Обзор изменений в законодательстве. Июль, август - 2024
Анастасия Заведенская, 27/09/24
Изменения правил категорирования ОКИИ. Защита ГИС и ЗОКИИ от DoS. Изменения в 152-ФЗ, 98-ФЗ и КоАП. Защита ГИС. Переход ОКИИ на доверенные ПАК. Госконтроль за ПДн. Требования к уничтожению и обезличиванию ПДн. Методические рекомендации ЦБ по показателям уровня риска ИБ.
Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
В обзоре изменений законодательства за июль поговорим о проекте изменений в правила категорирования объектов КИИ, о предложениях по усилению защиты ГИС и значимых объектов КИИ от угроз типа “отказ в обслуживании", о проекте Росархива по изменениям положения о порядке обращения со служебной информацией ограниченного распространения, а также о проектах изменений в КоАП РФ и в федеральные законы “О персональных данных" и “О коммерческой тайне".
Изменения правил категорирования объектов КИИ
ФСТЭК России 10 июля 2024 г. представила к общественному обсуждению проект постановления Правительства Российской Федерации "О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации" [1]. Проектом ПП РФ предлагается исключить из правил категорирования объектов критической информационной инфраструктуры формирование перечня объектов, подлежащих категорированию. Ввиду чего будут скорректированы следующие нормы:
- от комиссии по категорированию не будет требоваться формирование предложений для включения в перечень объектов КИИ, а также оценка необходимости категорирования вновь создаваемых информационных систем, автоматизированных систем управления, информационно-телекоммуникационных сетей;
- субъектам КИИ не потребуется утверждать перечень объектов КИИ, подлежащих категорированию, и направлять его в ФСТЭК России;
- исключены положения о том, что максимальный срок категорирования не должен превышать одного года со дня утверждения субъектом КИИ перечня объектов КИИ (внесения дополнений, изменений).
В пояснительной записке к проекту ПП РФ отмечается, что в соответствии с подп. "ж" п. 10 правил категорирования, государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, сформированы по согласованию с ФСТЭК России перечни типовых отраслевых объектов КИИ.
Указанные перечни типовых отраслевых объектов КИИ используются в качестве исходных данных при категорировании, что позволяет решить проблему полноты категорирования информационных и автоматизированных систем субъектов КИИ. Учитывая изложенное, предусмотренная правилами категорирования разработка субъектами КИИ перечней объектов КИИ, подлежащих категорированию, представляется избыточной.
Усиление защиты ГИС и значимых объектов КИИ от угроз типа "отказ в обслуживании"
Для общественного обсуждения 17 июля 2024 г. был представлен проект приказа ФСТЭК России "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239" [2].
Проектом приказа ФСТЭК России предлагается внести изменения в следующие нормативные-правовые акты:
- Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17;
- Требования по обеспечению безопасности значимых объектов КИИ Российской Федерации, утвержденные приказом ФСТЭК России от 25 декабря 2017 г. № 239.
Проект приказа ФСТЭК России направлен на установление требований по защите ГИС и значимых объектов КИИ от угроз типа "отказ в обслуживании". Меры по защите ГИС и значимых объектов КИИ от угроз типа "отказ в обслуживании" принимаются для систем, имеющих интерфейсы и сервисы, постоянно доступные через Интернет. Технические меры включают в себя: идентификацию и назначение интерфейсов и сервисов, выявление публичных сетевых адресов и доменных имен, исключение неиспользуемых адресов, формирование матрицы коммуникаций, определение сетевых адресов для взаимодействия, использование программных и аппаратных средств для анализа и фильтрации сетевых запросов, наличие двукратного резерва по пропускной способности каналов, использование данных GeoIP, хранение информации о фактах реализации угроз в течение трех лет.
Организационные меры включают:
- взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), а также национальной системой противодействия DDoS-атакам;
- взаимодействие с провайдерами и организациями связи, при этом эксплуатируемые такими компаниями программно-аппаратные средства, участвующие в контроле, фильтрации и блокировании сетевых запросов, обладающих признаками угроз типа "отказ в обслуживании", должны быть расположены на территории Российской Федерации;
- разработку регламента взаимодействия с провайдером хостинга или организацией, предоставляющей услуги связи, по совместному блокированию угроз типа "отказ в обслуживании";
- предоставление доступа к интерфейсам и сервисам после контроля и фильтрации трафика;
- возможность размещения систем в защищенной инфраструктуре провайдера при невозможности самостоятельной защиты.
Изменения в Федеральный закон "О персональных данных"
Законопроект № 679980-8 "О внесении изменений в ст. 9 Федерального закона "О персональных данных" и ст. 10 Закона Российской Федерации "О защите прав потребителей" [3] 24 июля 2024 г. был внесен в Государственную думу.
Согласно законопроекту согласие на обработку персональных данных должно быть оформлено отдельно от иных информаций и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.
Законопроектом устанавливается запрет на ограничение доступа потребителя к информации о потребительских свойствах товара, цене, гарантийном сроке, правилах и условиях работы, сроке службы, сроке годности и иной информации в связи с отказом потребителя предоставить персональные данные за исключением случаев, когда обязанность предоставления таких данных предусмотрена законодательством РФ.
Изменения в КоАП РФ
В июле 2024 г. ФСТЭК России представила к общественному обсуждению проект федерально закона [4] "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях". Общественные обсуждения были завершены 24 июля 2024 г.
Согласно доработанному по итогам обсуждений проекту закона предлагается изменение размеров административных штрафов в ст. 13.12 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). Детальные изменения представлены в табл.
Служебная информация ограниченного распространения
Росархив 30 июля 2024 г. представил к общественному обсуждению проект постановления Правительства Российской Федерации "О внесении изменений в Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности" [5].
К служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью, а также поступившая в организации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами.
К служебной информации ограниченного распространения также предлагается относить несекретную информацию, распространение которой может создать потенциальную угрозу интересам Российской Федерации, содержащуюся в документах Архивного фонда Российской Федерации, хранящихся в государственных, муниципальных архивах и архивах федеральных органов исполнительной власти, иных федеральных государственных органов, уполномоченного органа управления использованием атомной энергии и уполномоченного органа по космической деятельности.
Перечень такой несекретной информации будет формироваться федеральным органом исполнительной власти в сфере архивного дела и делопроизводства по предложениям заинтересованных федеральных органов исполнительной власти, иных федеральных государственных органов, уполномоченного органа управления использованием атомной энергии и уполномоченного органа по космической деятельности.
Изменения в Федеральный закон "О коммерческой тайне"
Проект федерального закона "О внесении изменения в ст. 5 Федерального закона "О коммерческой тайне" был опубликован 3 июля 2024 г. [6].
Проектом федерального закона предлагается дополнить сведения, которые не могут составлять коммерческую тайну, сведениями о наличии и количестве в составе табачных изделий и никотинсодержащей продукции ингредиентов, приводящих к усилению никотиновой зависимости, оказывающих токсическое воздействие, имеющих канцерогенные, мутагенные, репротоксические свойства, либо приобретающие такие свойства в результате их нагревания и (или) тления.
Август-2024
В обзоре изменений законодательства за август рассмотрим, какие документы были утверждены для использования при госконтроле за обеспечением защиты ГТ, новые требования по защите информации в ГИС, проект изменений в порядке перехода субъектов КИИ на доверенные ПАК, проект профессионального стандарта специалиста по обеспечению безопасности значимых объектов КИИ, порядок рассмотрения результатов категорирования для субъектов КИИ, осуществляющих деятельность в области химической промышленности, изменения в перечень индикаторов риска нару шения обязательных требований при осуществлении государственного контроля за обработкой ПДн, новые требования по уничтожению и обезличиванию ПДн, а также методические рекомендации Банка России по показателям уровня риска ИБ.
Документы, используемые при госконтроле за обеспечением защиты ГТ
Приказ ФСТЭК России от 27.06.2024 № 127 "Об утверждении форм документов, используемых ФСТЭК России и ее территориальными органами при осуществлении и по результатам федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России" [7] был официально опубликован 1 августа 2024 г.
Приказом ФСТЭК России от 27.06.2024 № 127 утверждены:
- форма приказа о проведении плановой (внеплановой) выездной проверки в рамках осуществления федерального государственного контроля за обеспечением защиты государственной тайны;
- форма акта проверки по итогам осуществления федерального государственного контроля за обеспечением защиты ГТ;
- форма предписания о приостановлении работ, связанных с использованием сведений, составляющих ГТ;
- форма предписания об устранении выявленных нарушений требований законодательства РФ о ГТ.
26 августа 2024 г. был официально опубликован Приказ ФСТЭК России от 28.06.2024 № 130 "Об утверждении Порядка подготовки планов проведения ФСТЭК России и ее территориальными органами проверок при осуществлении федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России и оформления результатов проверки (в том числе требований к содержанию акта проверки)" [8].
Новые требования по защите информации, содержащейся в ГИС
На официальном сайте ФСТЭК России в августе 2024 г. был представлен проект приказа ФСТЭК России "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений" [9].
Проектом приказа ФСТЭК России предлагается признать утратившим силу приказ ФСТЭК России от 13 февраля 2013 г. № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
Требования, определяемые проектом приказа ФСТЭК России, будут являться обязательными для защиты содержащейся в государственных информационных системах (ГИС), иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений информации ограниченного доступа, не содержащей сведения, составляющие ГТ, от несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней.
Согласно проекту приказа ФСТЭК России, мероприятия по защите информации, содержащейся в ГИС, должны предусматривать:
- определение целей защиты информации;
- разработку и утверждение политики защиты информации;
- назначение лиц, ответственных за защиту информации;
- утверждение внутренних организационно-распорядительных документов, регламентирующих порядок проведения мероприятий по защите информации, а также устанавливающих с учетом особенностей деятельности операторов требования к реализации мер по защите информации;
- выделение ресурсов, необходимых для защиты информации;
- управление деятельностью по защите информации.
Стоит отметить, что проектом приказа ФСТЭК России в требования к защите информации в ГИС добавляются новые положения, ранее не установленные приказом ФСТЭК России от 13 февраля 2013 г. № 17. Так, например, добавляются нормы, оперирующие методическими документами, утвержденными ФСТЭК России за последние годы.
Операторам ГИС потребуется проводить оценку состояния защиты информации на основе определения:
- а) показателя, характеризующего текущее состояние защиты информации от актуальных угроз безопасности информации, – не реже одного раза в шесть месяцев;
- б) показателя, характеризующего эффективность проведения мероприятий и реализации мер по защите информации (показатель уровня зрелости), – не реже одного раза в год.
Для расчета значений показателей состояния защиты информации и уровня зрелости применяются методические документы, утвержденные ФСТЭК России. Полученные результаты оценки показателей состояния защиты информации и уровня зрелости не позднее чем в течение пяти рабочих дней после их расчета направляются оператором в ФСТЭК России.
Процессы управление уязвимостями и тестирования обновлений программного обеспечения должны быть организованы на основе методических документов, утвержденных ФСТЭК России.
Изменения в порядке перехода субъектов КИИ на преимущественное применение доверенных ПАК
Проект постановления Правительства Российской Федерации "О внесении изменений в постановление Правительства Российской Федерации от 14 ноября 2023 г. № 1912" [10] был представлен к общественному обсуждению 5 августа 2024 г.
Проект постановления Правительства Российской Федерации уточняет критерии признания программно-аппаратных комплексов доверенными:
- сведения о ПАК или об используемой в составе ПАК радиоэлектронной продукции (в том числе телекоммуникационном оборудовании), являющейся конечной продукцией, должны содержаться в едином реестре российской радиоэлектронной продукции или в реестре российской промышленной продукции;
- в случае реализации в ПАК функции защиты информации, такой ПАК или используемая в составе ПАК радиоэлектронная продукция (в том числе телекоммуникационное оборудование) должны соответствовать требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом).
Проект постановления Правительства Российской Федерации корректирует разд. 3, содержащий сведениях о ПАК, применяемых субъектом КИИ, в форме плана перехода на преимущественное применение субъектам КИИ доверенных ПАК на принадлежащих им значимых объектах КИИ.
Профессиональный стандарт специалиста по обеспечению безопасности значимых объектов КИИ
Проект приказа Минтруда России "Об утверждении профессионального стандарта "Специалист по обеспечению безопасности значимых объектов критической информационной инфраструктуры" [11] был представлен для общественного обсуждения 20 августа 2024 г. Обобщенные трудовые функции, входящие в профессиональный стандарт:
- обеспечение функционирования средств защиты информации значимых объектов КИИ;
- реализация средствами защиты информации требований обеспечения информационной безопасности значимых объектов КИИ;
- управление инцидентами информационной безопасности на значимых объектах КИИ;
- разработка систем защиты информации значимых объектов КИИ;
- контроль обеспечения информационной безопасности значимых объектов КИИ;
- управление обеспечением информационной безопасности значимых объектов КИИ.
Рассмотрение результатов категорирования для субъектов КИИ в области химической промышленности
Информационным сообщением от 12.08.2024 № 240/83/2028 [12] ФСТЭК России сообщает следующее.
В части субъектов КИИ, осуществляющих деятельность в области химической промышленности, являющихся федеральными органами исполнительной власти, подведомственными им учреждениями, а также организациями, владеющими пятнадцатью и более объектами КИИ, рассмотрение перечней объектов КИИ, подлежащих категорированию, и сведений о присвоении объектам КИИ одной из категорий значимости либо неприсвоения им одной из таких категорий осуществляется центральным аппаратом ФСТЭК России.
В части субъектов КИИ, осуществляющих деятельность в области химической промышленности, за исключением указанных организаций, рассмотрение перечней и сведений осуществляется управлением ФСТЭК России по федеральному округу, на территории которого расположены указанные субъекты КИИ.
Субъектам КИИ, осуществляющим деятельность в области химической промышленности, рекомендуется направлять перечни и сведения в центральный аппарат ФСТЭК России или управление ФСТЭК России по федеральному округу, на территории которого они расположены, с учетом вышеизложенного.
Перечень индикаторов риска нарушения обязательных требований при осуществлении государственного контроля за обработкой ПДн
Приказ Минцифры России от 01.08.2024 № 682 "О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187" [13] был официально опубликован 19 августа 2024 г.
Приказом Минцифры России от 01.08.2024 № 682 в перечень индикаторов риска нарушения обязательных требований при осуществлении государственного контроля (надзора) за обработкой персональных данных добавлено:"Установление контролирующим органом в течение календарного года двух и более фактов несоответствия правилам применения информационных технологий предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей информационно-телекоммуникационной сети "Интернет", находящихся на территории Российской Федерации, размещенным на информационном ресурсе, информации, связанной с применением рекомендательных технологий, полученной по запросу Роскомнадзора…».
Требования к уничтожению и обезличиванию ПДн
Федеральный закон от 08.08.2024 № 233-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и Федеральный закон "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в ст. 6 и 10 Федерального закона "О персональных данных" [14] официально опубликован 8 августа 2024 г.
Федеральный закон от 08.08.2024 № 233-ФЗ включает в Федеральный закон "О персональных данных" положение о том, что обеспечение безопасности ПДн достигается, в частности, применением для уничтожения ПДн прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации.
С 1 сентября 2025 г. Федеральный закон "О персональных данных" будет дополнен статьей 13.1 об особенностях обработки ПДн, полученных в результате обезличивания ПДн, при формировании составов данных и предоставления доступа к ним. В статье говорится о требованиях к обезличиванию ПДн, методах обезличивания ПДн и порядке обезличивания ПДн, которые должны быть установлены Правительством РФ по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России). Кроме того, с 1 сентября 2025 г. уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) наделяется полномочиями по установлению требований к обезличиванию ПДн и методы обезличивания ПДн.
Методические рекомендации Банка России по показателям уровня риска ИБ
На сайте Банка России в разделе "Информационная безопасность" опубликованы "Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без добровольного согласия клиента и связанных с заключением кредитных договоров (договоров займа) без добровольного согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска информационной безопасности" [15] от 20 августа 2024 г. № 13-МР.
Методические рекомендации разработаны в целях обеспечения единства подходов по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без добровольного согласия клиента, а именно без согласия клиента или с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием, и связанных с заключением договоров на получение кредитных (заемных) денежных средств без добровольного согласия клиента, а именно без согласия клиента или с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием, а также установлению пороговых значений и расчету фактических значений количественных показателей, направленных на измерение и контроль уровня риска ИБ в определенный момент времени.
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=148976
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=149172
- https://sozd.duma.gov.ru/bill/679980-8
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=148828
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=149447
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=149172
- http://publication.pravo.gov.ru/document/0001202408010009
- http://publication.pravo.gov.ru/document/0001202408260020
- https://fstec.ru/dokumenty/vse-dokumenty/proekty/proekt-prikaza-fstek-rossii-12
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=149577
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=150021
- https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-12-avgusta-2024-g-n-240-83-2028
- http://publication.pravo.gov.ru/document/0001202408190003
- http://publication.pravo.gov.ru/document/0001202408080031?index=1
- https://cbr.ru/information_security/acts/