Предновогодние изменения в законодательстве

Ноябрь-2020

В обзоре за ноябрь 2020 г. рассмотрим нормотворческую деятельность в области обеспечения безопасности критической информационной инфраструктуры, государственных информационных систем, персональных данных и финансового сектора.

Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности

КоАП и КИИ

В ноябре 2020 г. в Государственную Думу внесен законопроект "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации"¹.

Процесс введения административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры (КИИ) начался еще в апреле 2019 г.² Составы административных правонарушений в части обеспечения безопасности КИИ также были включены и в общий проект нового КоАП РФ в мае 2020 г.³

Законопроект, внесенный в Государственную Думу, будет рассмотрен в первом чтении в январе 2021 г. При этом законопроектом предлагается наделить полномочиями по рассмотрению дел об административных правонарушениях ФСТЭК России и ФСБ России. Перечень предлагаемых к внесению в КоАП статей за нарушение обеспечения безопасности КИИ представлен в таблице.

Выписка из требований к уровням доверия

ФСТЭК России информирует⁴ о размещении выписки из Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 2 июня 2020 г. No 76, для 6, 5 и 4 уровней доверия⁵ (далее – Требования к уровням доверия).

Напомним, что в октябре ФСТЭК России сообщила об утверждении новой редакции Требований к уровням доверия. С 1 января 2021 г. признается утратившей силу предыдущая версия Требований к уровням доверия, установленных приказом ФСТЭК России от 30.07.2018 г. No 131. Новая версия Требований к уровням доверия утверждена приказом ФСТЭК России от 02.06.2020 г. No 76 и вступает в силу с 1 января 2021 г., за исключением некоторых положений, вступающих в силу с 1 января 2022 г., 2024 г. и 2028 г.

СКЗИ в ГИС

23 ноября 2020 г. ФСБ России опубликовала для общественного обсуждения проект приказа "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации" ⁶.

Проект приказа предлагает регламентировать требования к обеспечению защиты информации, не содержащей сведения, составляющие государственную тайну (далее – информация), при ее обработке в государственных информационных системах (ГИС) с использованием средств криптографической защиты информации (СКЗИ). Проект приказа в целом использует уже привычные в нормативном поле требования по использованию СКЗИ, установленные как положением ПКЗ–2005, приказом ФАПСИ от 13.06.2001 г. No 152, так и приказом ФСБ России от 10.07.2014 г. No 378.

По проекту приказа информация, содержащаяся в ГИС, подлежит защите с использованием СКЗИ в случаях:

• когда законодательными и иными нормативными правовыми актами Российской Федерации предусмотрена обязанность по защите информации, содержащейся в ГИС, с использованием СКЗИ;
• когда в ГИС осуществляется передача информации по каналам связи, проходящим за границей контролируемой зоны;
• когда в ГИС осуществляется хранение данных на носителях информации, несанкционированный доступ к которым со стороны третьих лиц не может быть исключен с помощью некриптографических методов и способов.

Необходимость использования СКЗИ подлежит обоснованию в модели угроз безопасности информации и техническом задании на создание ГИС. При этом указанные документы, по проекту приказа, будет необходимо согласовать с ФСБ России и использовать можно только СКЗИ, сертифицированные ФСБ России.

Определение класса СКЗИ для использования в ГИС, по проекту приказа, должно быть сделано на основании уровня значимости информации, обрабатываемой в ГИС, и масштаба ГИС (см. табл).

Общедоступные персональные данные

В ноябре 2020 г. в Государственную Думу внесен законопроект "О внесении изменений в Федеральный закон "О персональных данных" в части установления особенностей обработки общедоступных персональных данных"⁷ (далее – законопроект).

Законопроектом предлагается полностью переписать ст. 8 Федерального закона от 27.07.2006 г. No 152-ФЗ "О персональных данных" (далее – ФЗ-152), заменив ее положениями об особенностях обработки общедоступных персональных данных (ПДн).

Основные изменения, описанные законопроектом:

1. Введение отдельной формы согласия субъекта ПДн на обработку общедоступных ПДн. При этом в законопроекте определены требования к содержанию такого согласия, но не определена форма предоставления согласия.
2. Оператор обязан предоставить возможность субъекту ПДн указать, какие категории своих ПДн он делает общедоступными. Если по каким-то причинам в согласии субъектом однозначно не указано, какие из категорий персональных данных он делает общедоступными, то оператор вправе обрабатывать такие ПДн как "иные", то есть без предоставления к ним доступа неограниченному кругу лиц.
3. В качестве одного из вариантов предоставления согласия на обработку общедоступных ПДн предполагается использование информационной системы Роскомнадзора. Пояснений, какая информационная система имеется в виду, в законопроекте не приводится. Скорее всего, следует ожидать создания указанной системы в будущем.
4. Не допускается получение оператором согласия на обработку общедоступных персональных данных по умолчанию или бездействию субъекта персональных данных.
5. Обработка неограниченным кругом лиц общедоступных ПДн субъекта ПДн, ранее представленных оператору, может осуществляться без согласия субъекта ПДн при условии, что из ранее предоставленного оператору согласия однозначно следует, что ПДн сделаны общедоступными субъектом ПДн и в указанном согласии не установлены условия обработки и запреты на обработку общедоступных ПДн. Оператор обязан опубликовать информацию об условиях обработки и о наличии запретов на обработку неограниченным кругом лиц ПДн, сделанных субъектом ПДн общедоступными.

Проект замены положения Банка России No 684-П

В ноябре 2020 г. Банк России представил проект положения "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее – проект положения)⁸.

Проект положения направлен на замену действующего сейчас положения Банка России от 17.04.2019 г. No 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее – 684-П). Основными отличиями проекта положения от действующего 684-П являются:

1. Расширение перечня некредитных финансовых организаций, попадающих под сферу действия положения. Добавились: операторы инвестиционных платформ; операторы финансовых платформ; операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов; операторы обмена цифровых активов.
2. Уточнены показатели отнесения некредитных финансовых организаций к организациям, которые обязаны реализовать усиленный и стандартный уровни защиты информации.
3. Добавлены некредитные финансовые организации, которым необходимо реализовывать минимальный уровень защиты информации.
4. Скорректировано требование по сертификации прикладного программного обеспечения на наличие уязвимостей/недекларированных возможностей или проведению анализа уязвимостей по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4. Теперь сертификацию необходимо будет проводить на соответствие Требованиям к уровням доверия либо проводить полную оценку соответствия по требованиям к ОУД не ниже, чем ОУД 4.
5. Уточнены нормативные акты, соответствие которым необходимо в случае применения некредитной финансовой организацией ЕБС (единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн гражданина РФ) и ЕСИА (Единой системы идентификации и аутентификации).

При этом, как отмечается экспертным сообществом⁹, формулировки проекта положения имеют неоднозначную трактовку. Так, первый абзац п. 1.9 положения предусматривает возможность выбора между сертификацией в системе сертификации ФСТЭК России и оценкой соответствия по ОУД. В дальнейшем же абзацы пятый и шестой п. 1.9 устанавливают обязанность проведения только сертификации.

Декабрь-2020

В декабрьском обзоре изменений законодательства рассмотрим изменения в процедуре лицензирования отдельных видов деятельности, проект приказа ФСТЭК России о порядке организации и проведении работ по аттестации, внесение изменений в 152-ФЗ и некоторые другие важные изменения.

Ксения Кузнецова, помощник аналитика Аналитического центра УЦСБ

Изменение процедуры лицензирования

С 1 января 2021 г. вступят в силу приказ ФСТЭК России от 02.12.2020 г. No 141 "О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 No 133"10 (далее – приказ No 141) и приказ ФСТЭК России от 02.12.2020 г. No 142 "О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 No 134"¹¹ (далее – приказ No 142).

Приказ No 141 и приказ No 142 вносят изменения в процедуру лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации и по технической защите конфиденциальной информации, соответственно.

Основные изменения коснулись форм заявления о предоставлении, переоформлении и прекращении действия лицензии на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации (по технической защите конфиденциальной информации) юридическому лицу и индивидуальному предпринимателю. Изменились и формы заявлений о предоставлении сведений о лицензии и об исправлении опечаток и ошибок.

Определен новый порядок информирования заявителя: уведомление о предоставлении, переоформлении или прекращении действия лицензии подписывается начальником управления ФСТЭК России, регистрируется и отправляется заявителю в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, либо на бумажном носителе заказным почтовым отправлением с уведомлением о вручении. Одновременно с уведомлением заявителю могут направить выписку из реестра лицензий.

Изменения отменили предоставление дубликата или копии лицензии.

Аттестация объектов информатизации

23 декабря 2020 г. ФСТЭК России представила проект приказа "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям по защите информации, не составляющей государственную тайну"¹² (далее – проект приказа), который должен вступить в силу 1 июня 2021 г.

Проект приказа содержит порядок определения состава и содержания работ по аттестации объектов информатизации (далее – ОИ) на соответствие требованиям по защите информации ограниченного доступа, не составляющей государственную тайну, а также требования к форме и содержанию разрабатываемых при проведении таких работ документов.

Проект приказа распространяется на следующие ОИ: государственные и муниципальные информационные системы, информационные системы управления производством, используемые организациями оборонно-промышленного комплекса, защищаемые помещения (далее – ЗП), а также значимые объекты критической информационной инфраструктуры и автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, для которых при их создании установлены требования к оценке соответствия требованиям по защите информации в форме аттестации.

Наряду с аттестацией ОИ в проекте приказа описывается процедура аттестации распределенных ИС/АС, имеющих клиент-серверную архитектуру.

В проекте приказа представлен перечень документов, необходимых для проведения работ по аттестации, а также приведены формы технического паспорта для ИС/АС и ЗП, форма акта классификации ИС/АС, форма аттестата соответствия требованиям по защите информации.

Проект приказа предусматривает выдачу аттестата соответствия на весь срок эксплуатации ОИ, если иное не установлено требованиями по защите информации, на соответствие которым проводилась аттестация ОИ. Действие аттестата соответствия может быть прекращено по обращению владельца ОИ, а в случае выявления нарушений по защите информации на ОИ предусмотрена новая процедура в отношении аттестатов соответствия – приостановление их действия. При прекращении или приостановлении действия аттестата соответствия владелец ОИ обязан прекратить его эксплуатацию. Напомним, что на настоящий момент для всех ОИ, за исключением ГИС/МИС, аттестаты соответствия действительны в течение трех лет (максимальный срок).

В соответствии с новым порядком орган по аттестации в течение пяти рабочих дней со дня подписания аттестата соответствия должен направить в электронном виде копии аттестационных документов во ФСТЭК России (территориальный орган).

Проектом приказа предусмотрены случаи несогласия владельца ОИ с выявленными несоответствиями системы защиты информации ОИ при проведении аттестационных испытаний органом по аттестации. В описанном случае владелец ОИ направляет письменное обращение во ФСТЭК России, по результатам которого ФСТЭК России может провести контрольные испытания на объекте ОИ.

Данный проект приказа не ссылается на ГОСТ РО 0043-003 и ГОСТ РО 0043004, но прослеживается схожий подход к проведению аттестационных испытаний.

Изменения в 152-ФЗ "О персональных данных"

В декабре 2020 г. в Государственную Думу внесен законопроект "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности"¹³ (далее – законопроект).

Законопроект дополняет меры по обеспечению безопасности персональных данных, установленных Федеральным законом от 27.07.2006 г. No 152-ФЗ "О персональных данных", и включает в них меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

ГОСТ Р ИСО/МЭК 19086-4–2020

В декабре был опубликован ГОСТ Р ИСО/МЭК 19086-4–2020 "Информационные технологии. Облачные вычисления. Структура соглашения об уровне обслуживания (SLA). Часть 4. Компоненты информационной безопасности и защиты персональных данных"¹⁴ (далее – стандарт), который вступит в силу 1 июня 2021 г.

Стандарт идентичен международному стандарту ISO/IEC 19086-4:2019 "Cloud computing – Service level agreement (SLA) framework – Part 4: Components of security and of protection of PII" и описывает компоненты обеспечения информационной безопасности и защиты персональных данных, а также целевые параметры уровня и качества обслуживания в соглашениях об уровне обслуживания облачных служб (облачное SLA), включая соответствующие требования и рекомендации.

Стандарт предназначен для использования как поставщиками, так и потребителями облачных служб.

Перечень угроз безопасности, рассматриваемых аккредитованным удостоверяющим центром

С 1 января 2021 г. вступит в силу приказ Минцифры России от 26.11.2020 г. No 624 "Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя – физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре"¹⁵ (далее – приказ No 624).

Приказ No 624 вводит перечень актуальных угроз безопасности при идентификации заявителя в аккредитованном удостоверяющем центре; выдаче квалифицированного сертификата без личного присутствия заявителя; хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре.

Требования к поручению владельца квалифицированного сертификата

С 1 января 2021 г. вступит в силу приказ Минцифры России от 30.11.2020 г. No 643 "Об утверждении требований к форме указанного в пункте 1 части 2.2 статьи 15 Федерального закона от 6 апреля 2011 года No 63-ФЗ"¹⁶ "Об электронной подписи" поручения владельца квалифицированного сертификата, порядку передачи поручения владельца квалифицированного сертификата аккредитованному удостоверяющему центру, а также к правилам хранения указанного поручения" (далее – приказ No 643)¹⁷.

Приказ No 643 определяет требования к поручению владельца квалифицированного сертификата, а именно: требования к форме поручения, порядку передачи поручения аккредитованному удостоверяющему центру и правилам хранения поручения.

Требования по защите информации, размещаемой в интеллектуальной системе учета

Вспомним постановление Правительства Российской Федерации от 19.06.2020 г. No 890 "О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)" (далее – приказ No 890)¹⁸, которое содержит в себе требования по защите информации, размещенной в интеллектуальной системе учета:

1. Принять организационные и технические меры, предусмотренные Федеральным законом от 27.07.2006 г. No 149 "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27.07.2006 г. No 152¹⁹ "О персональных данных" и Федеральным законом от 26.07.2017 г. No 187 "О безопасности критической информационной инфраструктуры Российской Федерации"²⁰.
2. На основании модели угроз безопасности информации определить потребность в применении средств криптографической защиты.
3. Обеспечить идентификацию и аутентификацию по логину и паролю в каждом из компонентов и элементов интеллектуальной системы учета.
4. Принять меры по предотвращению неправомерного доступа к информации, ее уничтожения, модификации, блокирования, копирования, предоставления и распространения, а также иных неправомерных действий.
5. Не допустить воздействия на технические и программные средства обработки информации, в результате которого может быть нарушено и (или) прекращено функционирование интеллектуальной системы учета.
6. Обеспечить резервирование информации и (или) технических средств обработки информации, каналов связи.
7. Обеспечить контроль доступа пользователей к данным и операциям.
8. Обеспечить своевременное обнаружение фактов несанкционированного доступа.
9. Применяемые средства защиты должны обеспечивать совместимость компонентов интеллектуальной системы учета, а также совместимость с интеллектуальными системами учета пользователей интеллектуальной системы учета при передаче информации.
10. Используемые программные, программно-технические средства, применяемые для защиты компонентов интеллектуальной системы учета, должны пройти оценку соответствия требованиям по безопасности информации в соответствии с законодательством Российской Федерации.
11. Протоколы обмена информацией в рамках функционирования интеллектуальной системы учета должны обеспечивать выполнение требований по защите информации, предусмотренных приказом No 890.

На основании определений терминов из Федерального закона от 27.12.2018 г. No 522 и постановления Правительства Российской Федерации от 04.05.2012 г. No 442²¹ можно сделать вывод, что интеллектуальная система учета электроэнергии – это комплекс, состоящий из приборов учета, устройств удаленной передачи данных с таких приборов учета и устройств сбора таких данных (сервер или компьютер). Иными словами, это автоматизированная система коммерческого учета электроэнергии (АСКУЭ)/автоматизированная информационно-измерительная система коммерческого учета электроэнергии (АИИСКУЭ). Следовательно, описанные выше требования должны быть реализованы на АСКУЭ/АИИСКУЭ.

1. https://sozd.duma.gov.ru/bill/1048574-7 
2. https://187.ussc.ru/news/detail/obzor-izmeneniy-zakonodatelstva-kii-za-aprel-2019/ 
3. См. Заведенская А.А. Помимо штрафов и уголовной ответственности в КИИ приходит импортозамещение, а к средствам ГосСОПКА предъявлены новые требования // Information Security/ Информационная безопасность. 2020. No 3. С. 12–15.
4. https://fstec.ru/127-lenta-novostej/2127-informatsionnoe-soobshchenie-31 
5. https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/2126-vypiska-iz-trebovanij-po-bezopasnosti-informatsii-utverzhdennykh-prikazom-fstek-rossii-ot-2-iyunya-2020-g-n-76
6. https://regulation.gov.ru/projects#npa=110754 
7. https://sozd.duma.gov.ru/bill/1057337-7 
8. https://regulation.gov.ru/projects#npa=110533 
9. https://naufor.ru/tree.asp?n=20706 
10. http://publication.pravo.gov.ru/Document/View/0001202012230064 
11. http://publication.pravo.gov.ru/Document/View/0001202012230069 
12. https://regulation.gov.ru/projects#npa=111958 
13. https://sozd.duma.gov.ru/bill/1070431-7 
14. http://protect.gost.ru/v.aspx?control=8&id=228880 
15. http://publication.pravo.gov.ru/Document/View/0001202012220135  
16. http://publication.pravo.gov.ru/Document/View/0001202012230044 
17. http://www.consultant.ru/document/cons_doc_LAW_112701/ 
18. http://publication.pravo.gov.ru/Document/View/0001202006230034 
19. http://www.consultant.ru/document/cons_doc_LAW_61801/ 
20. http://www.consultant.ru/document/cons_doc_LAW_220885/ 
21. http://www.consultant.ru/document/cons_doc_LAW_314661/