Обзор изменений в законодательстве. Март, апрель-2022 г.

Импортозамещение в КИИ. Реестр значимых объектов и изменения в правила категорирования. Отмена плановых проверок по вопросам лицензионного контроля. Единые требования о защите информации в ГИС. Профиль защиты ПО для финансового сектора. Снижение регуляторной и надзорной нагрузки от Банка России. Аккредитация владельцев и операторов ГИС. Изменения в федеральный закон о ПДн.

Автор: Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности

Март-2022

В мартовском обзоре законодательства рассмотрим новый указ об импортозамещении на объектах КИИ, дополнительное урегулирование мониторинга актуальности и достоверности представления субъектам КИИ сведений по результатам категорирования, единые требования по защите информации в ГИС, рекомендации от регуляторов по противодействию компьютерным атакам и особенности регуляторной среды по информационной безопасности от Банка России.

Импортозамещение в критической информационной инфраструктуре

В конце марта 2022 г. официально опубликован Указ Президента Российской Федерации от 30.03.2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" (далее – Указ Президента РФ № 166) [1].

Под действие Указа Президента РФ № 166 попадают все субъекты критической информационной инфраструктуры, являющиеся заказчиками по Федеральному закону от 18.07.2011 г. № 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц" (далее – 223-ФЗ), за исключением организаций с муниципальным участием. На текущий момент указанные организации не могут осуществлять закупки иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов для их использования на значимых объектах КИИ. Однако дополнительно в течение месяца должны быть утверждены правила согласования закупок иностранного программного обеспечения, а также закупок услуг, необходимых для использования этого программного обеспечения. С 1 января 2025 г. органам государственной власти, заказчикам, попадающим под действие 223-ФЗ, будет запрещено использовать иностранное программное обеспечение на принадлежащих им значимых объектах КИИ. Правительство РФ в течение полугода должно реализовать комплекс мероприятий, направленных на обеспечение преимущественного применения всеми субъектами КИИ отечественной продукции на значимых объектах КИИ.

Изменения в правила категорирования

ФСТЭК России в марте 2022 г. представила к общественному обсуждению проект постановления Правительства Российской Федерации "О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации" (далее – проект ПП РФ) [2].

Проект ПП РФ разработан в целях дополнительного урегулирования мониторинга актуальности и достоверности представления сведений субъектами КИИ. Напомним, что в соответствии с изменениями, вносимыми постановлением Правительства Российской Федерации от 24.12.2021 г. № 2431 [3], такой мониторинг с января 2022 г. должны осуществлять государственные органы и российские юридические лица, выполняющие функции разработки, проведения или реализации государственной политики и (или) нормативно-правового регулирования в установленной сфере деятельности.

Проект ПП РФ предлагает предоставить отраслевым ведомствам право привлекать по согласованию с ФСТЭК России специализированные организации. В качестве специализированных организаций, проводящих проверку, предлагается рассматривать организации, подведомственные соответствующим отраслевым ведомствам и имеющие лицензию на проведение работ с использованием сведений, составляющих государственную тайну, а также лицензию на деятельность по технической защите конфиденциальной информации. Порядок проведения в отношении субъектов КИИ дополнительных периодических проверок будет определен отраслевыми ведомствами.

Отмена плановых проверок по вопросам лицензионного контроля

Информационным сообщением от 14.03.2022 г. № 240/13/1294 [4] ФСТЭК России сообщает: в соответствии с решением директора ФСТЭК России, принятым во исполнение постановления Правительства Российской Федерации от 10.03.2022 г. № 336 "Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля", проверки ФСТЭК России по вопросам лицензионного контроля с 10 марта 2022 г. отменены.

Единые требования о защите информации в ГИС

Законопроект о внесении изменения в ст. 16 Федерального закона от 27.07.2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации" [5] представлен на рассмотрение Государственной Думы 10 марта 2022 г.

Поправки предлагается внести в ч. 5 ст. 16 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее – закон № 149-ФЗ). Изменения касаются защиты информации в государственных информационных системах (ГИС). Общественное обсуждение данного законопроекта уже проводилось в августе 2021 г. [6]

Как отмечается в пояснительной записке к проекту, государственные органы поручают обработку информации, обладателями которой они являются, на основании договоров или иных законных основаниях подведомственным организациям, коммерческим организациям, информационные системы которых не относятся к государственным.

Предлагаемые законопроектом изменения устанавливают обязанность обладателей и операторов по соблюдению требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, вне зависимости от места ее хранения или обработки, а также по соблюдению требований к организации и управлению системой защиты информации.

Регулятором в пакете документов для внесения законопроекта указано, что изменения в закон № 149-ФЗ предполагают дальнейшую разработку следующих нормативных правовых актов (далее – НПА):

• проект приказа ФСТЭК России "О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11.02.2013 г. № 17";
• проект приказа ФСБ России, предусматривающий установление требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, с использованием средств криптографической защиты информации.

Рекомендации по противодействию компьютерным атакам

Приказ Минцифры России от 10.03.2022 г. № 186 "Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ" [7] (далее – приказ Минцифры № 186) официально опубликован 17 марта 2022 г.

Приказ Минцифры № 186 рекомендует государственным корпорациям, компаниям с государственным участием, а также их дочерним организациям и зависимым обществам реализовать перечень мероприятий в целях противодействия компьютерным атакам.

В перечень мероприятий, в частности, включено:

1. Обеспечение на постоянной основе реализации организационно-технических мер, предусмотренных НПА, а также методическими рекомендациями, письмами и иными документами ФСБ России и ФСТЭК России.
2. Возложение на лиц из числа заместителей руководителя полномочий по обеспечению информационной безопасности, а также обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в организации.
3. Принятие решения о необходимости заключения договоров на оказание услуг с экспертными организациями [8], имеющими соглашение с ФСБ России или НКЦКИ [9] (то есть необходимо рассмотреть возможность привлечения внешних центров мониторинга – SOC).
4. Организация взаимодействия с операторами связи, а также экспертными организациями для обеспечения защиты от распределенных компьютерных атак типа "отказ в обслуживании" на сетевом и прикладном уровнях.

По результатам реализации рекомендаций приказа Минцифры № 186 необходимо организовать еженедельное направление не позднее предпоследнего рабочего дня календарной недели в Минцифры России, ФСБ России и ФСТЭК России отчетов о выполнении. Необходимо также участие ответственных по информационной безопасности в соответствующих совещаниях, проводимых Минцифры России.

ФСТЭК России опубликовала информационное сообщение от 24.03.2022 г. № 240/22/154 [9] "О мерах по повышению защищенности информационной инфраструктуры" [10].

В информационном сообщении приведены меры по повышению уровня защищенности от компьютерных атак информационных инфраструктур организаций, используемых для разработки, поставки, распространения и технической поддержки программного обеспечения и оборудования автоматизированных систем управления производственными и технологическими процессами, в том числе применяемых на КИИ Российской Федерации.

НКЦКИ в марте 2022 г. выпустил следующие бюллетени:

• "О мерах повышения уровня защищенности информационных ресурсов Российской Федерации от целенаправленных компьютерных атак" [11] с перечнем общих рекомендаций по противодействию угрозам безопасности информации;
• "Обобщенные рекомендации по минимизации возможных угроз информационной безопасности информационным ресурсам Российской Федерации" [12], адресованные широкому кругу российских компаний.

Профиль защиты ПО для финансового сектора

В рамках Технического комитета по стандартизации № 122 "Стандарты финансовых операций" разработан новый раздел 7.4 методического документа "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" [13], размещенного на официальном сайте Банка России.

Как отмечается в информационном письме Банка России [14], в новом разделе документа изложены требования к гибкой безопасной разработке и тестированию прикладного программного обеспечения автоматизированных систем и приложений, основанные на современных гибких практиках разработки, тестирования и внедрения объекта оценки с соблюдением требований положений нормативных актов Банка России.

Снижение регуляторной и надзорной нагрузки от Банка России

Информационным письмом от 06.03.2022 г. № ИН-018-38/28 о комплексе мер по поддержке участников финансового рынка [15] Банк России сообщает о принятии мер по снижению регуляторной и надзорной нагрузки на профессиональных участников рынка ценных бумаг, управляющих компаний, специализированных депозитариев и негосударственных пенсионных фондов. Банк России будет до 01.01.2023 г. воздерживаться от применения мер воздействия в отношении участников финансового рынка за нарушение требований положения Банка России от 20.04.2021 г. № 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".

Отчетность в Банк России по обеспечению защиты информации

В мартовском вестнике Банка России за 2022 г. официально опубликовано указание Банка России от 12.01.2022 г. № 6060-У "О формах и методиках составления, порядке и сроках представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств" [16]. Указание вступает в силу с 1 января 2023 г.

В указание включены формы и методика составления отчетности:

• по форме 0403202 – "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра". Заполняется по результатам оценки соответствия защиты информации требованиям положения Банка России № 719-П и оценки реализации мер, предусмотренных ГОСТ Р 57580.1–2017, в соответствии с ГОСТ Р 57580.2–2018;
• по форме 0403203 – "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств".

Апрель-2022

В обзоре изменений за апрель 2022 г. рассмотрим информационные письма ФСТЭК России в части отмены уплаты госпошлины при получении лицензий и порядка предоставления аттестационных материалов, изменения в правила ведения реестра значимых объектов КИИ, создание Межведомственной комиссии при Совете Безопасности РФ по вопросам в сфере КИИ, нормативное регулирование при использовании ПДн для идентификации и (или) аутентификации и проект изменений в федеральном законе о ПДн.

Отмена госпошлины на лицензии ФСТЭК России

На официальном сайте ФСТЭК России опубликовано информационное сообщение от 25.03.2022 г. № 240/13/1561 "Об отмене оплаты государственной пошлины в рамках оказания государственных услуг за предоставление лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации в 2022 г." [17]

ФСТЭК России сообщает, что с 12 марта по 31 декабря 2022 г. отменены государственные пошлины за предоставление лицензий:

• на деятельность по технической защите конфиденциальной информации;
• на деятельность по разработке и производству средств защиты конфиденциальной информации.

Создание Межведомственной комиссии по вопросам в сфере КИИ

В апреле 2022 г. официально опубликован Указ Президента Российской Федерации от 14.04.2022 г. № 203 "О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации" [18] (далее – Указ Президента РФ № 203). Указом Президента РФ № 203 образована Межведомственная комиссия Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации (далее – КИИ). Председателем комиссии назначен заместитель председателя Совета Безопасности Российской Федерации. В состав комиссии также включены директора ФСТЭК России и ФСБ России.

Реестр значимых объектов КИИ

Официально опубликован приказ ФСТЭК России от 10.02.2022 г. № 26 "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227" [19] (далее – приказ ФСТЭК России № 26).

Согласно изменениям, вносимым приказом ФСТЭК России № 26, в порядке ведения реестра значимых объектов КИИ меняется следующее:

• разнесены по разным группам значимые объекты КИИ, функционирующие в энергетике и топливно-энергетическом комплексе;
• субъекты КИИ должны направлять измененные сведения во ФСТЭК России не позднее 20 рабочих дней со дня их изменения, на бумажном и электронном носителях. Напомним, что аналогичные изменения уже были внесены в Правила категорирования объектов КИИ постановлением Правительства Российской Федерации от 24.12.2021 г. № 2431 "О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации" [20];
• сведения из реестра теперь будут предоставляться государственным органам или российским юридическим лицам, выполняющим функции разработки, проведения или реализации государственной политики и (или) нормативно-правового регулирования в сферах КИИ, не только по запросам, но и на ежеквартальной основе.

Разъяснения ФСТЭК России по порядку аттестации

Официально опубликовано информационное сообщение ФСТЭК России от 11.04.2022 г. № 240/24/1950 "О порядке представления документов по аттестации объектов информации, обрабатывающих информацию ограниченного доступа, не составляющую государственную тайну" [21].

Напомним, что в соответствии с п. 27 приказа ФСТЭК России от 29.04.2021 г. № 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" [22] (далее – приказ ФСТЭК России № 77) орган по аттестации в течение пяти рабочих дней после подписания аттестата соответствия должен представить в территориальный орган ФСТЭК России в электронном виде копии ряда аттестационных документов.

В целях разъяснения порядка и формы представления указанных материалов ФСТЭК России сообщает в информационном письме следующее:

1. Материалы с результатами аттестации федеральных государственных информационных систем (далее – ГИС) необходимо представлять в центральный аппарат ФСТЭК России.
2. Материалы с результатами аттестации региональных ГИС и иных объектов информатизации необходимо направлять в управление ФСТЭК России по федеральному округу, на территории которого расположены объекты информатизации.
3. Представление копий документов осуществляется почтовым отправлением. Представление материалов с использованием электронной почты не допускается. К письму необходимо прилагать машинный носитель информации (оптический диск или иной носитель), содержащий файлы с электронными копиями (образами).
4. Порядок аттестации распространяется на аттестацию на соответствие требованиям по защите информации объектов информатизации, указанных в п. 3 приказа ФСТЭК России № 77. К таким объектам информатизации относятся государственные и муниципальные информационные системы; информационные системы управления производством, используемые организациями оборонно-промышленного комплекса, в том числе автоматизированные системы станков с числовым программным управлением; защищаемые помещения; значимые объекты КИИ; информационные системы персональных данных (далее – ПДн); автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Аттестация иных объектов информатизации проводится в соответствии с приказом ФСТЭК России № 77 по решению владельца объекта информатизации. В случае принятия такого решения положения Порядка аттестации должны реализовываться в полном объеме, за исключением пп. 27 и 32 Порядка аттестации, – это пункты, устанавливающие требования по отправке аттестационных материалов во ФСТЭК России органами по аттестации и представлению владельцами объектов информатизации в ФСТЭК России протоколов контроля защиты информации на аттестованных объектах.

Контрольные вопросы Минцифры России в сфере идентификации и (или) аутентификации

Приказ Минцифры России от 25.02.2022 г. № 142 "Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации" [23] (далее – приказ Минцифры № 142) был официально опубликован 15 апреля 2022 г. Приказ Минцифры № 142 вступает в силу с 1 сентября 2022 г.

Приказ Минцифры № 142 направлен на установление контрольных вопросов при проверке выполнения требований ст. 14.1 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее – 149-ФЗ) в части использования ПДн при идентификации и (или) аутентификации.

Аккредитация владельцев и операторов ГИС, применяемых для осуществления идентификации и (или) аутентификации

5 апреля 2022 г. Минцифры России опубликовало для общественного обсуждения проект постановления Правительства Российской Федерации "Об утверждении Требований для прохождения аккредитации государственных органов, являющихся владельцами и (или) операторами государственных информационных систем, с применением которых осуществляется идентификация и (или) аутентификация, а также Правил прохождения такой аккредитации" [24] (далее – проект ПП РФ).

Проект ПП РФ разработан во исполнение ч. 18.14 ст. 14.1 149-ФЗ, которой предусмотрено, что в случае, если для реализации установленных нормативными правовыми актами полномочий государственных органов, и (или) органов местного самоуправления, и (или) организаций, осуществляющих отдельные публичные полномочия, необходима обработка видов биометрических ПДн, не соответствующих размещаемым в единой биометрической системе (ЕБС), идентификация и (или) аутентификация для реализации указанных полномочий осуществляются с применением иных ГИС, владельцами и (или) операторами которых являются государственные органы, прошедшие аккредитацию на право владения такими ГИС и (или) осуществления функций их операторов в порядке и в соответствии с требованиями, которые установлены Правительством Российской Федерации.

Проектом ПП РФ предлагаются требования для прохождения аккредитации государственных органов, являющихся владельцами и операторами либо только операторами ГИС, с применением которых осуществляется идентификация и (или) аутентификация, а также являющихся только владельцами таких систем. В последнем случае требования предъявляются в том числе к организации, выполняющей функции оператора ГИС, с применением которой осуществляется идентификация и (или) аутентификация.

Изменения в федеральный закон о ПДн

В Государственную Думу внесен законопроект № 101234-8 "О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных" [25].

Из основных изменений, предлагаемых для внесения в Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" (далее – 152-ФЗ), стоит отметить следующие пункты:

1. Появление лица, осуществляющего обработку по поручению оператора. Аналогичный вариант есть, например, в европейских нормах (GDPR) – процессор/обработчик. При этом ответственность перед субъектом ПДн за действия лица, осуществляющего обработку ПДн, будет нести оператор. Лицо, осуществляющее обработку ПДн, несет ответственность перед оператором.
2. Расширение понятия "трансграничная передача ПДн" и изменение подходов к трансграничной передаче ПДн.
3. Роскомнадзором будут установлены требования по оценке вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ.
4. Операторы будут обязаны обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу ПДн.
5. Операторы будут обязаны в течение 24 часов уведомить Роскомнадзор в случае установления факта неправомерного или случайного доступа, предоставления, распространения, передачи ПДн, повлекших нарушение прав субъектов ПДн. Аналогичные нормы есть в GDPR.

1. Указ “О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" http://publication.pravo.gov.ru/Document/View/0001202203300001 
2. Проект “О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации" https://regulation.gov.ru/projects#npa=125631 
3. Постановление Правительства Российской Федерации от 24.12.2021 г. № 2431 http://publication.pravo.gov.ru/Document/View/0001202112270037 
4. Информационное сообщение от 14.03.2022 г. № 240/13/1294 https://fstec.ru/normotvorcheskaya/litsenzirovanie/76-inye/2353informatsionnoe-soobshchenie-fstek-rossii-ot-14-marta-2022-g-n-240-13-1294 
5. Законопроект о внесении изменения в ст. 16 Федерального закона от 27.07.2006 г. № 149-ФЗ “Об информации, информационных технологиях и о защите информации" https://sozd.duma.gov.ru/bill/84826-8 
6. См. Заведенская А.А. Обзор изменений в законодательстве. Август-2021 // Information Security/ Информационная безопасность. 2021. № 4. С. 6–7.
7. Приказ Минцифры России от 10.03.2022 г. № 186 “Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ" https://digital.gov.ru/ru/documents/8173/ 
8. Юридические лица или индивидуальные предприниматели, оказывающие услуги по противодействию компьютерным атакам и компьютерным инцидентам.
9. Национальный координационный центр по компьютерным инцидентам.
10. Информационное сообщение от 24.03.2022 г. № 240/22/1549 “О мерах по повышению защищенности информационной инфраструктуры" https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2362-informatsionnoe-soobshchenie-fstekrossii-ot-24-marta-2022-g-n-240-22-1549 
11. Бюллетени: “О мерах повышения уровня защищенности информационных ресурсов Российской Федерации от целенаправленных компьютерных атак" https://safe-surf.ru/upload/ALRT/ALRT-20220302.1.pdf 
12. Обобщенные рекомендации по минимизации возможных угроз информационной безопасности информационным ресурсам Российской Федерации https://safe-surf.ru/upload/ALRT/ALRT-20220329.1.pdf 
13. Методический документ “Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" http://www.cbr.ru/content/document/file/132666/inf_note_feb_0422.pdf 
14. Информационное письмо Банка России http://www.cbr.ru/crosscut/lawacts/file/5786 
15. Информационное письмо от 06.03.2022 г. № ИН-018-38/28 о комплексе мер по поддержке участников финансового рынка https://cbr.ru/Crosscut/LawActs/File/5818 
16. Указание Банка России от 12.01.2022 г. № 6060-У “О формах и методиках составления, порядке и сроках представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств" https://cbr.ru/Queries/UniDbQuery/File/90134/2533 
17. Информационное сообщение “Об отмене оплаты государственной пошлины в рамках оказания государственных услуг за предоставление лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации в 2022 г." https://fstec.ru/normotvorcheskaya/litsenzirovanie/76-inye/2369-informatsionnoe-soobshchenie-fstek-rossii-ot-25-marta-2022-g-n-240-13-1561 
18. Указ Президента Российской Федерации “О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации" http://publication.pravo.gov.ru/Document/View/0001202204140035 
19. Приказ ФСТЭК России “О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227" http://publication.pravo.gov.ru/Document/View/0001202204010037 
20. Постановление Правительства Российской Федерации “О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации" http://publication.pravo.gov.ru/Document/View/0001202112270037 
21. Информационное сообщение ФСТЭК России “О порядке представления документов по аттестации объектов информации, обрабатывающих информацию ограниченного доступа, не составляющей государственную тайну" https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2373-informatsionnoe-soobshchenie-fstek-rossii-ot-11-aprelya-2022-g-n-240-24-1950 
22. Приказа ФСТЭК России “Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" http://publication.pravo.gov.ru/Document/View/0001202108100027 
23. Приказ Минцифры России “Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации" http://publication.pravo.gov.ru/Document/View/0001202204150004  
24. Проект Постановления Правительства Российской Федерации “Об утверждении Требований для прохождения аккредитации государственных органов, являющихся владельцами и (или) операторами государственных информационных систем, с применением которых осуществляется идентификация и (или) аутентификация, а также Правил прохождения такой аккредитации" https://regulation.gov.ru/projects#npa=126373 
25. Законопроект “О внесении изменений в Федеральный закон “О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных" https://sozd.duma.gov.ru/bill/101234-8