Контакты
Подписка 2024

Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.

Анастасия Заведенская, 27/11/23

Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 

Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности

Сентябрь-2023

В обзоре за сентябрь рассмотрим перечень нормативных правовых актов, содержащих обязательные требования, подлежащих оценке применения в 2024 г., в сфере обработки Пдн, обновление административных регламентов лицензионного контроля ФСТЭК России, средства защиты информации, исключенные из реестра сертифицированных, требования по защите информации для провайдеров хостинга, изменения в Положение Банка России № 757-П, а также предложения по обезличиванию ПДн для мониторинга движения лекарственных препаратов.

Перечень НПА для оценки применения по ПДн

Проект Перечня нормативных правовых актов, содержащих обязательные требования, подлежащих оценке применения в 2024 г., в сфере обработки персональных данных [1], был представлен на общественное обсуждение 1 сентября 2023 г.

В перечень включены следующие нормативные правовые акты:

  1. Постановление Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
  2. Постановление Правительства Российской Федерации от 21.03.2012 № 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами".
  3. Приказ Роскомнадзора от 05.09.2013 № 996 "Об утверждении требований и методов по обезличиванию персональных данных".
  4. Приказ Роскомнадзора от 22.07.2015 № 84 "Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи".
  5.  Приказ Роскомнадзора от 14.11.2022 № 187 "Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных".

Обновление регламентов лицензионного контроля ФСТЭК России

Приказ ФСТЭК России от 01.06.2023 № 106 "О признании утратившими силу приказов ФСТЭК России по вопросам контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации" [2] официально опубликован 7 сентября 2023 г.

Приказом ФСТЭК России от 01.06.2023 № 106 отменены приказы, утверждающие административные регламенты ФСТЭК России по исполнению государственной функции по контролю за соблюдением лицензионных требований:

  • при осуществлении деятельности по технической защите конфиденциальной информации;
  • при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации.

Вместе с тем 7 сентября взамен официально были опубликованы:

  • приказ ФСТЭК России от 01.06.2023 № 107 "Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации" [3];
  • приказ ФСТЭК России от 01.06.2023 № 108 "Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)" [4].

Положения новых приказов будут применяться до 31 декабря 2024 г.

Изменения в реестре сертифицированных средств защиты ФСТЭК России

Информационным сообщение ФСТЭК России от 30.08.2023 № 240/21/42335 сообщается, что в связи с несоответствием требованиям по технической защите информации и отсутствием технической поддержки с 1 июня 2024 г. применение ряда средств защиты информации не допускается. Сведения об упомянутых средствах защиты информации после указанной даты будут удалены из реестра сертифицированных средств защиты.

К таким средствам защиты информации относятся:

  • система пространственного зашумления SEL SP-21 "Баррикада";
  • система защиты помещений по виброакустическому каналу SEL SP-55 с эквалайзером;
  • устройство защиты цепей электропитания и заземления SEL SP-44;
  • устройство защиты информации от утечки по каналу ПЭМИН SEL SP-113;
  • система активной защиты информации от утечки по каналам побочных электромагнитных излучений и наводок SEL 111 "ШИФОН".

Требования по защите информации для провайдеров хостинга

Проект приказа Минцифры России "Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет" [6] представлен на общественное обсуждение 14 сентября 2023 г.

Как отмечается в пояснительной записке к проекту приказа, в соответствии с ч. 2 ст. 102-1 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", вступающей в силу с 1 декабря 2023 г., провайдер хостинга обязан обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет". Для установления указанных требований и подготовлен рассматриваемый проект приказа.

В проекте приказа, например, приведены следующие требования для провайдеров хостинга:

  • назначение структурного подразделения или должностного лица (работника), ответственных за защиту информации;
  • обеспечение взаимодействия с ГосСОПКА, включая информирование о компьютерных инцидентах, непосредственно, через отраслевой или корпоративный центр ГосСОПКА;
  • реализация мер по выявлению и устранению причин и последствий компьютерных атак;
  • обеспечение сбора и хранение данных о взаимодействии лиц, которым провайдер хостинга предоставляет вычислительные мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет", с пользователями сети "Интернет" (сетевом трафике, касающихся взаимодействий, инициированных или нацеленных на информационные ресурсы, расположенные за пределами инфраструктуры провайдера хостинга) в течение одного года с момента окончания осуществления действий и др.

Изменения в Положение Банка России № 757-П

Проект указания Банка России "О внесении изменений в Положение Банка России от 20 апреля 2021 года № 757-П" [7] был представлен на общественное обсуждение 4 сентября 2023 г.

Проектом предлагается включить в область действия 757-П микрофинансовые организации, а также микрофинансовые организации, осуществляющие деятельность по оказанию услуг онлайн-микрозаймов.

Обезличивание ПДн для мониторинга движения лекарственных препаратов

Минздрав России 26 сентября 2023 г. представил для общественного обсуждения проект приказа "Об утверждении требований к обезличиванию информации, содержащейся в системе мониторинга движения лекарственных препаратов для медицинского применения, и методов обезличивания такой информации" [8].

Сведения о потребителях лекарственных препаратов предлагается обезличивать до уровня: пол, возраст или год рождения потребителей лекарственных препаратов, город осуществления проверки кода идентификации или выявления нарушения требований об обязательной маркировке лекарственных препаратов для медицинского применения потребителем лекарственных препаратов для медицинского применения.

ris1-Nov-27-2023-08-15-58-9840-AM

Октябрь-2023

В обзоре изменений законодательства в области информационной безопасности за октябрь рассмотрим следующие нормативные правовые акты: проект изменений в порядок ведения реестра значимых объектов КИИ; проекты стандартов по КИИ; проект нового издания ГОСТа по руководству по управлению рисками информационной безопасности; проект порядка сертификации безопасной разработки ПО для изготовителей СрЗИ; проект изменения в перечень индикаторов риска при осуществлении госконтроля в сфере электронной подписи; методические рекомендации Банка России по обработке компьютерных инцидентов на объектах КИИ в финансовой сфере.

Изменения в порядке ведения реестра значимых объектов КИИ

Приказ ФСТЭК России от 01.09.2023 № 177 "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227" [9] официально опубликован 3 октября 2023 г.

Изменения в том числе обусловлены недавним дополнением перечня сфер деятельности субъектов критической информационной инфраструктуры – государственной регистрацией прав на недвижимое имущество и сделки с ним.

  • В случае изменения значимого объекта КИИ путем объединения нескольких значимых объектов КИИ полученный значимый объект сохраняет регистрационный номер значимого объекта КИИ с наименьшим порядковым номером и более ранней датой включения в реестр одного из объединяемых значимых объектов. Регистрационные номера, ранее присвоенные остальным объединяемым значимым объектам, в дальнейшем не используются.
  • При разделении значимого объекта КИИ на отдельные значимые объекты за одним из получившихся значимых объектов сохраняется регистрационный номер, присвоенный разделяемому значимому объекту КИИ. Остальным получившимся при разделении значимым объектам КИИ регистрационный номер присваивается в соответствии с действующим порядком.

Проекты стандартов по КИИ

В октябре 2023 г. на официальном сайте ФСТЭК России [10] были представлены проекты национальных стандартов, касающихся КИИ, внесенные на рассмотрение техническим комитетом по стандартизации ТК 167 "Программноаппаратные комплексы для критической информационной инфраструктуры", а именно:

  • "Инфраструктура критическая информационная. Термины и определения".
  • "Инфраструктура критическая информационная. Доверенные интегральные микросхемы и модули. Общие положения".

Так, например, стандарт с терминами и определениями содержит в себе отдельные блоки понятий, относящихся к доверенной продукции (изделиям, компонентам), и понятий, относящихся к доверенным программно-аппаратным комплексам, применяемым в КИИ. Доверенный программно-аппаратный комплекс (доверенный ПАК) по стандарту определяется как "программно-аппаратный комплекс, соответствующий уровню технологической независимости и заявленным функционально-техническим характеристикам, обеспечивающим функционирование объекта критической информационной инфраструктуры, соответствующий при реализации функции защиты информации требованиям по защите информации, утвержденным Федеральной службой безопасности и (или) Федеральной службой по техническому и экспортному контролю".

Обновление ГОСТа по руководству по управлению рисками информационной безопасности

Проект национального стандарта ГОСТ Р ИСО/МЭК 27005 "Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства" [11] был представлен в октябре 2023 г. на сайте ФСТЭК России.

Указанный проект стандарта должен заменить третье издание (ИСО/МЭК 27005:2018), которое было технически пересмотрено. Как отмечается в самом проекте стандарта, основные изменения заключаются в следующем:

  • весь текст руководства приведен в соответствие с ИСО/МЭК 27001:2022 и ИСО 31000:2018;
  • терминология приведена в соответствие с терминологией в ИСО 31000:2018;
  • структура разделов была скорректирована в соответствии с требованиями ИСО/МЭК 27001:2022;
  • были введены концепции сценариев риска;
  • подход к идентификации рисков, основанный на событиях, противопоставляется подходу, основанному на активах;
  • содержание приложений было пересмотрено и преобразовано в единое приложение.

Сертификация безопасной разработки ПО для изготовителей СрЗИ

Проект приказа ФСТЭК России "Об утверждении Порядка сертификации процессов безопасной разработки программного обеспечения средств защиты информации" [12] был представлен на общественное обсуждение 27 октября 2023 г. Публичные обсуждения проходили до 17 ноября 2023 г.

По проекту приказа сертификация процессов безопасной разработки программного обеспечения (ПО) средств защиты информации (СрЗИ) проводится в целях подтверждения соответствия процессов безопасной разработки ПО, внедренных изготовителем СрЗИ, требованиям национального стандарта ГОСТ Р 56939–2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования".

Согласно пояснительной записке к проекту, сертификация процессов безопасной разработки ПО СрЗИ является добровольной и позволит разработчикам и производителям сертифицированных СрЗИ в случае проведения данной сертификации проводить испытания СрЗИ, обусловленные внесением изменений в ПО, самостоятельно, без привлечения испытательной лаборатории.

Изменения в перечень индикаторов риска при осуществлении госконтроля в сфере электронной подписи

Проект приказа Минцифры России "О внесении изменений в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 7 декабря 2021 г. № 1312" [13] представлен на общественное обсуждение 16 октября 2023 г.

Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 7 декабря 2021 г. № 1312, предлагается дополнить пунктом следующего содержания: "Увеличение за календарный год более чем в 10 раз, но не менее чем на 10 тысяч, количества выданных квалифицированных сертификатов, сведения о которых направлены аккредитованным удостоверяющим центром в единую систему идентификации и аутентификации, по сравнению с аналогичным периодом за предыдущий год".

Обработка компьютерных инцидентов, инцидентов защиты информации на объектах КИИ в финансовой сфере

В октябре 2023 г. Банк России выпустил ряд методических рекомендаций, связанных с действиями при выявлении компьютерных инцидентов, инцидентов защиты информации на объектах КИИ:

  • Методические рекомендации по выполнению кредитными и некредитными финансовыми организациями мероприятий по обеспечению безопасности критической информационной инфраструктуры Российской Федерации в части информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак, утвержденные Банком России 26.10.2023 № 14-МР [14].
  • Методические рекомендации по взаимодействию кредитных организаций с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов критической информационной инфраструктуры, утвержденные Банком России 26.10.2023 № 15-МР [15].

В методических рекомендациях отмечается, что для финансовых организаций, с учетом мнения ФСБ России, возможным способом информирования ФСБ России о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак является передача соответствующей информации в Банк России с использованием технической инфраструктуры Банка России – Автоматизированной системы обработки инцидентов ФинЦЕРТ Банка России (АСОИ ФинЦЕРТ) с последующим направлением Банком России полученной информации в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ.


  1. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=141487 
  2. http://publication.pravo.gov.ru/document/0001202309070005?index=2 
  3. http://publication.pravo.gov.ru/document/0001202309070004 
  4. http://publication.pravo.gov.ru/document/0001202309070002 
  5. https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-30-avgusta-2023-g-n-240-21-4233 
  6. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=141794  
  7. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=141498 
  8. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=142163 
  9. http://publication.pravo.gov.ru/document/0001202310030016 
  10. https://fstec.ru/tk-362/deyatelnost/rassmotrenie-dokumentov-smezhnymi-tk/tk-167-programmno-apparatnye-kompleksy-dlya-kritich-eskoj-informatsionnoj-infrastruktury-i-programmnoe-obespechenie-dlya-nikh 
  11. https://fstec.ru/tk-362/standarty/proekty/proekt-natsionalnogo-standarta-gost-r-iso-mek-27005 
  12. https://regulation.gov.ru/projects#npa=143132 
  13. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=142720 
  14. https://www.consultant.ru/document/cons_doc_LAW_460678/ 
  15. https://cbr.ru/Crosscut/LawActs/File/6447 
Темы:Персональные данныеПраво и нормативыФСТЭККИИЖурнал "Информационная безопасность" №5, 2023

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Обзор изменений в законодательстве. Июль, август - 2024
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения правил категорирования ОКИИ. Защита ГИС и ЗОКИИ от DoS. Изменения в 152-ФЗ, 98-ФЗ и КоАП. Защита ГИС. Переход ОКИИ на доверенные ПАК. Госконтроль за ПДн. Требования к уничтожению и обезличиванию ПДн. Методические рекомендации ЦБ по показателям уровня риска ИБ. 
  • Полгода после вступления в силу 572-ФЗ. Полет нормальный?
    Федор Музалевский, Директор технического департамента RTM Group
    Прошло полгода после вступления в силу большей части федерального закона о применении биометрии 572-ФЗ1. Закон определяет сразу несколько регуляторов – попробуем разобраться, кто за что отвечает.
  • Обзор изменений в законодательстве. Май, июнь 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Методика оценки защиты ОКИИ. Дополнительные требования по защите ЗОКИИ в электроэнергетике. Защита цифрового рубля. Контроль ЦБ за импортозамещением ПО. Требования для хостинг-провайдеров. Деятельность по стандартизации.
  • 6 мифов о безопасной разработке и сертификации ПО
    Дмитрий Пономарев, технический директор ООО НТЦ “Фобос-НТ”, сотрудник ИСП РАН
    За последние пять лет система сертификации СЗИ претерпела колоссальные изменения, практически сменив свой вектор, и продолжает активно развиваться. Если вы проходили испытания до 2019 г., или даже до 2023 г., скорее всего вы будете сильно удивлены числу произошедших перемен и их объему.
  • Обзор изменений в законодательстве. Март, апрель 2024 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в ФЗ о безопасности КИИ. Категорирование для сферы транспорта. Продление эксперимента по повышению уровня защищенности ГИС. Новые стандарты в области защиты информации. Сертификация процессов безопасной разработки.
  • Управление уязвимостями: ожидание – реальность и рекомендации
    Сергей Уздемир, заместитель генерального директора по ИТ, АЛТЭКС-СОФТ
    ФСТЭК России разработала и утвердила методический документ по организации управления уязвимостями (VM), который устанавливает цикл этапов работ по VM. Излагаемые в нем подходы универсальны для любых организаций и тесно пересекаются с зарубежными стандартами, в частности с ISO/IEC 27002, Control 8.8 – Management of Technical Vulnerabilities.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...