Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
Анастасия Заведенская, 27/11/23
Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ. Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ.
Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
Сентябрь-2023
В обзоре за сентябрь рассмотрим перечень нормативных правовых актов, содержащих обязательные требования, подлежащих оценке применения в 2024 г., в сфере обработки Пдн, обновление административных регламентов лицензионного контроля ФСТЭК России, средства защиты информации, исключенные из реестра сертифицированных, требования по защите информации для провайдеров хостинга, изменения в Положение Банка России № 757-П, а также предложения по обезличиванию ПДн для мониторинга движения лекарственных препаратов.
Перечень НПА для оценки применения по ПДн
Проект Перечня нормативных правовых актов, содержащих обязательные требования, подлежащих оценке применения в 2024 г., в сфере обработки персональных данных [1], был представлен на общественное обсуждение 1 сентября 2023 г.
В перечень включены следующие нормативные правовые акты:
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
- Постановление Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
- Приказ Роскомнадзора от 05.09.2013 № 996 "Об утверждении требований и методов по обезличиванию персональных данных".
- Приказ Роскомнадзора от 22.07.2015 № 84 "Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи".
- Приказ Роскомнадзора от 14.11.2022 № 187 "Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных".
Обновление регламентов лицензионного контроля ФСТЭК России
Приказ ФСТЭК России от 01.06.2023 № 106 "О признании утратившими силу приказов ФСТЭК России по вопросам контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации" [2] официально опубликован 7 сентября 2023 г.
Приказом ФСТЭК России от 01.06.2023 № 106 отменены приказы, утверждающие административные регламенты ФСТЭК России по исполнению государственной функции по контролю за соблюдением лицензионных требований:
- при осуществлении деятельности по технической защите конфиденциальной информации;
- при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации.
Вместе с тем 7 сентября взамен официально были опубликованы:
- приказ ФСТЭК России от 01.06.2023 № 107 "Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации" [3];
- приказ ФСТЭК России от 01.06.2023 № 108 "Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)" [4].
Положения новых приказов будут применяться до 31 декабря 2024 г.
Изменения в реестре сертифицированных средств защиты ФСТЭК России
Информационным сообщение ФСТЭК России от 30.08.2023 № 240/21/42335 сообщается, что в связи с несоответствием требованиям по технической защите информации и отсутствием технической поддержки с 1 июня 2024 г. применение ряда средств защиты информации не допускается. Сведения об упомянутых средствах защиты информации после указанной даты будут удалены из реестра сертифицированных средств защиты.
К таким средствам защиты информации относятся:
- система пространственного зашумления SEL SP-21 "Баррикада";
- система защиты помещений по виброакустическому каналу SEL SP-55 с эквалайзером;
- устройство защиты цепей электропитания и заземления SEL SP-44;
- устройство защиты информации от утечки по каналу ПЭМИН SEL SP-113;
- система активной защиты информации от утечки по каналам побочных электромагнитных излучений и наводок SEL 111 "ШИФОН".
Требования по защите информации для провайдеров хостинга
Проект приказа Минцифры России "Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет" [6] представлен на общественное обсуждение 14 сентября 2023 г.
Как отмечается в пояснительной записке к проекту приказа, в соответствии с ч. 2 ст. 102-1 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", вступающей в силу с 1 декабря 2023 г., провайдер хостинга обязан обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет". Для установления указанных требований и подготовлен рассматриваемый проект приказа.
В проекте приказа, например, приведены следующие требования для провайдеров хостинга:
- назначение структурного подразделения или должностного лица (работника), ответственных за защиту информации;
- обеспечение взаимодействия с ГосСОПКА, включая информирование о компьютерных инцидентах, непосредственно, через отраслевой или корпоративный центр ГосСОПКА;
- реализация мер по выявлению и устранению причин и последствий компьютерных атак;
- обеспечение сбора и хранение данных о взаимодействии лиц, которым провайдер хостинга предоставляет вычислительные мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет", с пользователями сети "Интернет" (сетевом трафике, касающихся взаимодействий, инициированных или нацеленных на информационные ресурсы, расположенные за пределами инфраструктуры провайдера хостинга) в течение одного года с момента окончания осуществления действий и др.
Изменения в Положение Банка России № 757-П
Проект указания Банка России "О внесении изменений в Положение Банка России от 20 апреля 2021 года № 757-П" [7] был представлен на общественное обсуждение 4 сентября 2023 г.
Проектом предлагается включить в область действия 757-П микрофинансовые организации, а также микрофинансовые организации, осуществляющие деятельность по оказанию услуг онлайн-микрозаймов.
Обезличивание ПДн для мониторинга движения лекарственных препаратов
Минздрав России 26 сентября 2023 г. представил для общественного обсуждения проект приказа "Об утверждении требований к обезличиванию информации, содержащейся в системе мониторинга движения лекарственных препаратов для медицинского применения, и методов обезличивания такой информации" [8].
Сведения о потребителях лекарственных препаратов предлагается обезличивать до уровня: пол, возраст или год рождения потребителей лекарственных препаратов, город осуществления проверки кода идентификации или выявления нарушения требований об обязательной маркировке лекарственных препаратов для медицинского применения потребителем лекарственных препаратов для медицинского применения.
Октябрь-2023
В обзоре изменений законодательства в области информационной безопасности за октябрь рассмотрим следующие нормативные правовые акты: проект изменений в порядок ведения реестра значимых объектов КИИ; проекты стандартов по КИИ; проект нового издания ГОСТа по руководству по управлению рисками информационной безопасности; проект порядка сертификации безопасной разработки ПО для изготовителей СрЗИ; проект изменения в перечень индикаторов риска при осуществлении госконтроля в сфере электронной подписи; методические рекомендации Банка России по обработке компьютерных инцидентов на объектах КИИ в финансовой сфере.
Изменения в порядке ведения реестра значимых объектов КИИ
Приказ ФСТЭК России от 01.09.2023 № 177 "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227" [9] официально опубликован 3 октября 2023 г.
Изменения в том числе обусловлены недавним дополнением перечня сфер деятельности субъектов критической информационной инфраструктуры – государственной регистрацией прав на недвижимое имущество и сделки с ним.
- В случае изменения значимого объекта КИИ путем объединения нескольких значимых объектов КИИ полученный значимый объект сохраняет регистрационный номер значимого объекта КИИ с наименьшим порядковым номером и более ранней датой включения в реестр одного из объединяемых значимых объектов. Регистрационные номера, ранее присвоенные остальным объединяемым значимым объектам, в дальнейшем не используются.
- При разделении значимого объекта КИИ на отдельные значимые объекты за одним из получившихся значимых объектов сохраняется регистрационный номер, присвоенный разделяемому значимому объекту КИИ. Остальным получившимся при разделении значимым объектам КИИ регистрационный номер присваивается в соответствии с действующим порядком.
Проекты стандартов по КИИ
В октябре 2023 г. на официальном сайте ФСТЭК России [10] были представлены проекты национальных стандартов, касающихся КИИ, внесенные на рассмотрение техническим комитетом по стандартизации ТК 167 "Программноаппаратные комплексы для критической информационной инфраструктуры", а именно:
- "Инфраструктура критическая информационная. Термины и определения".
- "Инфраструктура критическая информационная. Доверенные интегральные микросхемы и модули. Общие положения".
Так, например, стандарт с терминами и определениями содержит в себе отдельные блоки понятий, относящихся к доверенной продукции (изделиям, компонентам), и понятий, относящихся к доверенным программно-аппаратным комплексам, применяемым в КИИ. Доверенный программно-аппаратный комплекс (доверенный ПАК) по стандарту определяется как "программно-аппаратный комплекс, соответствующий уровню технологической независимости и заявленным функционально-техническим характеристикам, обеспечивающим функционирование объекта критической информационной инфраструктуры, соответствующий при реализации функции защиты информации требованиям по защите информации, утвержденным Федеральной службой безопасности и (или) Федеральной службой по техническому и экспортному контролю".
Обновление ГОСТа по руководству по управлению рисками информационной безопасности
Проект национального стандарта ГОСТ Р ИСО/МЭК 27005 "Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства" [11] был представлен в октябре 2023 г. на сайте ФСТЭК России.
Указанный проект стандарта должен заменить третье издание (ИСО/МЭК 27005:2018), которое было технически пересмотрено. Как отмечается в самом проекте стандарта, основные изменения заключаются в следующем:
- весь текст руководства приведен в соответствие с ИСО/МЭК 27001:2022 и ИСО 31000:2018;
- терминология приведена в соответствие с терминологией в ИСО 31000:2018;
- структура разделов была скорректирована в соответствии с требованиями ИСО/МЭК 27001:2022;
- были введены концепции сценариев риска;
- подход к идентификации рисков, основанный на событиях, противопоставляется подходу, основанному на активах;
- содержание приложений было пересмотрено и преобразовано в единое приложение.
Сертификация безопасной разработки ПО для изготовителей СрЗИ
Проект приказа ФСТЭК России "Об утверждении Порядка сертификации процессов безопасной разработки программного обеспечения средств защиты информации" [12] был представлен на общественное обсуждение 27 октября 2023 г. Публичные обсуждения проходили до 17 ноября 2023 г.
По проекту приказа сертификация процессов безопасной разработки программного обеспечения (ПО) средств защиты информации (СрЗИ) проводится в целях подтверждения соответствия процессов безопасной разработки ПО, внедренных изготовителем СрЗИ, требованиям национального стандарта ГОСТ Р 56939–2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования".
Согласно пояснительной записке к проекту, сертификация процессов безопасной разработки ПО СрЗИ является добровольной и позволит разработчикам и производителям сертифицированных СрЗИ в случае проведения данной сертификации проводить испытания СрЗИ, обусловленные внесением изменений в ПО, самостоятельно, без привлечения испытательной лаборатории.
Изменения в перечень индикаторов риска при осуществлении госконтроля в сфере электронной подписи
Проект приказа Минцифры России "О внесении изменений в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 7 декабря 2021 г. № 1312" [13] представлен на общественное обсуждение 16 октября 2023 г.
Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 7 декабря 2021 г. № 1312, предлагается дополнить пунктом следующего содержания: "Увеличение за календарный год более чем в 10 раз, но не менее чем на 10 тысяч, количества выданных квалифицированных сертификатов, сведения о которых направлены аккредитованным удостоверяющим центром в единую систему идентификации и аутентификации, по сравнению с аналогичным периодом за предыдущий год".
Обработка компьютерных инцидентов, инцидентов защиты информации на объектах КИИ в финансовой сфере
В октябре 2023 г. Банк России выпустил ряд методических рекомендаций, связанных с действиями при выявлении компьютерных инцидентов, инцидентов защиты информации на объектах КИИ:
- Методические рекомендации по выполнению кредитными и некредитными финансовыми организациями мероприятий по обеспечению безопасности критической информационной инфраструктуры Российской Федерации в части информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак, утвержденные Банком России 26.10.2023 № 14-МР [14].
- Методические рекомендации по взаимодействию кредитных организаций с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов критической информационной инфраструктуры, утвержденные Банком России 26.10.2023 № 15-МР [15].
В методических рекомендациях отмечается, что для финансовых организаций, с учетом мнения ФСБ России, возможным способом информирования ФСБ России о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак является передача соответствующей информации в Банк России с использованием технической инфраструктуры Банка России – Автоматизированной системы обработки инцидентов ФинЦЕРТ Банка России (АСОИ ФинЦЕРТ) с последующим направлением Банком России полученной информации в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ.
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=141487
- http://publication.pravo.gov.ru/document/0001202309070005?index=2
- http://publication.pravo.gov.ru/document/0001202309070004
- http://publication.pravo.gov.ru/document/0001202309070002
- https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-30-avgusta-2023-g-n-240-21-4233
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=141794
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=141498
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=142163
- http://publication.pravo.gov.ru/document/0001202310030016
- https://fstec.ru/tk-362/deyatelnost/rassmotrenie-dokumentov-smezhnymi-tk/tk-167-programmno-apparatnye-kompleksy-dlya-kritich-eskoj-informatsionnoj-infrastruktury-i-programmnoe-obespechenie-dlya-nikh
- https://fstec.ru/tk-362/standarty/proekty/proekt-natsionalnogo-standarta-gost-r-iso-mek-27005
- https://regulation.gov.ru/projects#npa=143132
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=142720
- https://www.consultant.ru/document/cons_doc_LAW_460678/
- https://cbr.ru/Crosscut/LawActs/File/6447