказ No 35 был подписан ФСТЭК России еще 20 февраля 2020 г., но регистрацию в Минюсте России прошел только в сентябре. В целом основные изменения, вводимые приказом No 35, были представлены еще в проекте приказа ФСТЭК России, который рассматривался в обзоре изменений законодательства за февраль⁷.

Из новых положений в области защиты значимых объектов критической информационной инфраструктуры (КИИ), вводимых приказом No35 и вступивших в силу с 25 сентября 2020 г., можно выделить следующие:

Модернизацией теперь официально считается изменение архитектуры значимого объекта КИИ, в том числе подсистемы его безопасности, в соответствии с отдельным техническим заданием (ТЗ) на модернизацию значимого объекта КИИ и/или ТЗ (частным ТЗ) на модернизацию подсистемы безопасности значимого объекта.
Оценка выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в том числе средствам защиты информации (СрЗИ), должна включаться в программы и методики предварительных испытаний.
Удаленный доступ к программным и программно-аппаратным средствам, в том числе СрЗИ, для обновления или управления можно предоставлять не только работникам субъекта КИИ, как это было раньше, но также работниками его дочерних и зависимых обществ. При этом сделано послабление и для предоставления удаленного доступа другим лицам, кроме вышеупомянутых, однако только при условии наличия компенсирующих мер по защите, установленных приказом No 35.
Теперь на территории РФ должны размещаться не только технические средства, осуществляющие хранение и обработку информации, значимых объектов КИИ первой категории, но и технические средства объектов КИИ второй категории значимости.

С 1 января 2023 г. вступят в силу требования приказа No 35 к оценке соответствия СрЗИ в форме приемки или испытаний, а также к прикладному программному обеспечению (ПО) значимых объектов КИИ. Не встроенные в общесистемное и прикладное ПО СрЗИ, оценка соответствия которых проводится в форме испытаний или приемки, дополнительно должны будут соответствовать шестому или более высокому уровню доверия.

Таким образом, в действующей редакции приказа ФСТЭК России No 239 оценку соответствия СрЗИ необходимо проводить только по тем требованиям к функциям безопасности, которые были установлены в ТЗ на создание значимого объекта КИИ и/или ТЗ (частное ТЗ) на создание подсистемы безопасности значимого объекта КИИ. Для СрЗИ, планируемых к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимых объектов КИИ, после 1 января 2023 г., кроме описанной выше оценки соответствия, необходимо будет проводить оценку соответствия по шестому или более высокому уровню доверия.

Прикладное ПО значимых объектов КИИ с января 2023 г. должно будет соответствовать требованиям:

по безопасной разработке ПО;
к испытаниям по выявлению уязвимостей в ПО;
к поддержке безопасности ПО.

Подключение значимых объектов КИИ к сетям связи общего пользования

Следом, 15 сентября 2020 г., был официально опубликован приказ ФСТЭК России от 28.05.2020 г. No 75 "Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования"⁸ (далее – Порядок).

Порядок вступил в силу 26 сентября 2020 г. и устанавливает процедуру согласования со ФСТЭК России подключения значимых объектов КИИ к сети связи общего пользования. При этом, если значимый объект КИИ с подключением к сети связи общего пользования уже был внесен в реестр значимых объектов КИИ с соответствующей информацией до 26 сентября 2020 г., согласование со ФСТЭК России не нужно.

Для согласования необходимо будет также предоставить во ФСТЭК России:

копии моделей угроз безопасности информации значимого объекта КИИ;
копии протоколов испытаний, содержащих результаты оценки соответствия СрЗИ (для СрЗИ, прошедших оценку соответствия в форме испытаний, приемки);
схему организации связи (в случае предоставления оператором связи субъекту КИИ цифровых каналов связи).

Октябрь-2020

В октябре 2020 г. были внесены изменения в требования к порядку реализации мероприятий на этапах жизненного цикла государственных информационных систем, а ФСТЭК России сообщила об изменениях в требованиях к уровням доверия для сертификации средств защиты информации. До конца ноября можно принять участие в общественном обсуждении нормативных актов, которые опубликовало Минцифры России, их содержание касается импортозамещения для объектов критической информационной инфраструктуры. В этом обзоре рассмотрим нормотворческую деятельность Банка России в области защиты информации.

Государственные информационные системы

14 октября 2020 г. официально опубликовано и вступило в силу постановление Правительства Российской Федерации от 10.10.2020 г. No 1650 "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации"⁹ (далее – ПП No 1650). ПП No 1650 вносит изменения в постановление Правительства РФ от 06.07.2015 г. No 676, в котором установлены требования к порядку реализации мероприятий на этапах жизненного цикла государственных информационных систем (ГИС), осуществляемых федеральными органами исполнительной власти и органами исполнительной власти субъектов РФ.

ПП No 1650 вводит следующие основные изменения:

Введен этап концептуального архитектурного проектирования ГИС, предусматривающий разработку концепции, включающей в себя технико-экономическое обоснование реализации ГИС. В соответствии с концепцией должно разрабатываться техническое задание (ТЗ) на ГИС.
В случае если в соответствии с технико-экономическим обоснованием объем требуемого федеральным органом исполнительной власти финансирования на реализацию мероприятий для создания ГИС составляет более 100 млн руб., то ТЗ на ГИС необходимо согласовать с Минцифры России.
Сроки согласования моделей угроз безопасности информации и ТЗ на ГИС со ФСТЭК России, а также ТЗ на ГИС с Минцифры России (в случае необходимости) теперь не могут превышать 10 рабочих дней.
Установлены условия запрета ввода ГИС в эксплуатацию без надлежащего оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.

Новые требования к уровням доверия

Информационным сообщением от 15 октября 2020 г. No 240/24/4268¹⁰ ФСТЭК России уведомляет об утверждении новой редакции Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее – Требования к уровням доверия).

С 1 января 2021 г. признается утратившей силу предыдущая версия Требований к уровням доверия, установленных приказом ФСТЭК России от 30.07.2018 г. No 131. Новая версия Требований к уровням доверия утверждена приказом ФСТЭК России от 02.06.2020 г. No 76 и вступает в силу с 1 января 2021 г., за исключением некоторых положений, вступающих в силу с 1 января 2022 г., 2024 г. и 2028 г. соответственно.

Приказ ФСТЭК России от 02.06.2020 г. No 76, как и предыдущая версия Требований к уровням доверия, носит ограничительную пометку "ДСП". Отмечается, что Требования к уровням доверия предназначены для организаций, осуществляющих работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации. Однако применение Требований к уровням доверия с 1 января 2023 г. является обязательным в том числе при проведении работ по оценке соответствия в форме испытаний или приемки для средств защиты информации (СрЗИ) значимых объектов критической информационной инфраструктуры (КИИ).

Изготовителям средств, сертифицированных по схеме сертификации для серийного производства, необходимо привести средства в соответствие Требованиям к уровням доверия в сроки, установленные приказом ФСТЭК России от 02.06.2020 г. No 76, и проинформировать об этом ФСТЭК России для переоформления сертификатов соответствия.

Новая версия Требований к уровням доверия также вводит обязательность соответствия уровням контроля, соответствующим уровням доверия, которые определяют процессы исследования по выявлению уязвимостей и недекларированных возможностей.

Стандарты управления доступом

13 октября ФСТЭК России опубликовала окончательные редакции проектов национальных стандартов ГОСТ Р, разрабатываемых в соответствии с Программой разработки национальных стандартов на 2019 и 2020 гг. в рамках работы технического комитета по стандартизации "Защита информации" (ТК 362):

Защита информации. Формальная модель управления доступом. Часть 1. Общие положения¹¹.
Защита информации. Формальная модель управления доступом. Часть 2. Рекомендации по верификации формальной модели управления доступом¹².

Стандарты предназначены для разработчиков СрЗИ, реализующих политики управления доступом, а также для органов по сертификации и испытательных лабораторий при проведении сертификации СрЗИ, реализующих политики управления доступом. Стандарты представляют собой рекомендации по верификации с применением инструментальных средств формальных моделей управления доступом, на основе которых разрабатываются СрЗИ, реализующие политики управления доступом (дискреционная, ролевая, мандатная или другие виды политик управления доступом).

Импортозамещение в критической информационной инфраструктуре

Минцифры России 29 октября 2020 г. представило к публичным обсуждениям проект указа Президента Российской Федерации "О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры" (далее – проект указа) . Предыдущая версия проекта указа размещалась для общественного обсуждения в мае 2020 г¹⁴., текущая версия проекта указа представлена для публичного обсуждения до 26 ноября 2020 г.

Проектом указа предусматривается наделение Правительства РФ полномочиями по утверждению требований к программному обеспечению и оборудованию, используемому на объектах КИИ, и порядка перехода на преимущественное использование российского ПО и оборудования. Под преимущественным использованием понимается приоритетное использование российского ПО и/или оборудования при наличии соответствующих российских аналогов. При этом, как ни странно, по проекту указа такие требования Правительство РФ должно было утвердить до 1 сентября 2020 г.

По проекту указа субъекты КИИ должны будут до 1 января 2024 г. осуществить переход на преимущественное использование российского ПО и до 1 января 2025 г. осуществить переход на преимущественное использование российского оборудования.

К проекту указа прилагается проект постановления Правительства РФ, согласно которому надзорным органом по контролю использования субъектами КИИ российского ПО будет Минцифры России, а по использованию российского оборудования – Минпромторг России.

При этом при использовании и/или планировании использования иностранного ПО и/или оборудования на объектах КИИ субъект КИИ должен будет направить на согласование перечень такого ПО и/или оборудования в соответствующий надзорный орган: если это ПО – в Минцифры России, если это оборудование – в Минпромторг России. Рассмотрение перечней ПО и /или оборудования должно будет осуществляться совместно Минцифры России, Минпромторгом России, ФСБ России и ФСТЭК России в течение 30 рабочих дней с момента поступления в уполномоченный орган перечней.

В конечном итоге, с учетом сроков перехода на преимущественное использование российского ПО и оборудования, установленных проектами, субъекту КИИ необходимо будет до 1 июля 2021 г. подготовить и утвердить план перехода на преимущественное использование российского ПО и/или оборудования. Копию плана в течение 30 рабочих дней с момента его утверждения необходимо направить в Минцифры России и Минпромторг России.

Обеспечение безопасности операторами финансовых платформ

6 октября 2020 г. Банк России опубликовал проект указания "О ведении Банком России реестра операторов финансовых платформ, о требованиях к юридическому лицу, намеревающемуся получить статус оператора финансовой платформы, по защите информации и о требованиях к порядку регистрации Банком России изменений в правила финансовых платформ" (далее – проект указания Банка России)¹⁵.

Проект указания Банка России в том числе устанавливает требования по защите информации к юридическому лицу, намеревающемуся получить статус оператора финансовой платформы, а также требования к документам по защите информации, подтверждающим их выполнение таким юридическим лицом. Оператор финансовой платформы должен предоставить регламентированные проектом указания Банка России сведения, подтверждающие выполнение соискателем требований по защите информации.

Заполнение сведений осуществляется по результатам проведения оценки соответствия по следующим направлениям:

оценка выполнения требований к технологическим мерам защиты информации (направление "Технологические меры");
оценка выполнения требований к безопасности прикладного ПО автоматизированных систем и приложений (направление "Безопасность ПО");
оценка выполнения требований к обеспечению защиты информации информационной инфраструктуры (направление "Безопасность информационной инфраструктуры").

При этом заполнение сведений об оценке выполнения требований по направлению "безопасность информационной инфраструктуры" по проекту указания Банка России должно осуществляться в соответствии с требованиями к методике оценки соответствия защиты информации, установленными разделом 7 ГОСТ Р 57580.2–2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" (далее – ГОСТ Р 57580.2–2018). В рамках направления "Безопасность информационной инфраструктуры" проводится оценка применения организационных и технических мер процессов системы защиты информации, указанных в ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (далее – ГОСТ Р 57580.1– 2017).

По проекту указания Банка России оценка соответствия по направлению "Безопасность информационной инфраструктуры" должна осуществляться с привлечением сторонних организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации.

Новое положение Банка России

Банком России 2 октября 2020 г. официально опубликовано положение Банка России от 4 июня 2020 г. No 719 "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"¹⁶ (далее – 719-П).

719-П вступает в силу с 1 января 2022 г., за исключением положений, для которых установлены иные сроки вступления их в силу (1 января 2024 г. и 1 января 2031 г.). Со дня вступления в силу 719-П признается утратившим силу положение Банка России от 9 июня 2012 г. No 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее – 382-П).

Согласно 719-П требования по обеспечению защиты информации при переводе денежных средств будут распространяться не только на операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов платежных систем, но и на операторов услуг информационного обмена и поставщиков платежных приложений.

Из основных отличий 719-П от "старого" 382-П можно выделить следующие:

обязательная реализация уровней защиты информации для объектов информационной инфраструктуры, определенных ГОСТ Р 57580.1–2017;
необходимость проведения сторонней организацией-лицензиатом оценки соответствия уровням защиты информации в соответствии с ГОСТ Р 57580.2–2018; l обязанность операторов по переводу денежных средств выполнять требования положения Банка России от 17 апреля 2019 г. No 683-П;
для прикладного ПО автоматизированных систем и приложений, с учетом особенностей, проведение оценки соответствия по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4, в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3–2013, либо сертификация в системе сертификации ФСТЭК России. При этом стоит отметить, что 719-П ссылается на требования к уровням доверия, установленные приказом ФСТЭК России от 30.07.2018 г. No 131, который будет отменен в январе 2021 г.;
установлены требования к банковским платежных агентам и субагентам.