Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
ФСТЭК России 10 июля 2024 г. представила к общественному обсуждению проект постановления Правительства Российской Федерации "О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации" [1]. Проектом ПП РФ предлагается исключить из правил категорирования объектов критической информационной инфраструктуры формирование перечня объектов, подлежащих категорированию. Ввиду чего будут скорректированы следующие нормы:
В пояснительной записке к проекту ПП РФ отмечается, что в соответствии с подп. "ж" п. 10 правил категорирования, государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, сформированы по согласованию с ФСТЭК России перечни типовых отраслевых объектов КИИ.
Указанные перечни типовых отраслевых объектов КИИ используются в качестве исходных данных при категорировании, что позволяет решить проблему полноты категорирования информационных и автоматизированных систем субъектов КИИ. Учитывая изложенное, предусмотренная правилами категорирования разработка субъектами КИИ перечней объектов КИИ, подлежащих категорированию, представляется избыточной.
Для общественного обсуждения 17 июля 2024 г. был представлен проект приказа ФСТЭК России "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239" [2].
Проектом приказа ФСТЭК России предлагается внести изменения в следующие нормативные-правовые акты:
Проект приказа ФСТЭК России направлен на установление требований по защите ГИС и значимых объектов КИИ от угроз типа "отказ в обслуживании". Меры по защите ГИС и значимых объектов КИИ от угроз типа "отказ в обслуживании" принимаются для систем, имеющих интерфейсы и сервисы, постоянно доступные через Интернет. Технические меры включают в себя: идентификацию и назначение интерфейсов и сервисов, выявление публичных сетевых адресов и доменных имен, исключение неиспользуемых адресов, формирование матрицы коммуникаций, определение сетевых адресов для взаимодействия, использование программных и аппаратных средств для анализа и фильтрации сетевых запросов, наличие двукратного резерва по пропускной способности каналов, использование данных GeoIP, хранение информации о фактах реализации угроз в течение трех лет.
Организационные меры включают:
Законопроект № 679980-8 "О внесении изменений в ст. 9 Федерального закона "О персональных данных" и ст. 10 Закона Российской Федерации "О защите прав потребителей" [3] 24 июля 2024 г. был внесен в Государственную думу.
Согласно законопроекту согласие на обработку персональных данных должно быть оформлено отдельно от иных информаций и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.
Законопроектом устанавливается запрет на ограничение доступа потребителя к информации о потребительских свойствах товара, цене, гарантийном сроке, правилах и условиях работы, сроке службы, сроке годности и иной информации в связи с отказом потребителя предоставить персональные данные за исключением случаев, когда обязанность предоставления таких данных предусмотрена законодательством РФ.
В июле 2024 г. ФСТЭК России представила к общественному обсуждению проект федерально закона [4] "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях". Общественные обсуждения были завершены 24 июля 2024 г.
Согласно доработанному по итогам обсуждений проекту закона предлагается изменение размеров административных штрафов в ст. 13.12 Кодекса Российской Федерации об административных правонарушениях (КоАП РФ). Детальные изменения представлены в табл.
Росархив 30 июля 2024 г. представил к общественному обсуждению проект постановления Правительства Российской Федерации "О внесении изменений в Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности" [5].
К служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью, а также поступившая в организации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами.
К служебной информации ограниченного распространения также предлагается относить несекретную информацию, распространение которой может создать потенциальную угрозу интересам Российской Федерации, содержащуюся в документах Архивного фонда Российской Федерации, хранящихся в государственных, муниципальных архивах и архивах федеральных органов исполнительной власти, иных федеральных государственных органов, уполномоченного органа управления использованием атомной энергии и уполномоченного органа по космической деятельности.
Перечень такой несекретной информации будет формироваться федеральным органом исполнительной власти в сфере архивного дела и делопроизводства по предложениям заинтересованных федеральных органов исполнительной власти, иных федеральных государственных органов, уполномоченного органа управления использованием атомной энергии и уполномоченного органа по космической деятельности.
Проект федерального закона "О внесении изменения в ст. 5 Федерального закона "О коммерческой тайне" был опубликован 3 июля 2024 г. [6].
Проектом федерального закона предлагается дополнить сведения, которые не могут составлять коммерческую тайну, сведениями о наличии и количестве в составе табачных изделий и никотинсодержащей продукции ингредиентов, приводящих к усилению никотиновой зависимости, оказывающих токсическое воздействие, имеющих канцерогенные, мутагенные, репротоксические свойства, либо приобретающие такие свойства в результате их нагревания и (или) тления.
Приказ ФСТЭК России от 27.06.2024 № 127 "Об утверждении форм документов, используемых ФСТЭК России и ее территориальными органами при осуществлении и по результатам федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России" [7] был официально опубликован 1 августа 2024 г.
Приказом ФСТЭК России от 27.06.2024 № 127 утверждены:
26 августа 2024 г. был официально опубликован Приказ ФСТЭК России от 28.06.2024 № 130 "Об утверждении Порядка подготовки планов проведения ФСТЭК России и ее территориальными органами проверок при осуществлении федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России и оформления результатов проверки (в том числе требований к содержанию акта проверки)" [8].
На официальном сайте ФСТЭК России в августе 2024 г. был представлен проект приказа ФСТЭК России "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений" [9].
Проектом приказа ФСТЭК России предлагается признать утратившим силу приказ ФСТЭК России от 13 февраля 2013 г. № 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
Требования, определяемые проектом приказа ФСТЭК России, будут являться обязательными для защиты содержащейся в государственных информационных системах (ГИС), иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений информации ограниченного доступа, не содержащей сведения, составляющие ГТ, от несанкционированного доступа, специальных воздействий на такую информацию (носители информации) в целях ее добывания, уничтожения, искажения или блокирования доступа к ней.
Согласно проекту приказа ФСТЭК России, мероприятия по защите информации, содержащейся в ГИС, должны предусматривать:
Стоит отметить, что проектом приказа ФСТЭК России в требования к защите информации в ГИС добавляются новые положения, ранее не установленные приказом ФСТЭК России от 13 февраля 2013 г. № 17. Так, например, добавляются нормы, оперирующие методическими документами, утвержденными ФСТЭК России за последние годы.
Операторам ГИС потребуется проводить оценку состояния защиты информации на основе определения:
Для расчета значений показателей состояния защиты информации и уровня зрелости применяются методические документы, утвержденные ФСТЭК России. Полученные результаты оценки показателей состояния защиты информации и уровня зрелости не позднее чем в течение пяти рабочих дней после их расчета направляются оператором в ФСТЭК России.
Процессы управление уязвимостями и тестирования обновлений программного обеспечения должны быть организованы на основе методических документов, утвержденных ФСТЭК России.
Проект постановления Правительства Российской Федерации "О внесении изменений в постановление Правительства Российской Федерации от 14 ноября 2023 г. № 1912" [10] был представлен к общественному обсуждению 5 августа 2024 г.
Проект постановления Правительства Российской Федерации уточняет критерии признания программно-аппаратных комплексов доверенными:
Проект постановления Правительства Российской Федерации корректирует разд. 3, содержащий сведениях о ПАК, применяемых субъектом КИИ, в форме плана перехода на преимущественное применение субъектам КИИ доверенных ПАК на принадлежащих им значимых объектах КИИ.
Проект приказа Минтруда России "Об утверждении профессионального стандарта "Специалист по обеспечению безопасности значимых объектов критической информационной инфраструктуры" [11] был представлен для общественного обсуждения 20 августа 2024 г. Обобщенные трудовые функции, входящие в профессиональный стандарт:
Информационным сообщением от 12.08.2024 № 240/83/2028 [12] ФСТЭК России сообщает следующее.
В части субъектов КИИ, осуществляющих деятельность в области химической промышленности, являющихся федеральными органами исполнительной власти, подведомственными им учреждениями, а также организациями, владеющими пятнадцатью и более объектами КИИ, рассмотрение перечней объектов КИИ, подлежащих категорированию, и сведений о присвоении объектам КИИ одной из категорий значимости либо неприсвоения им одной из таких категорий осуществляется центральным аппаратом ФСТЭК России.
В части субъектов КИИ, осуществляющих деятельность в области химической промышленности, за исключением указанных организаций, рассмотрение перечней и сведений осуществляется управлением ФСТЭК России по федеральному округу, на территории которого расположены указанные субъекты КИИ.
Субъектам КИИ, осуществляющим деятельность в области химической промышленности, рекомендуется направлять перечни и сведения в центральный аппарат ФСТЭК России или управление ФСТЭК России по федеральному округу, на территории которого они расположены, с учетом вышеизложенного.
Приказ Минцифры России от 01.08.2024 № 682 "О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187" [13] был официально опубликован 19 августа 2024 г.
Приказом Минцифры России от 01.08.2024 № 682 в перечень индикаторов риска нарушения обязательных требований при осуществлении государственного контроля (надзора) за обработкой персональных данных добавлено:"Установление контролирующим органом в течение календарного года двух и более фактов несоответствия правилам применения информационных технологий предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей информационно-телекоммуникационной сети "Интернет", находящихся на территории Российской Федерации, размещенным на информационном ресурсе, информации, связанной с применением рекомендательных технологий, полученной по запросу Роскомнадзора…».
Федеральный закон от 08.08.2024 № 233-ФЗ "О внесении изменений в Федеральный закон "О персональных данных" и Федеральный закон "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в ст. 6 и 10 Федерального закона "О персональных данных" [14] официально опубликован 8 августа 2024 г.
Федеральный закон от 08.08.2024 № 233-ФЗ включает в Федеральный закон "О персональных данных" положение о том, что обеспечение безопасности ПДн достигается, в частности, применением для уничтожения ПДн прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации.
С 1 сентября 2025 г. Федеральный закон "О персональных данных" будет дополнен статьей 13.1 об особенностях обработки ПДн, полученных в результате обезличивания ПДн, при формировании составов данных и предоставления доступа к ним. В статье говорится о требованиях к обезличиванию ПДн, методах обезличивания ПДн и порядке обезличивания ПДн, которые должны быть установлены Правительством РФ по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (ФСБ России). Кроме того, с 1 сентября 2025 г. уполномоченный орган по защите прав субъектов ПДн (Роскомнадзор) наделяется полномочиями по установлению требований к обезличиванию ПДн и методы обезличивания ПДн.
На сайте Банка России в разделе "Информационная безопасность" опубликованы "Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без добровольного согласия клиента и связанных с заключением кредитных договоров (договоров займа) без добровольного согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска информационной безопасности" [15] от 20 августа 2024 г. № 13-МР.
Методические рекомендации разработаны в целях обеспечения единства подходов по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без добровольного согласия клиента, а именно без согласия клиента или с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием, и связанных с заключением договоров на получение кредитных (заемных) денежных средств без добровольного согласия клиента, а именно без согласия клиента или с согласия клиента, полученного под влиянием обмана или при злоупотреблении доверием, а также установлению пороговых значений и расчету фактических значений количественных показателей, направленных на измерение и контроль уровня риска ИБ в определенный момент времени.