Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
В майском обзоре изменений законодательства в ИБ за 2022 г. разберем требования нашумевшего Указа Президента РФ № 250, поговорим о планах ФСТЭК России по актуализации методики оценки угроз безопасности информации и банка данных угроз, об отмене ГОСТа с требованиями к органам по аттестации объектов информатизации, рассмотрим требования к средствам удостоверяющих центров и многое другое.
В начале мая 2022 г. был опубликован Указ Президента Российской Федерации от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" (далее – Указ Президента № 250) [1].
Официально Указ Президента № 250 вступил в силу со дня его опубликования, то есть выполнять его требования необходимо уже с 1 мая 2022 г.
Ряд мер по повышению уровня безопасности информационных ресурсов необходимо выполнить следующим организациям:
Для выполнения требований Указа Президента № 250 организациям требуется определить структуру ответственности за обеспечение информационной безопасности, например:
Таким образом, одной штатной единицы, ответственной за ИБ в организации, теперь недостаточно.
Для таких структурных изменений к началу июня 2022 г. со стороны Правительства РФ должны были быть подготовлены типовые положения о заместителе руководителя и о структурном подразделении, обеспечивающем ИБ. Однако на момент написания этой статьи упомянутые выше положения официально опубликованы не были.
Теперь к деятельности по обнаружению, предупреждению и ликвидации последствий компьютерных атак, а также по реагированию на компьютерные инциденты можно будет привлекать в качестве подрядчика только аккредитованные центры государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).
В конце мая 2022 г. проектом приказа ФСБ России "Об определении переходного периода" [3] было предложено установить переходный период, в течение которого можно будет взаимодействовать с неаккредитованными центрами ГосСОПКА, в 360 календарных дней со дня официального опубликования упомянутого приказа.
По проекту приказа ФСБ России "О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам (НКЦКИ), утвержденное приказом ФСБ России от 24 июля 2018 г." [4] задачи и функции аккредитации центров ГосСОПКА и определение порядка будут возложены на НКЦКИ.
Организациям, внесенным в перечень ключевых органов (организаций), по Указу Президента № 250 необходимо было провести оценку уровня защищенности своих информационных систем до 1 июля 2022 г. и предоставить ее результаты в Правительство РФ. Перечень ключевых органов (организаций) должен был быть определен Правительством РФ в месячный срок со дня выхода Указа Президента № 250. Однако распоряжение Правительства РФ от 22.06.2022 № 1661-р [5], определяющее указанный перечень, официально было опубликовано только 24 июня 2022 г. Поэтому формально до отчетной даты ключевым органам (организациям) оставалась всего неделя.
Типовые формы технического задания на выполнение работ по оценке уровня защищенности и форма отчета [6] в целях выполнения требований Указа Президента № 250 были опубликованы 3 июня 2022 г. на официальном сайте Минцифры России.
В соответствии с Указом Президента № 250 с 1 января 2025 г. организациям запрещается использовать средства защиты информации, произведенные в недружественных государствах либо производителями которых являются организации, находящиеся под их юрисдикцией, прямо или косвенно подконтрольные им либо аффилированные с ними. Так, в перечень иностранных государств и территорий [7], совершающих в отношении России, российских компаний и граждан недружественные действия, включено 21 государство, а также все государства – члены Европейского союза.
Информационным сообщением от 04.05.2022 г. № 240/22/2432 "О разработке нового раздела Банка данных угроз безопасности информации, содержащего сведения об угрозах безопасности информации" [8] ФСТЭК России сообщает следующее:
ФСТЭК России вынес на голосование членов ТК 362 вопрос по отмене ГОСТ Р 58189–2018 "Защита информации. Требования к органам по аттестации объектов информатизации" [10]. Предложение об отмене обусловлено установлением порядка проведения работ по аттестации объектов информатизации приказами ФСТЭК России от 28 сентября 2020 г. №110 и от 29 апреля 2021 г.№77.
Приказ ФСБ России от 13.04.2022 г. № 179 "О внесении изменений в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. № 796" [11] (далее – Приказ ФСБ России № 179) был официально опубликован 11 мая 2022 г. Приказ ФСБ России № 179 вступает в силу с 1 сентября 2022 г. и действует до 1 января 2027 г.
Приказ ФСБ России № 179 вносит изменения в Требования к средствам удостоверяющего центра (приложение № 2), утвержденные приказом ФСБ России от 27 декабря 2011 г. № 796.
В текущей редакции Требований для средств, реализующих механизм формирования меток доверенного времени, удостоверяющим центром (УЦ) должны применяться средства межсетевого экранирования уровня веб-сервера (тип "Г"), сертифицированные ФСБ России на соответствие требованиям к устройствам типа "межсетевой экран" не менее чем 3-го класса защищенности.
УЦ должны использовать средства защиты от компьютерных вирусов, предназначенные для применения на серверах информационных систем (тип "Б") и сертифицированные ФСБ России на соответствие требованиям к антивирусным средствам по классу Б2.
В редакции же приказа ФСБ России № 179 с 1 сентября 2022 г. для средств, реализующих механизм меток доверенного времени, при подключении к информационно-телекоммуникационной сети, доступ к которой не ограничен определенным кругом лиц, должны применяться следующие средства:
Постановление Правительства Российской Федерации от 13.05.2022 г. № 860 "О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений" [12] (далее – ПП РФ № 860) официально опубликовано 16 мая 2022 г.
Согласно ПП РФ № 860 эксперимент по повышению уровня защищенности государственных информационных систем (далее – ГИС) федеральных органов исполнительной власти и подведомственных им учреждений будет проводиться с 16 мая 2022 г. по 30 марта 2023 г.
Ответственность за организацию и мониторинг работ, проводимых в рамках эксперимента, возложена на Минцифры России. К проведению эксперимента Минцифры России вправе привлекать подведомственное ему федеральное государственное учреждение и коммерческие организации.
Участвовать в эксперименте приглашаются на добровольной основе федеральные органы исполнительной власти и подведомственные им учреждения, они должны подать заявку, которой подтверждается готовность ГИС принимать участие в эксперименте, при дальнейшем оформлении соглашений о взаимодействии.
В рамках эксперимента Минцифры России:
Постановление Правительства РФ от 06.05.2022 N 822 "О внесении изменений в Положение о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации" [13] (далее – ПП РФ № 822) официально опубликовано 7 мая 2022 г.
ПП РФ № 822 откладывает применение до 1 сентября 2022 г. Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации, утвержденного постановлением Правительства Российской Федерации от 11.10.2021 № 1729.
Государственный контроль (надзор) будет осуществляться в отношении соблюдения аккредитованными организациями, осуществляющими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и государственными органами, прошедшими аккредитацию на право владения ГИС, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций их операторов.
Для общественного обсуждения опубликован проект постановления Правительства РФ "О признании утратившим силу постановления Правительства Российской Федерации от 03.02.2022 № 94 "Об утверждении Правил предоставления субсидий из федерального бюджета российскому юридическому лицу на разработку и реализацию на регулярной основе программы кибергигиены и повышения грамотности широких слоев населения по вопросам информационной безопасности" [14] (далее – проект ПП РФ).
Предлагается отменить постановление Правительства Российской Федерации от 3 февраля 2022 г. № 94 "Об утверждении Правил предоставления субсидий из федерального бюджета российскому юридическому лицу на разработку и реализацию на регулярной основе программы кибергигиены и повышения грамотности широких слоев населения по вопросам информационной безопасности" (далее – ПП РФ № 94). В соответствии с ПП РФ № 94 Минцифры России предоставляет субсидии на разработку программы кибергигиены организациям на основании конкурсного отбора.
Согласно пояснительной записке к проекту ПП РФ Минцифры России принято решение о реализации программы кибергигиены посредством предоставления субсидии подведомственному образовательному учреждению. В этой связи не потребуется выделение дополнительных бюджетных ассигнований бюджетов бюджетной системы.
Опубликованные в мае 2022 г. обновленные условия по защите информации Банка России [15] будут применяться с 13 июля 2022 г.
Предполагается, что обмен электронными сообщениями в платежной системе Банка России или финансовыми сообщениями в системе передачи финансовых сообщений (СПФС) будет соответствовать требованиям по защите информации с учетом опубликованных условий.
Приказ Роскомнадзора от 11.04.2022 г. № 64 "Об утверждении Требований к программам для электронных вычислительных машин, используемым операторами рекламных данных для учета рекламы в информационно-телекоммуникационной сети "Интернет" и предоставления информации в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций" [16] (далее – Приказ РКН № 64) официально опубликован 30 мая 2022 г. Приказ РКН № 64 вступает в силу с 1 сентября 2022 г. и действует до 1 сентября 2028 г. При этом часть требований к программному обеспечению операторов рекламных данных вступают в силу с 1 марта 2023 г.
Программное обеспечение, используемое операторами рекламных данных для учета рекламы в сети "Интернет" и предоставления информации в Роскомнадзор, также, в частности, должно:
В обзоре изменений законодательства за июнь 2022 г. поговорим о нормотворческой деятельности в области обработки и защиты персональных данных, предложениях по расширению сфер деятельности субъектов КИИ, процессе предоставления информации по категорированию объектов КИИ во ФСТЭК России субъектами энергетики и ТЭК, концепции информационной безопасности в сфере здравоохранения и защите от НСД в системе-112.
В июне 2022 г. в третьем чтении Государственной Думой принят законопроект № 101234-8 "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона
"О банках и банковской деятельности" [17] (далее – проект изменений ФЗ о ПДн). Позднее, 8 июля, проект изменений ФЗ о ПДн был одобрен Советом Федерации и направлен президенту РФ.
Об особенностях внесенного на рассмотрение проекта изменений ФЗ о ПДн мы говорили ранее в апрельском обзоре изменений законодательства по информационной безопасности. Основными отличиями одобренной редакции проекта изменений ФЗ о ПДн от внесенной на рассмотрение первичной версии являются:
В июне 2022 г. для общественного обсуждения был представлен проект Федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" (далее – проект ФЗ) [18].
Проектом ФЗ предлагается введение административной ответственности за нарушение порядка применения информационных технологий в целях идентификации и (или) аутентификации физических лиц. В частности, нарушение приказа Минцифры России от 10.09.2021 г. № 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации" [19] влечет за собой штраф для должностных лиц в размере от 100 тыс. руб. до 300 тыс. руб., а для юридических лиц – от 300 тыс. руб. до 500 тыс. руб. Обработка биометрических ПДн для идентификации и (или) аутентификации без аккредитации – штраф для должностных лиц в размере от 300 тыс. руб. до 600 тыс. руб., а для юридических лиц – от 500 тыс. руб. до 1 млн руб.
Постановление Правительства Российской Федерации от 15.06.2022 г. № 1066 "О размещении физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица" [20] (далее – ПП РФ № 1066) официально опубликовано 17 июня 2022 г. ПП РФ № 1066 вступило в силу со дня официального опубликования, за исключением Правил размещения физическими лицами своих биометрических ПДн, вступающих в силу с 30 сентября 2022 г.
Согласно ПП РФ № 1066 Минцифры России должно обеспечить возможность применения в Единой системе идентификации и аутентификации (ЕСИА) и Единой биометрической системе (ЕБС) средств криптографической защиты информации (СКЗИ), прошедших процедуру оценки соответствия. Оператору ЕБС рекомендовано разработать программу и методику для оценки алгоритмов проверок на обнаружение атаки на биометрическое предъявление, создать российское программное обеспечение, предназначенное для обработки биометрических ПДн, с применением шифровальных средств и дальнейшим проведением ФСБ России оценки соответствия.
Постановление Правительства Российской Федерации от 15.06.2022 г. № 1067 "О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица" (далее – ПП РФ № 1067) [21] было опубликовано 17 июня 2022 г. ПП РФ № 1067 вступит в силу 1 марта 2023 г. и будет действовать до 1 марта 2029 г.
ПП РФ № 1067 устанавливает случаи, в которых могут использоваться биометрические ПДн, размещенные в ЕБС, например:
17 июня 2022 г. официально опубликовано постановление Правительства Российской Федерации от 16.06.2022 г. № 1089 "Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица" [22].
Положением были определены цели и задачи создания и развития ЕБС, являющейся государственной информационной системой, порядок ее функционирования и взаимодействия с иными информационными системами (в частности, с ЕСИА, единой системой межведомственного электронного взаимодействия и единым порталом государственных и муниципальных услуг).
На рассмотрение в Государственную Думу внесен законопроект "О внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" [23].
Законопроектом предлагается расширить перечень сфер деятельности субъектов КИИ сферой государственной регистрации недвижимости.
Информационное сообщение ФСТЭК России от 28.06.2022 г. № 240/83/1698 "О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий" [24] опубликовано в июне 2022 г. на сайте регулятора.
ФСТЭК России уведомляет о порядке рассмотрения перечней объектов КИИ, подлежащих категорированию, а также сведений о результатах категорирования субъектов КИИ в сферах энергетики и топливно-энергетического комплекса.
В части субъектов КИИ, являющихся федеральными органами исполнительной власти, государственными корпорациями, головными организациями интегрированных структур, рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России.
В части субъектов КИИ, являющихся самостоятельными юридическими лицами, дочерними, зависимыми обществами, входящими в интегрированные структуры, а также организациями, подведомственными органам власти субъектов Российской Федерации или органам местного самоуправления, рассмотрение перечней и сведений осуществляется управлением ФСТЭК России по федеральному округу, на территории которого расположены указанные субъекты КИИ.
Минздрав России разработал Концепцию информационной безопасности в сфере здравоохранения [25]. Так, например, в Концепцию включены эскизные решения по реализации мер защиты информации, архитектура и эскизные решения по построению системы реагирования на компьютерные атаки в информационных системах в сфере здравоохранения.
Минздрав России сообщил о планах по созданию отраслевого центра информационной безопасности и импортозамещения программного обеспечения Министерства здравоохранения Российской Федерации.
Официально опубликован приказ Минцифры России от 02.03.2022 г. № 156 "Об утверждении Порядка защиты сетей связи и информационных систем операторов связи от несанкционированного доступа к ним и передаваемой по ним информации при функционировании системы обеспечения вызова экстренных оперативных служб по единому номеру "112" [26] (далее – приказ Минцифры № 156).
По приказу Минцифры № 156 информационная безопасность в системе-112 должна обеспечиваться в зависимости от ролей эксплуатантов в соответствии с Федеральным законом от 7 июля 2003 г. № 126-ФЗ "О связи", Федеральным законом от 27 июля 2006 г. № 149ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", Федеральным законом от 26 июля 2017 г. № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и Федеральным законом от 30 декабря 2020 г. № 488ФЗ "Об обеспечении вызова экстренных оперативных служб по единому номеру "112" и о внесении изменений в отдельные законодательные акты Российской Федерации" и принятыми в соответствии с ними нормативными правовыми актами.
В целях защиты данных, передаваемых в рамках межсистемного взаимодействия системы-112, должны применяться СКЗИ по классу не ниже КСЗ.