Контакты
Подписка 2024

Обзор изменений в законодательстве. Импортозамещение столкнулось с реальностью

Анастасия Заведенская, 03/06/21

Март-2021

В обзоре изменений законодательства за этот период рассмотрим предлагаемые изменения в системе сертификации средств защиты от ФСТЭК России, вступившие в силу изменения в законодательство о персональных данных, а также проект требования к новой информационной системе РКН. Немного поговорим об увеличении срока согласования надзорными органами документации на ГИС, о форме квалифицированного сертификата ключа проверки ЭП и об аналитике типов компьютерныхм атак от Банка России.

Автор: Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности

Изменения в системе сертификации ФСТЭК России

ФСТЭК России 22 марта 2021 г. представила на общественное обсуждение проект приказа "О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. No 55" [1] (далее – проект приказа).

Проектом приказа предусмотрено внесение изменений в систему сертификации ФСТЭК России, направленных на уточнение требований при сертификации средств защиты информации (далее – СрЗИ) и маркировании СрЗИ. Приведем некоторые из проектных изменений:

  1. Прямо указано, что серийно производимые СрЗИ считаются сертифицированными, если они произведены в период срока действия сертификата соответствия. Отмечается также, что обязательным условием действия сертификата соответствия является наличие технической поддержки.
  2. Из требований предлагается исключить дефиницию "знаки соответствия", заменив ее "идентификаторами" регламентированного содержания по наличию групп знаков. Таким образом, предлагается упразднить процедуру маркирования производимых сертифицированных СрЗИ специальными защитными знаками, выдаваемыми ФСТЭК России.

Позднее, 8 апреля 2021 г., проект приказа [2] был повторно опубликован в несколько иной форме. Упомянутые выше изменения все так же остались актуальными, однако дополнительно появилось требование о ежегодном отчете заявителями во ФСТЭК России по произведенным и/или промаркированным сертифицированным СрЗИ. Предлагается также проводить сертификационные испытания по сокращенной программе при продлении срока действия сертификата.

Изменения в законодательстве о персональных данных

С 1 марта в законную силу вступил Федеральный закон "О внесении изменений в Федеральный закон "О персональных данных" от 30.12.2020 г. No 519-ФЗ, меняющий понятийный аппарат Федерального закона "О персональных данных" от 27.07.2006 г. No 152-ФЗ, обзор которого мы делали в предыдущем номере [3].

Кроме того, с 27.03.2021 г. вступили в силу изменения в ст. 13.11 КоАП РФ, устанавливающую ответственность за нарушение требований по обработке персональных данных:

  • все штрафы увеличены ровно в два раза;
  • добавлено три новых состава, так называемые рецидивы (повторное совершение административного правонарушения);
  • удалена такая мера административного наказания, как предупреждение.

Информационная система Роскомнадзора

В марте 2021 г. Роскомнадзор опубликовал проект ведомственного приказа "Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций" [4] (далее – проект приказа РКН). Изначальная версия проекта данного приказа получила большое количество отрицательных предложений [5] по итогам размещения его текста, ввиду чего было принято решение о доработке проекта приказа.

Напомним, что проект приказа РКН направлен на реализацию ст. 10.1 Федерального закона от 27 июля 2006 г. No 152-ФЗ "О персональных данных", вступившей в силу 1 марта 2021 г. Согласно данной статье с 1 июля 2021 г. согласие на обработку персональных данных (далее – ПДн), разрешенных субъектом ПДн для распространения, может быть предоставлено оператору с использованием информационной системы Роскомнадзора (далее – ИС). Проект приказа РКН как раз устанавливает правила использования данной ИС. Стоит отметить также, что на момент написания обзора изменений законодательства ИС еще не введена в действие.

ИС должна обеспечить:

  • возможность подачи и отзыва согласия субъектом ПДн;
  • возможность приема и получения согласия оператором;
  • формирование реестра записей о поданных, полученных и отозванных согласиях, в том числе в личных кабинетах участников взаимодействия;
  • формирование и направление участникам взаимодействия уведомлений о подаче, приеме, отзыве согласий;
  • возможность обмена информацией о результатах взаимодействия между участниками;
  • возможность направления должностными лицами Роскомнадзора запросов или требований об устранении выявленных нарушений в области ПДн участникам взаимодействия;
  • формирование Роскомнадзором – оператором ИС реестра записей о результатах рассмотрения запросов и исполнения требований об устранении выявленных нарушений в области ПДн участниками взаимодействия;
  • получение уведомлений от участников взаимодействия об устранении нарушений в области ПДн, направленных в электронном виде.

Увеличение сроков согласования документации для государственных информационных систем

Минцифры России 25 марта 2021 г. опубликовало проект постановления Правительства РФ "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации" [6] (далее – проект постановления).

Проектом постановления предусматривается увеличение срока рассмотрения Минцифры России, ФСБ России и ФСТЭК России технических заданий на создание государственных информационных систем, а также срока рассмотрения ФСБ России и ФСТЭК России моделей угроз безопасности информации с 10 до 20 рабочих дней.

Форма квалифицированного сертификата ключа проверки электронной подписи

9 марта 2021 г. официально опубликован приказ ФСБ России от 29.01.2021 г. No 31 "О внесении изменений в приказ ФСБ России от 27 декабря 2011 г. No 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи" [7] (далее – приказ ФСБ России No 31). Приказ ФСБ России No 31 вступает в силу с 01.09.2021 г. и действует до 01.09.2027 г.

Согласно приказу ФСБ России No 31 форма квалифицированного сертификата ключа проверки электронной подписи (далее – ЭП) приведена к актуальным требованиям в законодательстве. Так, например, в сертификат включена информация об ОГРН индивидуального предпринимателя (в соответствующем случае). В форме также появилось разделение юридических лиц на российские и нероссийские, а также отмечена необходимость указания в идентификаторе ключа проверки ЭП на то, что он выдан при личном присутствии или же идентификация лица производилась удаленно.

Аналитика Банка России

В марте 2021 г. Банк России опубликовал обзор "Основные типы компьютерных атак в кредитно-финансовой сфере в 2019–2020 гг." [8].

Обзор содержит аналитику атак как на сами организации кредитно-финансовой сферы, так и на их клиентов. В обзоре рассмотрены атаки с использованием вредоносного программного обеспечения, программ-шифровальщиков, методов социальной инженерии, атаки типа "отказ в обслуживании" и атаки на банкоматы. Даются также рекомендации по предотвращению компьютерных атак от ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России).


Рис. 1. Распределение вредоносного ПО по классам, 2019–2020 годы (единиц). Источник: ФинЦЕРТ Департамента информационнои безопасности Банка России

Апрель-2021

В апреле 2021 г. был опубликован проект порядка аттестации объектов информатизации и приказ Роскомнадзора, устанавливающий требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения. Банк России сообщил о неприменимости мер в случае нарушения требований к обеспечению защиты информации некредитными финансовыми организациями. Импортозамещение в КИИ получило отрицательное заключение регулирующего воздействия, а Минздрав России опубликовал Методические рекомендации по категорированию объектов КИИ сферы здравоохранения.

Порядок аттестации объектов информатизации

В апреле 2021 г. опубликован доработанный по итогам обсуждения проект приказа ФСТЭК России "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" [9] (далее – проект приказа ФСТЭК России).

Напомним, что первая версия проекта приказа ФСТЭК России была опубликована в декабре 2020 г. [10]. В новой версии проекта приказа ФСТЭК России исключены требования к аттестационным испытаниям распределенных систем, имеющих клиент-серверную архитектуру, в том числе функционирующих на базе информационно-телекоммуникационной инфраструктуры центров обработки данных. С исключением данного требования также ушли и описания требований к выборке типовых аттестуемых клиентских автоматизированных рабочих мест. Следует отметить, что в целом проект приказа ФСТЭК России также не описывает порядок организации и проведения работ по аттестации выделенного набора сегментов объектов информатизации (далее – ОИ), реализующих полную технологию обработки информации.

Требования проекта приказа ФСТЭК России в обязательном порядке предполагается применять при аттестации:

  • государственных и муниципальных информационных систем (далее – ИС), в том числе государственных, муниципальных ИС персональных данных (далее – ПДн);
  • ИС управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем (далее – АС) станков с числовым программным управлением;
  • помещений, предназначенных для ведения конфиденциальных переговоров (защищаемых помещений).

В случае принятия владельцами решения о проведении оценки соответствия систем защиты информации в форме аттестации требованиями проекта приказа ФСТЭК России необходимо будет также руководствоваться для:

  • значимых объектов критической информационной инфраструктуры (далее – КИИ);
  • ИСПДн (за исключением государственных, муниципальных ИСПДн);
  • АС управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

Отметим также несколько основных изменений, предлагаемых проектом приказа ФСТЭК России:

  1. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу ОИ может проводиться структурным подразделением (работниками), ответственным за защиту информации, после информирования ФСТЭК России о принятом решении и при выполнении требований, установленных в проекте приказа ФСТЭК России. Таким образом, по проекту приказа ФСТЭК России орган власти может самостоятельно проводить аттестацию своих ОИ. При этом регулятор отмечает, что такой орган власти не оказывает услуги кому-либо в целях приобретения прибыли и в таком случае органу власти не требуется лицензия на осуществление деятельности по технической защите конфиденциальной информации.
  2. Владелец ОИ в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащимися в заключении и протоколах, может направить во ФСТЭК России письменное обращение с обоснованием такого несогласия (далее – обращение). ФСТЭК России в течение 10 календарных дней с даты получения обращения должен провести оценку документов и выводов, содержащихся в заключении.
  3. Органы по аттестации после завершения аттестации ОИ должны будут представлять во ФСТЭК России копии аттестационных документов. Органы по аттестации также должны будут ежегодно представлять в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных ими объектах информатизации.
  4. Владельцы аттестованных ОИ будут должны не реже одного раза в два года представлять во ФСТЭК России протоколы контроля защищенности информации, оформляемые по результатам периодического контроля уровня защищенности информации в аттестованном ОИ.
  5. ФСТЭК России может приостановить действие аттестата соответствия в случаях: установления факта несоответствия аттестованного ОИ требованиям по защите информации; неустранения недостатков, выявленных ФСТЭК России; непредставления протоколов контроля уровня защищенности информации в аттестованном ОИ; изменений архитектуры системы защиты информации аттестованного ОИ, которые приводят к несоответствию этого объекта аттестату соответствия; обращения владельца ОИ о приостановлении действия аттестата соответствия. Если замечания, повлекшие приостановление аттестата соответствия, не будут устранены, то действие аттестата соответствия может быть прекращено.

Требования проекта приказа ФСТЭК России предлагается применять с 1 сентября 2021 г.

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения

В апреле 2021 г. официально опубликован приказ Роскомнадзора от 24.02.2021 г. No 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, раз- решенных субъектом персональных данных для распространения [11] (далее – приказ Роскомнадзора). Приказ Роскомнадзора вступает в силу с 1 сентября 2021 г. и действует до 1 сентября 2027 г.

Следует отметить, что Федеральный закон от 30.12.2020 г. No 519-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", вводящий необходимость согласия из приказа Роскомнадзора, вступил в силу 1 марта 2021 г., однако требования к содержанию согласия к указанной дате все еще находились в проекте. В отличие от своего проекта [12] утвержденная версия приказа Роскомнадзора носит более лаконичный характер и содержит только требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения. Так, например, исключены примеры биометрических ПДн.

Импортозамещение в КИИ

В апреле 2021 г. было опубликовано заключение об оценке регулирующего воздействия и очередные изменения к проекту постановления Правительства РФ "Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции" [13] (далее – проект ПП РФ). К проекту ПП РФ также приложен порядок перехода на преимущественное использование российского программного обеспечения (далее – ПО), телекоммуникационного оборудования и радиоэлектронной продукции (далее при совместном упоминании – ПО и оборудование).

По итогам оценки регулирующего воздействия было получено отрицательное заключение. Так, в заключении отмечаются следующие основные риски введения такого регуляторного механизма:

  1. Отсутствие анализа имеющегося иностранного оборудования у субъектов КИИ, что не позволяет сделать вывод о сроках реализуемости предлагаемого регулирования. Учитывая значительное количество объектов КИИ, необходимо проработать поэтапное внедрение проектируемого регулирования, в том числе в разрезе категорий объектов КИИ, с разделением сроков реализации по категориям объектов КИИ, а проектируемое регулирование не должно распространяться на объекты КИИ, не отнесенные к значимым.
  2. Проект ПП РФ не дает возможность однозначно определить, каким действием заканчивается переход на отечественное ПО и оборудование для выполнения требований, например, достаточно ли утверждения плана перехода на преимущественное использование российского ПО и оборудования с определенным временным горизонтом.
  3. Разработчиком в сводном отчете отмечается, что расхода средств бюджетов бюджетной системы Российской Федерации и субъектов предпринимательской деятельности при реализации предлагаемого регулирования не потребуется. Однако, например, объем затрат одной только банковской сферы составит, по экспертной оценке Ассоциации банков России, более 700 млрд руб. (без учета затрат на покупку дополнительного серверного оборудования и параллельную поддержку работоспособности двух систем до момента перехода на целевое ПО, затрат на наем и обучение персонала, обучение сотрудников кредитных организаций работе с новым ПО).
  4. Критерии анализа наличия аналогов используемого (планируемого для использования) иностранного ПО и оборудования представляются недостаточно определенными.
  5. Проектом акта не регламентированы вопросы внесения изменений в план перехода на преимущественное использование российского ПО и оборудования, которые могут быть необходимы по не зависящим от субъектов КИИ причинам.

Неприменение Банком России мер в отношении некредитных финансовых организаций

Информационным письмом от 27.04.2021 г. No ИН-017-56/28 [14] Банк России сообщает о неприменении в период до 31 декабря 2021 г. мер в случае нарушения некредитными финансовыми организациями требований положения Банка России от 17.04.2019 г. No 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее – положение No 684-П). Напомним, что ранее Банк России уведомлял о неприменении мер до 01.07.2021 г. в случае нарушения требований положения No 684-П.

Категорирование в сфере здравоохранения

Министерство здравоохранения Российской Федерации 21 апреля 2021 г. опубликовало методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения [15]. Указанные методические рекомендации согласованы ФСТЭК России.

Обзор операций, совершенных без согласия клиентов финансовых организаций за 2020 г.

В апреле 2021 г. Банк России опубликовал обзор операций, совершенных без согласия клиентов финансовых организаций за 2020 г. [16]. Согласно отчету, доля социальной инженерии в общем объеме несанкционированных операций снизилась по итогам 2020 г. до 61,8% (с 68,6% в 2019 г.).


Рис. 2. Динамика количества и объема операций без согласия клиента. Источник: ФинЦЕРТ Департамента информационнои безопасности Банка России

  1. https://regulation.gov.ru/Projects/List#npa=114305 
  2. https://regulation.gov.ru/Projects/List#npa=114881 
  3. См. Заведенская А.А. Обзор изменений в законодательстве. Январь, февраль – 2021 // Information Security/ Информационная безопасность. 2021. No 1. С. 14–19.
  4. https://regulation.gov.ru/Projects/List#npa=114484 
  5. https://regulation.gov.ru/Projects/List#npa=114371 
  6. https://regulation.gov.ru/Projects/List#npa=114448 
  7. http://publication.pravo.gov.ru/Document/View/0001202103090026 
  8. http://www.cbr.ru/Collection/Collection/File/32122/Attack_2019-2020.pdf 
  9. https://regulation.gov.ru/projects#npa=111958 
  10. См. Кузнецова К.А. Обзор изменений в законодательстве. Декабрь-2020 // Information Security/ Информационная безопасность. 2020. No 6. С. 6–7.
  11. http://publication.pravo.gov.ru/Document/View/0001202104210039 
  12. См. Заведенская А.А. Обзор изменений в законодательстве. Январь, февраль – 2021 // Information Security/ Информационная безопасность. 2021. No 1. С. 14–19. 
  13. https://regulation.gov.ru/Projects/List#npa=112842 
  14. https://cbr.ru/StaticHtml/File/117620/20210427_in_017_56-28.pdf 
  15. https://clck.ru/UojaE 
  16. https://cbr.ru/Collection/Collection/File/32190/Review_of_transactions_2020.pdf 
Темы:Право и нормативыЖурнал "Информационная безопасность" №2, 2021

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Правовые риски взаимодействия оператора ПДн с обработчиком в случае утечки данных
    Денис Лукаш, управляющий партнер юридической компании Lukash & Partners
    На каких основаниях операторы ПДн привлекаются к ответственности и каким образом они могут себя обезопасить от штрафов, если утечка происходит по вине обработчиков данных?
  • Закон об ИТ-аутсорсинге: как он отразится на ИБ?
    Максим Захаров, управляющий партнер юридической фирмы Bishenov&Partners
    Участники финансового рынка все чаще прибегают к аутсорсингу ИТ-услуг – почему произошел этот переход и к чему он приведет?
  • Обзор изменений в законодательстве. Ноябрь-декабрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Порядок перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ, ужесточение административной и уголовной ответственности в области обработки ПДн и другие важные изменения
  • Обзор изменений в ИБ-законодательстве. Сентябрь, октябрь 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Перечень НПА для оценки применения по ПДн. Требования по защите информации для провайдеров хостинга. Проекты стандартов по КИИ.  Сертификация безопасной разработки ПО для изготовителей СрЗИ. Изменения в порядке ведения реестра значимых объектов КИИ. 
  • Обзор изменений в законодательстве в июле и августе 2023 г.
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП
  • Обзор изменений в законодательстве в мае и июне 2023 года
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в трансграничную передачу ПДн, в положение о ФСТЭК, ограничения на мессенджеры, методические рекомендации к процессу управления уязвимостями и др.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать