Автор: Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности
В мае 2021 г. ФСТЭК России сообщила об изменении процедур аттестации объектов информатизации, обрабатывающих информацию, составляющую государственную тайну. Официально опубликованы изменения в КоАП РФ, вносящие штрафные санкции за нарушение обеспечения безопасности КИИ, и приказы ФСБ России, касающиеся обращения с электронной подписью. Изменены сроки реализации требований, в том числе по защите информации, для систем оформления воздушных перевозок.
Информационным сообщением от 29 апреля 2021 г. No 240/24/2087 ФСТЭК России сообщает об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, содержащей сведения, составляющие государственную тайну [1] (далее – Порядок аттестации). В этом информационном письме отмечается, что Порядок аттестации был утвержден приказом ФСТЭК России от 28 сентября 2020 г. No 110.
Порядок аттестации вступает в силу с 1 июня 2021 г. и отменяет действие следующих документов при организации и проведении работ по аттестации объектов информатизации, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну:
С целью организации контроля за выполнением работ по аттестации объектов информатизации Порядком аттестации предусмотрено ведение ФСТЭК России единого реестра аттестованных объектов информатизации, а также представление организациями, проводившими аттестацию, материалов с результатами аттестационных испытаний каждого объекта информатизации в территориальные органы ФСТЭК России. В случае установления по результатам экспертизы указанных материалов факта несоответствия аттестованного объекта информатизации требованиям о защите информации действие аттестата соответствия может быть приостановлено до устранения выявленного несоответствия объекта информатизации установленным требованиям.
Перечень органов по аттестации и органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации в соответствии с приказом ФСТЭК России от 28 сентября 2020 г. No 110, размещен на официальном сайте ФСТЭК России [2].
Федеральный закон от 26.05.2021 г. No 141-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"3 (далее – Федеральный закон) был официально опубликован 26 мая 2021 г.
Федеральный закон вступил в силу с 6 июня 2021 г., за исключением п.1 ст. 13.12 об ответственности за нарушение требований к созданию систем безопасности значимых объектов КИИ, он вступит в силу с 1 сентября 2021 г. (см. табл. 1).
В рамках Федерального закона предлагается наделить ФСТЭК России и ФСБ России полномочиями по рассмотрению дел об административных правонарушениях.
Краткая сводка статей за нарушение обеспечения безопасности КИИ, вносимых в КоАП РФ, представлена в таблице ниже.
На официальном интернет-портале правовой информации в мае 2021 г. были опубликованы приказы ФСБ России, устанавливающие требования к использованию электронной подписи:
Приказ ФСБ России No 154 вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г., регламентирует порядок проверки удостоверяющим центром соответствия ключа электронной подписи (далее – ЭП) ключу проверки ЭП, указанному лицом в заявлении на получение сертификата ключа проверки ЭП. Правила не распространяется на случаи, когда ключевая пара была создана удостоверяющим центром.
Постановление Правительства Российской Федерации от 30.04.2021 г. No 685 "О внесении изменения в постановление Правительства Российской Федерации от 24 июля 2019 г. No 955" [8] (далее – ПП РФ No 685) было опубликовано 6 мая 2021 г.
Постановлением Правительства РФ от 24 июля 2019 г. No 955 были утверждены требования к автоматизированным информационным системам оформления воздушных перевозок (далее – АИС ОВП), к базам данных, входящим в их состав, к информационно-телекоммуникационным сетям, обеспечивающим работу указанных автоматизированных информационных систем, к их оператору, а также меры по защите информации, содержащейся в них, и порядку их функционирования. Постановление должно было вступить в силу с 31 октября 2021 г., однако ПП РФ No 685 сдвинуло срок до 30 октября 2022 г.
Напомним, что основной акцент в контексте информационной безопасности постановление Правительства РФ от 24 июля 2019 г. No 955 делает на защите обрабатываемых персональных данных [9] (далее – ПДн) пассажиров и персонала (экипажа) транспортных средств:
В июне 2021 г. регуляторы вели активную нормотворческую деятельность. В продолжение обзора изменений законодательства рассмотрим регламентацию защиты средств дистанционной работы, новые процедуры контрольно-надзорной деятельности по обработке персональных данных, требования к защите информации в финансовом секторе, штрафные санкции за разглашение информации ограниченного доступа и многое другое.
Информационным сообщением от 23 июня 2021 г. No 240/24/3057 ФСТЭК России сообщает об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах [10] (далее – Требования). Требования утверждены приказом ФСТЭК России от 16 февраля 2021 г. No 32.
К средствам обеспечения безопасной дистанционной работы в информационных системах (ИС)/автоматизированных системах (АC) (далее – средства дистанционной работы) относятся средства защиты информации, использующие средства вычислительной техники, не входящие в состав указанных ИС/АС. Средства дистанционной работы не имеют дифференциации и должны использовать единообразную конфигурацию вне зависимости от категории значимости объектов критической информационной инфраструктуры (далее – КИИ), класса государственных информационных систем, класса защищенности автоматизированных систем управления производственными и/или технологическими процессами, уровня защищенности информационных систем персональных данных (далее – ПДн).
Информационным сообщением от 18 июня 2021 г. N 240/82/1037 ФСТЭК России [11] рекомендует порядок представления субъектами КИИ, осуществляющими деятельность в сфере здравоохранения, перечней объектов КИИ, подлежащих категорированию (далее – перечни), сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий (далее – сведения).
Согласно информационному письму рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России для субъектов КИИ, являющихся федеральными органами исполнительной власти, а также федеральными учреждениями здравоохранения. Управления ФСТЭК России по федеральному округу, на территории которых расположены соответствующие субъекты КИИ, осуществляют рассмотрение документов субъектов КИИ, являющихся органами власти субъектов РФ, учреждениями здравоохранения, подведомственными органам власти субъектов РФ, а также самостоятельными юридическими лицами.
Постановление Правительства Российской Федерации от 31.05.2021 г. No 837 "О внесении изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации" [12] (далее – ПП РФ No 837) официально опубликовано 1 июня 2021 г.
ПП РФ No 837 увеличивает срок рассмотрения Минцифры России, ФСБ России и ФСТЭК России технических заданий на создание государственных информационных систем, а также срок рассмотрения ФСБ России и ФСТЭК России моделей угроз безопасности информации с 10 до 20 рабочих дней.
Постановление Правительства Российской Федерации от 29.06.2021 г. No 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных" [13] (далее – ПП РФ No 1046) официально опубликовано 30 июня 2021 г.
ПП РФ No 1046 вступает в силу с 1 июля 2021 г. и утверждает положение, устанавливающее порядок организации и осуществления государственного контроля (надзора) за обработкой ПДн. Как и ранее, реализация полномочий контрольно-надзорного органа осуществляется Роскомнадзором. Ранее действующее постановление Правительства Российской Федерации от 13 февраля 2019 г. No 146 "Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных" признано утратившим силу.
Федеральный государственный контроль (надзор) осуществляется посредством проведения следующих контрольных (надзорных) мероприятий:
При этом согласно ПП РФ No 1046 Роскомнадзор может осуществлять мероприятия по контролю без взаимодействия с контролируемым лицом в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.
Для осуществления контроля (надзора) за обработкой вводится система оценки и управления рисками (см. табл. 2). При осуществлении контроля (надзора) поднадзорные объекты классифицируются по одной из следующих категорий риска причинения вреда (ущерба) (далее – категории риска):
ФСБ России представила для общественного обсуждения проект постановления Правительства Российской Федерации "О порядке осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями, нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона от 27 июля 2006 г. No 149-ФЗ, организационных и технических мер по обеспечению безопасности персональных данных с использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона от 27 июля 2006 г. No 149-ФЗ" [14] (далее – проект ПП РФ). Общественные обсуждения пройдут до 15 июля 2021 г.
Проект ПП РФ направлен на определение порядка осуществления ФСБ России и ФСТЭК России мероприятий по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн и использованием СрЗИ в единой биометрической системе (ЕБС). Контроль проводится в целях проверки соблюдения государственными органами, органами местного самоуправления, организациями, индивидуальными предпринимателями и нотариусами требований по обеспечению безопасности ПДн.
В конце июня 2021 г. на сайте Роскомнадзора опубликована информация о действии с 1 июля 2021 г. сервиса для операторов ПДн [15], позволяющего оператору ПДн подготовить шаблон формы согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, с учетом профессиональной специфики деятельности оператора.
Сформированный шаблон формы согласия оператор по желанию может направить в Роскомнадзор для получения рекомендаций по формированию такого согласия. Полученные рекомендации Роскомнадзора можно учесть при использовании указанного шаблона для непосредственного получения согласия от субъекта ПДн в соответствии с п.1 ч.6 ст.10.1 ФЗ No 152.
Напомним, что с 1 сентября 2021 г. для операторов вступают в силу обязательные требования к форме согласия на обработку ПДн, разрешенных для распространения. Обязанность операторов получать отдельное согласие гражданина на распространение его ПДн установлена Федеральным законом от 30 декабря 2020 г. No 519-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", который вступил в силу 1 марта 2021 г.
Приказ ФСБ России от 01.05.2021 No 171 "Об утверждении организационно-технических требований в области информационной безопасности к доверенным лицам удостоверяющего центра федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц" [16] (далее – приказ ФСБ России No 171) официально опубликован 1 июня 2021 г. Приказ ФСБ России No 171 вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г.
Ниже приведем несколько требований по информационной безопасности к доверенным лицам согласно приказу ФСБ России No 171:
В июне 2021 г. Банк России опубликовал проект указания "О внесении изменений в положение Банка России от 17 апреля 2019 года No 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (683-П)" [17] (далее – указание). Предполагается, что изменения, вносимые указанием в 683-П, должны будут вступить в силу с 1 апреля 2022 г.
Приведем несколько основных пунктов изменений 683-П, предлагаемых указанием:
Положение Банка России от 20 апреля 2021 г. No 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" [18] (далее – 757-П) официально опубликовано 22 июня 2021 г. 757-П вступило в силу 3 июля 2021 г. (за исключением отдельных положений) и отменило предыдущее положение Банка России от 17 апреля 2019 г. No 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".
Основные изменения, вносимые 757-П для некредитных финансовых организаций:
Проект положения Банка России "О требованиях к обеспечению бюро кредитных историй защиты информации" [19] был опубликован 21 июня 2021 г. (далее – проект положения). Предполагается, что проект положения должен вступить в силу с 1 октября 2022 г., за исключением некоторых пунктов.
Проект положения схож по своей концепции и требованиям с другими нормативными актами Банка России по защите информации. Бюро кредитных историй должны будут обеспечивать выполнение ГОСТ Р 57580.1, осуществление оценки соответствия по ГОСТ Р 57580.2–2018, использование сертифицированного ПО или ПО, в отношении которого проведена оценка соответствия, уведомление Банка России об инцидентах защиты информации и т.д.
Федеральный закон от 11.06.2021 г. No 206-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" [20] (далее – ФЗ No 206) официально опубликован 11 июня 2021 г.
ФЗ No 206 вносит изменения в КоАП РФ, предусматривающие усиление административной ответственности за разглашение информации с ограниченным доступом, а также вводится новый состав правонарушения, которым устанавливается ответственность за незаконное получение информации с ограниченным доступом.