Импортозамещение в КИИ. Реестр значимых объектов и изменения в правила категорирования. Отмена плановых проверок по вопросам лицензионного контроля. Единые требования о защите информации в ГИС. Профиль защиты ПО для финансового сектора. Снижение регуляторной и надзорной нагрузки от Банка России. Аккредитация владельцев и операторов ГИС. Изменения в федеральный закон о ПДн.
Автор: Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
В мартовском обзоре законодательства рассмотрим новый указ об импортозамещении на объектах КИИ, дополнительное урегулирование мониторинга актуальности и достоверности представления субъектам КИИ сведений по результатам категорирования, единые требования по защите информации в ГИС, рекомендации от регуляторов по противодействию компьютерным атакам и особенности регуляторной среды по информационной безопасности от Банка России.
В конце марта 2022 г. официально опубликован Указ Президента Российской Федерации от 30.03.2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" (далее – Указ Президента РФ № 166) [1].
Под действие Указа Президента РФ № 166 попадают все субъекты критической информационной инфраструктуры, являющиеся заказчиками по Федеральному закону от 18.07.2011 г. № 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц" (далее – 223-ФЗ), за исключением организаций с муниципальным участием. На текущий момент указанные организации не могут осуществлять закупки иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов для их использования на значимых объектах КИИ. Однако дополнительно в течение месяца должны быть утверждены правила согласования закупок иностранного программного обеспечения, а также закупок услуг, необходимых для использования этого программного обеспечения. С 1 января 2025 г. органам государственной власти, заказчикам, попадающим под действие 223-ФЗ, будет запрещено использовать иностранное программное обеспечение на принадлежащих им значимых объектах КИИ. Правительство РФ в течение полугода должно реализовать комплекс мероприятий, направленных на обеспечение преимущественного применения всеми субъектами КИИ отечественной продукции на значимых объектах КИИ.
ФСТЭК России в марте 2022 г. представила к общественному обсуждению проект постановления Правительства Российской Федерации "О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации" (далее – проект ПП РФ) [2].
Проект ПП РФ разработан в целях дополнительного урегулирования мониторинга актуальности и достоверности представления сведений субъектами КИИ. Напомним, что в соответствии с изменениями, вносимыми постановлением Правительства Российской Федерации от 24.12.2021 г. № 2431 [3], такой мониторинг с января 2022 г. должны осуществлять государственные органы и российские юридические лица, выполняющие функции разработки, проведения или реализации государственной политики и (или) нормативно-правового регулирования в установленной сфере деятельности.
Проект ПП РФ предлагает предоставить отраслевым ведомствам право привлекать по согласованию с ФСТЭК России специализированные организации. В качестве специализированных организаций, проводящих проверку, предлагается рассматривать организации, подведомственные соответствующим отраслевым ведомствам и имеющие лицензию на проведение работ с использованием сведений, составляющих государственную тайну, а также лицензию на деятельность по технической защите конфиденциальной информации. Порядок проведения в отношении субъектов КИИ дополнительных периодических проверок будет определен отраслевыми ведомствами.
Информационным сообщением от 14.03.2022 г. № 240/13/1294 [4] ФСТЭК России сообщает: в соответствии с решением директора ФСТЭК России, принятым во исполнение постановления Правительства Российской Федерации от 10.03.2022 г. № 336 "Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля", проверки ФСТЭК России по вопросам лицензионного контроля с 10 марта 2022 г. отменены.
Законопроект о внесении изменения в ст. 16 Федерального закона от 27.07.2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации" [5] представлен на рассмотрение Государственной Думы 10 марта 2022 г.
Поправки предлагается внести в ч. 5 ст. 16 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее – закон № 149-ФЗ). Изменения касаются защиты информации в государственных информационных системах (ГИС). Общественное обсуждение данного законопроекта уже проводилось в августе 2021 г. [6]
Как отмечается в пояснительной записке к проекту, государственные органы поручают обработку информации, обладателями которой они являются, на основании договоров или иных законных основаниях подведомственным организациям, коммерческим организациям, информационные системы которых не относятся к государственным.
Предлагаемые законопроектом изменения устанавливают обязанность обладателей и операторов по соблюдению требований о защите информации, обладателями которой являются Российская Федерация, субъект Российской Федерации, муниципальное образование, вне зависимости от места ее хранения или обработки, а также по соблюдению требований к организации и управлению системой защиты информации.
Регулятором в пакете документов для внесения законопроекта указано, что изменения в закон № 149-ФЗ предполагают дальнейшую разработку следующих нормативных правовых актов (далее – НПА):
Приказ Минцифры России от 10.03.2022 г. № 186 "Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ" [7] (далее – приказ Минцифры № 186) официально опубликован 17 марта 2022 г.
Приказ Минцифры № 186 рекомендует государственным корпорациям, компаниям с государственным участием, а также их дочерним организациям и зависимым обществам реализовать перечень мероприятий в целях противодействия компьютерным атакам.
В перечень мероприятий, в частности, включено:
По результатам реализации рекомендаций приказа Минцифры № 186 необходимо организовать еженедельное направление не позднее предпоследнего рабочего дня календарной недели в Минцифры России, ФСБ России и ФСТЭК России отчетов о выполнении. Необходимо также участие ответственных по информационной безопасности в соответствующих совещаниях, проводимых Минцифры России.
ФСТЭК России опубликовала информационное сообщение от 24.03.2022 г. № 240/22/154 [9] "О мерах по повышению защищенности информационной инфраструктуры" [10].
В информационном сообщении приведены меры по повышению уровня защищенности от компьютерных атак информационных инфраструктур организаций, используемых для разработки, поставки, распространения и технической поддержки программного обеспечения и оборудования автоматизированных систем управления производственными и технологическими процессами, в том числе применяемых на КИИ Российской Федерации.
НКЦКИ в марте 2022 г. выпустил следующие бюллетени:
В рамках Технического комитета по стандартизации № 122 "Стандарты финансовых операций" разработан новый раздел 7.4 методического документа "Профиль защиты прикладного программного обеспечения автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций" [13], размещенного на официальном сайте Банка России.
Как отмечается в информационном письме Банка России [14], в новом разделе документа изложены требования к гибкой безопасной разработке и тестированию прикладного программного обеспечения автоматизированных систем и приложений, основанные на современных гибких практиках разработки, тестирования и внедрения объекта оценки с соблюдением требований положений нормативных актов Банка России.
Информационным письмом от 06.03.2022 г. № ИН-018-38/28 о комплексе мер по поддержке участников финансового рынка [15] Банк России сообщает о принятии мер по снижению регуляторной и надзорной нагрузки на профессиональных участников рынка ценных бумаг, управляющих компаний, специализированных депозитариев и негосударственных пенсионных фондов. Банк России будет до 01.01.2023 г. воздерживаться от применения мер воздействия в отношении участников финансового рынка за нарушение требований положения Банка России от 20.04.2021 г. № 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".
В мартовском вестнике Банка России за 2022 г. официально опубликовано указание Банка России от 12.01.2022 г. № 6060-У "О формах и методиках составления, порядке и сроках представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств" [16]. Указание вступает в силу с 1 января 2023 г.
В указание включены формы и методика составления отчетности:
В обзоре изменений за апрель 2022 г. рассмотрим информационные письма ФСТЭК России в части отмены уплаты госпошлины при получении лицензий и порядка предоставления аттестационных материалов, изменения в правила ведения реестра значимых объектов КИИ, создание Межведомственной комиссии при Совете Безопасности РФ по вопросам в сфере КИИ, нормативное регулирование при использовании ПДн для идентификации и (или) аутентификации и проект изменений в федеральном законе о ПДн.
На официальном сайте ФСТЭК России опубликовано информационное сообщение от 25.03.2022 г. № 240/13/1561 "Об отмене оплаты государственной пошлины в рамках оказания государственных услуг за предоставление лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации в 2022 г." [17]
ФСТЭК России сообщает, что с 12 марта по 31 декабря 2022 г. отменены государственные пошлины за предоставление лицензий:
В апреле 2022 г. официально опубликован Указ Президента Российской Федерации от 14.04.2022 г. № 203 "О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации" [18] (далее – Указ Президента РФ № 203). Указом Президента РФ № 203 образована Межведомственная комиссия Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации (далее – КИИ). Председателем комиссии назначен заместитель председателя Совета Безопасности Российской Федерации. В состав комиссии также включены директора ФСТЭК России и ФСБ России.
Официально опубликован приказ ФСТЭК России от 10.02.2022 г. № 26 "О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227" [19] (далее – приказ ФСТЭК России № 26).
Согласно изменениям, вносимым приказом ФСТЭК России № 26, в порядке ведения реестра значимых объектов КИИ меняется следующее:
Официально опубликовано информационное сообщение ФСТЭК России от 11.04.2022 г. № 240/24/1950 "О порядке представления документов по аттестации объектов информации, обрабатывающих информацию ограниченного доступа, не составляющую государственную тайну" [21].
Напомним, что в соответствии с п. 27 приказа ФСТЭК России от 29.04.2021 г. № 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" [22] (далее – приказ ФСТЭК России № 77) орган по аттестации в течение пяти рабочих дней после подписания аттестата соответствия должен представить в территориальный орган ФСТЭК России в электронном виде копии ряда аттестационных документов.
В целях разъяснения порядка и формы представления указанных материалов ФСТЭК России сообщает в информационном письме следующее:
Приказ Минцифры России от 25.02.2022 г. № 142 "Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации" [23] (далее – приказ Минцифры № 142) был официально опубликован 15 апреля 2022 г. Приказ Минцифры № 142 вступает в силу с 1 сентября 2022 г.
Приказ Минцифры № 142 направлен на установление контрольных вопросов при проверке выполнения требований ст. 14.1 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее – 149-ФЗ) в части использования ПДн при идентификации и (или) аутентификации.
5 апреля 2022 г. Минцифры России опубликовало для общественного обсуждения проект постановления Правительства Российской Федерации "Об утверждении Требований для прохождения аккредитации государственных органов, являющихся владельцами и (или) операторами государственных информационных систем, с применением которых осуществляется идентификация и (или) аутентификация, а также Правил прохождения такой аккредитации" [24] (далее – проект ПП РФ).
Проект ПП РФ разработан во исполнение ч. 18.14 ст. 14.1 149-ФЗ, которой предусмотрено, что в случае, если для реализации установленных нормативными правовыми актами полномочий государственных органов, и (или) органов местного самоуправления, и (или) организаций, осуществляющих отдельные публичные полномочия, необходима обработка видов биометрических ПДн, не соответствующих размещаемым в единой биометрической системе (ЕБС), идентификация и (или) аутентификация для реализации указанных полномочий осуществляются с применением иных ГИС, владельцами и (или) операторами которых являются государственные органы, прошедшие аккредитацию на право владения такими ГИС и (или) осуществления функций их операторов в порядке и в соответствии с требованиями, которые установлены Правительством Российской Федерации.
Проектом ПП РФ предлагаются требования для прохождения аккредитации государственных органов, являющихся владельцами и операторами либо только операторами ГИС, с применением которых осуществляется идентификация и (или) аутентификация, а также являющихся только владельцами таких систем. В последнем случае требования предъявляются в том числе к организации, выполняющей функции оператора ГИС, с применением которой осуществляется идентификация и (или) аутентификация.
В Государственную Думу внесен законопроект № 101234-8 "О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных" [25].
Из основных изменений, предлагаемых для внесения в Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" (далее – 152-ФЗ), стоит отметить следующие пункты: