Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
В обзоре за сентябрь рассмотрим перечень нормативных правовых актов, содержащих обязательные требования, подлежащих оценке применения в 2024 г., в сфере обработки Пдн, обновление административных регламентов лицензионного контроля ФСТЭК России, средства защиты информации, исключенные из реестра сертифицированных, требования по защите информации для провайдеров хостинга, изменения в Положение Банка России № 757-П, а также предложения по обезличиванию ПДн для мониторинга движения лекарственных препаратов.
Проект Перечня нормативных правовых актов, содержащих обязательные требования, подлежащих оценке применения в 2024 г., в сфере обработки персональных данных [1], был представлен на общественное обсуждение 1 сентября 2023 г.
В перечень включены следующие нормативные правовые акты:
Приказ ФСТЭК России от 01.06.2023 № 106 "О признании утратившими силу приказов ФСТЭК России по вопросам контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации" [2] официально опубликован 7 сентября 2023 г.
Приказом ФСТЭК России от 01.06.2023 № 106 отменены приказы, утверждающие административные регламенты ФСТЭК России по исполнению государственной функции по контролю за соблюдением лицензионных требований:
Вместе с тем 7 сентября взамен официально были опубликованы:
Положения новых приказов будут применяться до 31 декабря 2024 г.
Информационным сообщение ФСТЭК России от 30.08.2023 № 240/21/42335 сообщается, что в связи с несоответствием требованиям по технической защите информации и отсутствием технической поддержки с 1 июня 2024 г. применение ряда средств защиты информации не допускается. Сведения об упомянутых средствах защиты информации после указанной даты будут удалены из реестра сертифицированных средств защиты.
К таким средствам защиты информации относятся:
Проект приказа Минцифры России "Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет" [6] представлен на общественное обсуждение 14 сентября 2023 г.
Как отмечается в пояснительной записке к проекту приказа, в соответствии с ч. 2 ст. 102-1 Федерального закона от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации", вступающей в силу с 1 декабря 2023 г., провайдер хостинга обязан обеспечивать реализацию установленных федеральным органом исполнительной власти в области связи по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет". Для установления указанных требований и подготовлен рассматриваемый проект приказа.
В проекте приказа, например, приведены следующие требования для провайдеров хостинга:
Проект указания Банка России "О внесении изменений в Положение Банка России от 20 апреля 2021 года № 757-П" [7] был представлен на общественное обсуждение 4 сентября 2023 г.
Проектом предлагается включить в область действия 757-П микрофинансовые организации, а также микрофинансовые организации, осуществляющие деятельность по оказанию услуг онлайн-микрозаймов.
Минздрав России 26 сентября 2023 г. представил для общественного обсуждения проект приказа "Об утверждении требований к обезличиванию информации, содержащейся в системе мониторинга движения лекарственных препаратов для медицинского применения, и методов обезличивания такой информации" [8].
Сведения о потребителях лекарственных препаратов предлагается обезличивать до уровня: пол, возраст или год рождения потребителей лекарственных препаратов, город осуществления проверки кода идентификации или выявления нарушения требований об обязательной маркировке лекарственных препаратов для медицинского применения потребителем лекарственных препаратов для медицинского применения.
В обзоре изменений законодательства в области информационной безопасности за октябрь рассмотрим следующие нормативные правовые акты: проект изменений в порядок ведения реестра значимых объектов КИИ; проекты стандартов по КИИ; проект нового издания ГОСТа по руководству по управлению рисками информационной безопасности; проект порядка сертификации безопасной разработки ПО для изготовителей СрЗИ; проект изменения в перечень индикаторов риска при осуществлении госконтроля в сфере электронной подписи; методические рекомендации Банка России по обработке компьютерных инцидентов на объектах КИИ в финансовой сфере.
Приказ ФСТЭК России от 01.09.2023 № 177 "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227" [9] официально опубликован 3 октября 2023 г.
Изменения в том числе обусловлены недавним дополнением перечня сфер деятельности субъектов критической информационной инфраструктуры – государственной регистрацией прав на недвижимое имущество и сделки с ним.
В октябре 2023 г. на официальном сайте ФСТЭК России [10] были представлены проекты национальных стандартов, касающихся КИИ, внесенные на рассмотрение техническим комитетом по стандартизации ТК 167 "Программноаппаратные комплексы для критической информационной инфраструктуры", а именно:
Так, например, стандарт с терминами и определениями содержит в себе отдельные блоки понятий, относящихся к доверенной продукции (изделиям, компонентам), и понятий, относящихся к доверенным программно-аппаратным комплексам, применяемым в КИИ. Доверенный программно-аппаратный комплекс (доверенный ПАК) по стандарту определяется как "программно-аппаратный комплекс, соответствующий уровню технологической независимости и заявленным функционально-техническим характеристикам, обеспечивающим функционирование объекта критической информационной инфраструктуры, соответствующий при реализации функции защиты информации требованиям по защите информации, утвержденным Федеральной службой безопасности и (или) Федеральной службой по техническому и экспортному контролю".
Проект национального стандарта ГОСТ Р ИСО/МЭК 27005 "Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства" [11] был представлен в октябре 2023 г. на сайте ФСТЭК России.
Указанный проект стандарта должен заменить третье издание (ИСО/МЭК 27005:2018), которое было технически пересмотрено. Как отмечается в самом проекте стандарта, основные изменения заключаются в следующем:
Проект приказа ФСТЭК России "Об утверждении Порядка сертификации процессов безопасной разработки программного обеспечения средств защиты информации" [12] был представлен на общественное обсуждение 27 октября 2023 г. Публичные обсуждения проходили до 17 ноября 2023 г.
По проекту приказа сертификация процессов безопасной разработки программного обеспечения (ПО) средств защиты информации (СрЗИ) проводится в целях подтверждения соответствия процессов безопасной разработки ПО, внедренных изготовителем СрЗИ, требованиям национального стандарта ГОСТ Р 56939–2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования".
Согласно пояснительной записке к проекту, сертификация процессов безопасной разработки ПО СрЗИ является добровольной и позволит разработчикам и производителям сертифицированных СрЗИ в случае проведения данной сертификации проводить испытания СрЗИ, обусловленные внесением изменений в ПО, самостоятельно, без привлечения испытательной лаборатории.
Проект приказа Минцифры России "О внесении изменений в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 7 декабря 2021 г. № 1312" [13] представлен на общественное обсуждение 16 октября 2023 г.
Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 7 декабря 2021 г. № 1312, предлагается дополнить пунктом следующего содержания: "Увеличение за календарный год более чем в 10 раз, но не менее чем на 10 тысяч, количества выданных квалифицированных сертификатов, сведения о которых направлены аккредитованным удостоверяющим центром в единую систему идентификации и аутентификации, по сравнению с аналогичным периодом за предыдущий год".
В октябре 2023 г. Банк России выпустил ряд методических рекомендаций, связанных с действиями при выявлении компьютерных инцидентов, инцидентов защиты информации на объектах КИИ:
В методических рекомендациях отмечается, что для финансовых организаций, с учетом мнения ФСБ России, возможным способом информирования ФСБ России о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак является передача соответствующей информации в Банк России с использованием технической инфраструктуры Банка России – Автоматизированной системы обработки инцидентов ФинЦЕРТ Банка России (АСОИ ФинЦЕРТ) с последующим направлением Банком России полученной информации в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в соответствии с определенными НКЦКИ форматами с использованием технической инфраструктуры НКЦКИ.