В обзоре изменений законодательства за этот период рассмотрим предлагаемые изменения в системе сертификации средств защиты от ФСТЭК России, вступившие в силу изменения в законодательство о персональных данных, а также проект требования к новой информационной системе РКН. Немного поговорим об увеличении срока согласования надзорными органами документации на ГИС, о форме квалифицированного сертификата ключа проверки ЭП и об аналитике типов компьютерныхм атак от Банка России.
Автор: Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности
ФСТЭК России 22 марта 2021 г. представила на общественное обсуждение проект приказа "О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. No 55" [1] (далее – проект приказа).
Проектом приказа предусмотрено внесение изменений в систему сертификации ФСТЭК России, направленных на уточнение требований при сертификации средств защиты информации (далее – СрЗИ) и маркировании СрЗИ. Приведем некоторые из проектных изменений:
Позднее, 8 апреля 2021 г., проект приказа [2] был повторно опубликован в несколько иной форме. Упомянутые выше изменения все так же остались актуальными, однако дополнительно появилось требование о ежегодном отчете заявителями во ФСТЭК России по произведенным и/или промаркированным сертифицированным СрЗИ. Предлагается также проводить сертификационные испытания по сокращенной программе при продлении срока действия сертификата.
С 1 марта в законную силу вступил Федеральный закон "О внесении изменений в Федеральный закон "О персональных данных" от 30.12.2020 г. No 519-ФЗ, меняющий понятийный аппарат Федерального закона "О персональных данных" от 27.07.2006 г. No 152-ФЗ, обзор которого мы делали в предыдущем номере [3].
Кроме того, с 27.03.2021 г. вступили в силу изменения в ст. 13.11 КоАП РФ, устанавливающую ответственность за нарушение требований по обработке персональных данных:
В марте 2021 г. Роскомнадзор опубликовал проект ведомственного приказа "Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций" [4] (далее – проект приказа РКН). Изначальная версия проекта данного приказа получила большое количество отрицательных предложений [5] по итогам размещения его текста, ввиду чего было принято решение о доработке проекта приказа.
Напомним, что проект приказа РКН направлен на реализацию ст. 10.1 Федерального закона от 27 июля 2006 г. No 152-ФЗ "О персональных данных", вступившей в силу 1 марта 2021 г. Согласно данной статье с 1 июля 2021 г. согласие на обработку персональных данных (далее – ПДн), разрешенных субъектом ПДн для распространения, может быть предоставлено оператору с использованием информационной системы Роскомнадзора (далее – ИС). Проект приказа РКН как раз устанавливает правила использования данной ИС. Стоит отметить также, что на момент написания обзора изменений законодательства ИС еще не введена в действие.
ИС должна обеспечить:
Минцифры России 25 марта 2021 г. опубликовало проект постановления Правительства РФ "О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации" [6] (далее – проект постановления).
Проектом постановления предусматривается увеличение срока рассмотрения Минцифры России, ФСБ России и ФСТЭК России технических заданий на создание государственных информационных систем, а также срока рассмотрения ФСБ России и ФСТЭК России моделей угроз безопасности информации с 10 до 20 рабочих дней.
9 марта 2021 г. официально опубликован приказ ФСБ России от 29.01.2021 г. No 31 "О внесении изменений в приказ ФСБ России от 27 декабря 2011 г. No 795 "Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи" [7] (далее – приказ ФСБ России No 31). Приказ ФСБ России No 31 вступает в силу с 01.09.2021 г. и действует до 01.09.2027 г.
Согласно приказу ФСБ России No 31 форма квалифицированного сертификата ключа проверки электронной подписи (далее – ЭП) приведена к актуальным требованиям в законодательстве. Так, например, в сертификат включена информация об ОГРН индивидуального предпринимателя (в соответствующем случае). В форме также появилось разделение юридических лиц на российские и нероссийские, а также отмечена необходимость указания в идентификаторе ключа проверки ЭП на то, что он выдан при личном присутствии или же идентификация лица производилась удаленно.
В марте 2021 г. Банк России опубликовал обзор "Основные типы компьютерных атак в кредитно-финансовой сфере в 2019–2020 гг." [8].
Обзор содержит аналитику атак как на сами организации кредитно-финансовой сферы, так и на их клиентов. В обзоре рассмотрены атаки с использованием вредоносного программного обеспечения, программ-шифровальщиков, методов социальной инженерии, атаки типа "отказ в обслуживании" и атаки на банкоматы. Даются также рекомендации по предотвращению компьютерных атак от ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России).
Рис. 1. Распределение вредоносного ПО по классам, 2019–2020 годы (единиц). Источник: ФинЦЕРТ Департамента информационнои безопасности Банка России
В апреле 2021 г. был опубликован проект порядка аттестации объектов информатизации и приказ Роскомнадзора, устанавливающий требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения. Банк России сообщил о неприменимости мер в случае нарушения требований к обеспечению защиты информации некредитными финансовыми организациями. Импортозамещение в КИИ получило отрицательное заключение регулирующего воздействия, а Минздрав России опубликовал Методические рекомендации по категорированию объектов КИИ сферы здравоохранения.
В апреле 2021 г. опубликован доработанный по итогам обсуждения проект приказа ФСТЭК России "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" [9] (далее – проект приказа ФСТЭК России).
Напомним, что первая версия проекта приказа ФСТЭК России была опубликована в декабре 2020 г. [10]. В новой версии проекта приказа ФСТЭК России исключены требования к аттестационным испытаниям распределенных систем, имеющих клиент-серверную архитектуру, в том числе функционирующих на базе информационно-телекоммуникационной инфраструктуры центров обработки данных. С исключением данного требования также ушли и описания требований к выборке типовых аттестуемых клиентских автоматизированных рабочих мест. Следует отметить, что в целом проект приказа ФСТЭК России также не описывает порядок организации и проведения работ по аттестации выделенного набора сегментов объектов информатизации (далее – ОИ), реализующих полную технологию обработки информации.
Требования проекта приказа ФСТЭК России в обязательном порядке предполагается применять при аттестации:
В случае принятия владельцами решения о проведении оценки соответствия систем защиты информации в форме аттестации требованиями проекта приказа ФСТЭК России необходимо будет также руководствоваться для:
Отметим также несколько основных изменений, предлагаемых проектом приказа ФСТЭК России:
Требования проекта приказа ФСТЭК России предлагается применять с 1 сентября 2021 г.
В апреле 2021 г. официально опубликован приказ Роскомнадзора от 24.02.2021 г. No 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, раз- решенных субъектом персональных данных для распространения [11] (далее – приказ Роскомнадзора). Приказ Роскомнадзора вступает в силу с 1 сентября 2021 г. и действует до 1 сентября 2027 г.
Следует отметить, что Федеральный закон от 30.12.2020 г. No 519-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", вводящий необходимость согласия из приказа Роскомнадзора, вступил в силу 1 марта 2021 г., однако требования к содержанию согласия к указанной дате все еще находились в проекте. В отличие от своего проекта [12] утвержденная версия приказа Роскомнадзора носит более лаконичный характер и содержит только требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения. Так, например, исключены примеры биометрических ПДн.
В апреле 2021 г. было опубликовано заключение об оценке регулирующего воздействия и очередные изменения к проекту постановления Правительства РФ "Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции" [13] (далее – проект ПП РФ). К проекту ПП РФ также приложен порядок перехода на преимущественное использование российского программного обеспечения (далее – ПО), телекоммуникационного оборудования и радиоэлектронной продукции (далее при совместном упоминании – ПО и оборудование).
По итогам оценки регулирующего воздействия было получено отрицательное заключение. Так, в заключении отмечаются следующие основные риски введения такого регуляторного механизма:
Информационным письмом от 27.04.2021 г. No ИН-017-56/28 [14] Банк России сообщает о неприменении в период до 31 декабря 2021 г. мер в случае нарушения некредитными финансовыми организациями требований положения Банка России от 17.04.2019 г. No 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее – положение No 684-П). Напомним, что ранее Банк России уведомлял о неприменении мер до 01.07.2021 г. в случае нарушения требований положения No 684-П.
Министерство здравоохранения Российской Федерации 21 апреля 2021 г. опубликовало методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения [15]. Указанные методические рекомендации согласованы ФСТЭК России.
В апреле 2021 г. Банк России опубликовал обзор операций, совершенных без согласия клиентов финансовых организаций за 2020 г. [16]. Согласно отчету, доля социальной инженерии в общем объеме несанкционированных операций снизилась по итогам 2020 г. до 61,8% (с 68,6% в 2019 г.).
Рис. 2. Динамика количества и объема операций без согласия клиента. Источник: ФинЦЕРТ Департамента информационнои безопасности Банка России