Устанавливаются новые правила маркирования СрЗИ, информирования ФСБ России о компьютерных инцидентах, использования информационной системы Роскомнадзора.
Автор: Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности
В июле 2021 г. ФСТЭК России выступила с законодательными инициативами изменений нормативных требований в части категорирования объектов КИИ, а также ведения реестра значимых объектов КИИ. Была опубликована информация об изменении порядка маркирования сертифицированных средств защиты информации, а также о применении сертифицированных средств в автоматизированных системах управления. Для регламентации в нормативно-правовых актах было предложено определение, какие информационные системы являются государственными и как их нужно классифицировать. Об этом и других изменениях читайте в июльском обзоре изменений законодательства по информационной безопасности за 2021 г.
Проект постановления Правительства Российской Федерации "О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. No 127" [1] (далее – проект постановления) опубликован 22 июля 2021 г.
Проектом постановления предлагается:
Следом, 29 июля 2021 г., ФСТЭК России опубликовала проект приказа "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. No 227" [2] (далее – проект приказа).
Проектом приказа предлагаются следующие изменения:
l разделение сфер энергетики и топливно-энергетического комплекса при обозначении для значимого объекта КИИ сферы (области) деятельности, в которой он функционирует;
Информационным сообщением "О порядке маркирования сертифицированных средств защиты информации в системе сертификации ФСТЭК России" от 22 июля 2021 г. N 240/24/3487 [3] ФСТЭК России сообщает о подготовке проекта изменений в Положение о системе сертификации средств защиты информации (далее – СрЗИ), утвержденное приказом ФСТЭК России от 3 апреля 2018 г. No 55, предусматривающим в том числе изменение порядка маркирования сертифицированных СрЗИ.
Сообщение поясняет новый порядок маркирования СрЗИ идентификатором, состоящим из прописных букв и групп цифр. Описанный порядок маркирования должен применяться с момента опубликования информационного сообщения. Специальные защитные знаки для маркирования сертифицированных средств СрЗИ больше выдаваться не будут.
Организации, имеющие запас специальных защитных знаков, могут продолжить маркирование производимых ими сертифицированных СрЗИ специальными защитными знаками до израсходования имеющихся знаков. При этом изготовители СрЗИ должны вести журнал, в котором будут регистрироваться промаркированные образцы СрЗИ с указанием идентификаторов, а также ежегодно, не позднее 1 февраля, представлять в ФСТЭК России отчет о количестве произведенных СрЗИ за год.
Приказ ФСТЭК России от 15.03.2021 No 46 "О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России 14 марта 2014 г. No 31" [4], опубликован 1 июля 2021 г.
Изменения направлены на нормализацию требований по использованию сертифицированных СрЗИ в автоматизированных системах управления (далее – АСУ) действующей системы сертификации ФСТЭК России. То есть регламентировано использование СрЗИ, соответствующих тому или иному уровню доверия, в зависимости от класса защищенности АСУ.
Проект федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и Федеральный закон "О техническом регулировании" [5] (далее – проект ФЗ) опубликован 26 июля 2021 г.
Проектом ФЗ предлагается наконец регламентировать дефиницию государственной информационной системы (далее – ГИС), а также жизненный цикл информационной системы. В классификации информационных систем вводится деление на федеральные ГИС, региональные ГИС, муниципальные и иные информационные системы.
Проект постановления Правительства Российской Федерации "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности" [6] был опубликован 27 июля 2021 г.
Основное предлагаемое изменение – запрет на осуществление лицензируемой деятельности иностранными юридическими лицами в области разработки криптографических СрЗИ и средств негласного получения информации. Предполагается вступление изменений в силу с 1 марта 2022 г.
Проект постановления Правительства Российской Федерации "О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. No 79" [7] опубликован 14 июля 2021 г.
Основные предлагаемые для внесения изменения:
Постановление Правительства Российской Федерации от 29.06.2021 г. No 1044 "Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере электронной подписи" [8] официально опубликовано и вступило в силу 1 июля 2021 г.
Государственный контроль (надзор) осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации. Государственный контроль (надзор) осуществляется без проведения плановых контрольных (надзорных) мероприятий, только посредством проведения внеплановых мероприятий, таких как инспекционный визит, документарная проверка, выездная проверка.
Принят и введен в действие приказом Банка России от 23 июля 2021 г. No ОД-1536 стандарт Банка России "Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования" СТО БР ФАПИ.ПАОК-1.0-2021 [9] (далее – стандарт).
Стандарт рекомендован для использования при создании и оценке соответствия программных средств, предназначенных для безопасного обмена финансовыми сообщениями в среде открытых банковских интерфейсов. Стандарт носит рекомендательный характер и предназначен для:
В июле 2021 г. ФСТЭК России представила сведения о национальных стандартах, разработанных в результате деятельности технического комитета по стандартизации "Защита информации" (ТК 362), а именно проекты трех ГОСТов:
В обзоре изменений нормативно-правовых актов в области ИБ за август 2021 г. поговорим об изменениях от ФСТЭК России в порядке аттестации, об уточнении порядка информирования ФСБ России о компьютерных инцидентах, о потенциальных изменениях в перечне государств, обеспечивающих адекватную защиту ПДн, и об информационной системе Роскомнадзора, предназначенной для обеспечения получения оператором согласия на обработку ПДн, разрешенных субъектом ПДн для распространения.
Приказ ФСТЭК Росси от 29.04.2021 г. No 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" [13] (далее – приказ ФСТЭК России No 77) официально опубликован 10 августа 2021 г. Приказ ФСТЭК России No 77 вступил в силу 1 сентября 2021 г.
Порядок, установленный приказом ФСТЭК России No 77, распространяется на аттестацию следующих объектов информатизации:
По решению руководителя федерального органа государственной власти, органа государственной власти субъекта РФ, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации может проводиться структурным подразделением (работниками) этого органа, ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при выполнении требований, установленных приказом ФСТЭК России No 77 для проведения работ по аттестации.
Приказом ФСТЭК России No 77 определен минимальный состав аттестационной комиссии – руководитель комиссии и не менее двух экспертов, установлен максимальный срок проведения работ по аттестации – 4 месяца. При этом не допускается назначение экспертов органов по аттестации из числа работников, участвующих в разработке и/или внедрении системы защиты информации объекта информатизации.
Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия должен представить во ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:
Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации. При этом владелец аттестованного объекта информатизации должен проводить периодический контроль уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте. Протоколы контроля защиты информации не реже одного раза в два года должны представляться владельцем объекта информатизации во ФСТЭК России (территориальный орган ФСТЭК России). Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет во ФСТЭК России сведения об аттестованных им объектах информатизации.
В случае развития (модернизации) объекта информатизации, приводящей к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и/или к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация. В случае развития (модернизации) объекта информатизации, не приводящей к указанным выше изменениям, проводятся дополнительные аттестационные испытания. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.
ФСБ России 26 августа 2021 г. был опубликован проект приказа "О внесении изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации", утвержденный приказом ФСБ России от 19 июня 2019 г. No 282 [14].
Предлагаемые изменения:
ФСТЭК России 4 августа 2021 г. опубликовала проект федерального закона "О внесении изменений в статью 16 Федерального закона "Об информации, информационных технологиях и о защите информации" [15] (далее – проект ФЗ).
Проект ФЗ предлагает явно закрепить применение единых требований о защите информации, обладателями которой являются государственные органы, любыми операторами ИС, независимо от отраслевой и ведомственной принадлежности, обрабатывающими такую информацию.
Роскомнадзор представил проект приказа "О внесении изменений в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденный приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. No 274" [16] 19 августа 2021 г.
Из перечня предлагается исключить: Аргентинскую Республику, Королевство Марокко, Республику Чили, Тунисскую Республику. Включить предлагается Народную Республику Бангладеш, Республику Беларусь, Республику Замбию, Республику Нигер, Новую Зеландию, Республику Таджикистан, Республику Узбекистан, Республику Чад, Социалистическую Республику Вьетнам, Тоголезскую Республику, Федеративную Республику Бразилию, Федеративную Республику Нигерию.
Приказ Роскомнадзора от 21.06.2021 No 106 "Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором" [17] (далее – приказ Роскомнадзора No 106) официально опубликован 11 августа 2021 г.
Приказ Роскомнадзора No 106 утверждает правила использования информационной системы Роскомнадзора, предназначенной для обеспечения получения оператором согласия на обработку ПДн, разрешенных субъектом ПДн для распространения (далее – согласие). Приказ Роскомнадзора No 106 вступит в силу с 1 марта 2022 г. и будет действовать до 1 марта 2028 г.
В соответствии с приказом Роскомнадзора No 106 согласие предоставляется и отзывается субъектом ПДн на информационном ресурсе оператора в соответствии с порядком, установленным для Единой системы идентификации и аутентификации (ЕСИА) постановлением Правительства Российской Федерации от 28 ноября 2011 г. No 977. Подписание субъектом ПДн согласия осуществляется с использованием электронной подписи.
После подписания субъектом ПДн согласия с использованием информационной системы Роскомнадзора обеспечивается получение следующей обезличенной информации: