Обзор изменений в законодательстве. Ноябрь-декабрь 2023 г.
Анастасия Заведенская, 09/01/24
Порядок перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ, ужесточение административной и уголовной ответственности в области обработки ПДн и другие важные изменения.
Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
Ноябрь-2023
В обзоре за ноябрь 2023 г. рассмотрим следующие изменения: порядок перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ; особенности согласования закупок в соответствии с Указом Президента РФ № 166 для финансовой сферы; новый индикатор риска нарушения требований обработки ПДн; особенности обработки биометрических ПДн; изменения в Положении о ФСТЭК России; аккредитацию органов по сертификации и испытательных лабораторий, деятельность которых связана со сведениями, составляющими ГТ, а также аттестацию их работников; правила осуществления госконтроля за обеспечением защиты ГТ и новые методические рекомендации от Банка России.
Преимущественное применение доверенных ПАК субъектами КИИ
Постановление Правительства Российской Федерации от 14.11.2023 № 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации" [1] было официально опубликовано 16 ноября 2023 г.
ПП РФ № 1912 утверждает правила перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ, а также устанавливает, что:
- переход субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ осуществляется до 1 января 2030 г.;
- с 1 сентября 2024 г. не допускается использование субъектами КИИ на ЗОКИИ ПАК, приобретенных с 1 сентября 2024 г. и не являющихся доверенными ПАК, за исключением случаев отсутствия [2] произведенных в РФ доверенных ПАК, являющихся аналогами приобретенных субъектами КИИ ПАК.
Правила перехода, положения о сроках перехода на применение доверенных ПАК и о сроках, ограничивающих использование недоверенных ПАК, вступают в силу с 1 сентября 2024 г. и будут действовать шесть лет.
Для каждой из сфер деятельности субъектов КИИ определены федеральные органы исполнительной власти и (или) российские юридические лица, ответственные за организацию перехода субъектов КИИ. Уполномоченные органы до 1 сентября 2024 г. должны утвердить отраслевые планы организации перехода субъектов КИИ на преимущественное применение доверенных ПАК на ЗОКИИ.
В течение 20 рабочих дней со дня утверждения отраслевого плана перехода уполномоченный орган направляет субъектам КИИ утвержденный план и уведомление о необходимости разработки плана перехода субъекта КИИ (в случае отсутствия у субъекта КИИ утвержденного плана перехода).
Субъекты КИИ разрабатывают свои планы перехода по форме согласно приложению № 3 к Правилам перехода субъектов КИИ на преимущественное применение доверенных ПАК.
Субъект КИИ в течение 10 рабочих дней со дня утверждения плана перехода направляет копию утвержденного плана в уполномоченный орган:
- до 1 января 2025 г., если сведения об ОКИИ включены в реестр ЗОКИИ по состоянию на 1 сентября 2024 г.;
- в 4-месячный срок со дня получения уведомления от ФСТЭК России о внесении в реестр ЗОКИИ, в случае присвоения ОКИИ категории значимости после 1 сентября 2024 г.
В правилах перехода субъектов КИИ на преимущественное применение доверенных ПАК на принадлежащих ЗОКИИ указано, что "ПАК – это радиоэлектронная продукция, в том числе телекоммуникационное оборудование, программное обеспечение и технические средства, работающие совместно для выполнения одной или нескольких сходных задач".
Для отнесения ПАК к доверенным должны быть одновременно выполнены все критерии признания ПАК доверенным, а именно:
- сведения о ПАК содержатся в едином реестре российской радиоэлектронной продукции;
- ПО, используемое в составе ПАК, соответствует требованиям, утвержденным постановлением Правительства РФ от 22. 09.2022 № 1478;
- ПАК в случае реализации в нем функций защиты информации соответствует требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом).
Преимущественным применением доверенных ПАК является применение субъектами КИИ на ЗОКИИ доверенных ПАК, доля которых в общем количестве ПАК, применяемых субъектами КИИ на ЗОКИИ по состоянию на 31 декабря 2029 г., составляет 100%.
Импортозамещение в финансовой сфере
Указ Президента Российской Федерации от 22.11.2023 № 887 "О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" [3] официально опубликован 22 ноября 2023 г.
Согласно Указу Президента РФ № 887, для организаций, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ, согласование закупок иностранного программного обеспечения и необходимых услуг возможно осуществлять с Центральным банком РФ (в соответствии с его полномочиями, установленными законодательством РФ).
Перечень индикаторов риска нарушения требований обработки ПДн
Приказ Минцифры России от 17.08.2023 № 720 "О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187" [4] официально опубликован 7 ноября 2023 г.
Приказ Минцифры России от 17.08.2023 № 720 дополняет перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных следующим пунктом: установление контролирующим органом трех и более фактов несоответствия информации, указанной контролируемым лицом в уведомлениях, подлежащих направлению в Роскомнадзор, сведениям, размещенным на принадлежащем такому контролируемому лицу сайте в сети "Интернет".
Биометрические ПДн
В ноябре 2023 г. Минцифры России на общественное обсуждение был представлен проект постановления Правительства РФ "Об утверждении перечня видов биометрических персональных данных, на которые распространяется действие Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" [5].
Согласно проекту в перечень видов биометрических ПДн, на которые распространяется действие Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" предлагается включить:
- изображение лица человека, полученное с помощью фотовидеоустройств;
- запись голоса человека, полученную с помощью звукозаписывающих устройств.
Угрозы безопасности для биометрических ПДн
Проект приказа Минцифры России "О приостановлении действия отдельных положений приказов Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 5 мая 2023 г. №445 и от 5 мая 2023 г. № 446" был представлен на общественное обсуждение 24 ноября 2023 г.
Проектом приказа предлагается приостановить по согласованию с ФСБ России, ФСТЭК России, ЦБ РФ и акционерным обществом "Центр Биометрических Технологий" до 1 июля 2024 г. действие пунктов приказов, определяющих угрозы безопасности, актуальные при обработке и передаче биометрических персональных данных в целях идентификации и (или) аутентификации при обработке с использованием оконечных устройств информационных систем, обеспечивающих функционирование контрольно-пропускных пунктов.
Изменения Положения о ФСТЭК России
Указ Президента Российской Федерации от 08.11.2023 № 846 "О внесении изменений в Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 "Вопросы Федеральной службы по техническому и экспортному контролю" и в Положение, утвержденное этим Указом" [6] официально опубликован 8 ноября 2023 г.
Указом № 846 увеличиваются значения предельных штатных численностей центрального аппарата и территориальных орган ФСТЭК России. ФСТЭК России также должна обеспечить создание информационной автоматизированной системы для управления деятельностью по технической защите информации и обеспечению безопасности ЗОКИИ и функционирование этой системы.
Кроме того, Указом № 846 полномочия ФСТЭК России дополнены следующими пунктами:
- осуществление учета информационных систем и иных объектов КИИ по отраслям экономики, а также мониторинг текущего состояния технической защиты информации и обеспечения безопасности ЗОКИИ;
- оперативное информирование аппаратов федеральных органов государственной власти и органов государственной власти субъектов РФ, федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, органов местного самоуправления (далее – органы власти) и организации об угрозах безопасности информации и уязвимостях информационных систем и иных объектов КИИ, а также о мерах по технической защите от этих угроз и уязвимостей;
- разработка, совместно с органами власти и организациями, процессов управления технической защитой информации и обеспечением безопасности ЗОКИИ, учитывающих отраслевую специфику данных объектов (за исключением процессов обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ), и организация внедрения этих процессов;
- организация взаимодействия органов власти и организаций при реализации ими мер по повышению уровня технической защищенности информации и обеспечения безопасности ЗОКИИ;
- организация и проведение оценки эффективности деятельности органов власти и организаций по технической защите информации и обеспечению безопасности ЗОКИИ.
Аккредитация органов по сертификации и испытательных лабораторий
Приказ ФСТЭК России от 27.07.2023 № 148 "О внесении изменений в Правила выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности, утвержденные приказом ФСТЭК России от 10 апреля 2015 г. № 33" [7] официально опубликован 23 ноября 2023 г.
В частности, приказ ФСТЭК России от 27.07.2023 № 148 уточняет и расширяет перечень областей аккредитации в правилах аккредитации для организаций, выполняющих работы по оценке (подтверждению) соответствия требованиям по безопасности информации продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, следующими пунктами:
- сертификация средств противодействия иностранным техническим разведкам и средств контроля эффективности противодействия иностранным техническим разведкам;
- сертификация средств защиты информации (СрЗИ) от утечки по техническим каналам и контроля эффективности защиты информации от утечки по техническим каналам;
- сертификация СрЗИ от несанкционированного доступа (НСД) и средств контроля эффективности защиты информации от НСД;
- сертификация средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации;
- сертификация процессов безопасной разработки программного СрЗИ.
С 1 марта 2025 г. вступят в силу следующие два положения приказа ФСТЭК России от 27.07.2023 № 148:
- Исключаются требования к срокам обучения по программам профессиональной переподготовки по направлению "Информационная безопасность" для руководителя аккредитованного лица и работников, участвующих в проведении работ по оценке (подтверждению) соответствия продукции, имеющих высшее образование, отличное от направления подготовки "Информационная безопасность".
- В программу оценки соответствия заявителя критериям аккредитации будет включена проверка наличия свидетельств об аттестации в заявленной области аккредитации у работников заявителя, выполняющих работы по оценке (подтверждению) соответствия продукции.
Аттестация работников органов по сертификации и испытательных лабораторий
Приказ ФСТЭК России от 27.07.2023 № 147 "Об утверждении Порядка аттестации работников органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа" [8] также был официально опубликован 23 ноября 2023 г. Приказ ФСТЭК России от 27.07.2023 № 147 вступает в силу с 1 сентября 2024 г.
Аттестация работников органов по сертификации и испытательных лабораторий проводится в целях оценки уровня знаний экспертов и их способности выполнять работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа, в определенной области аккредитации в установленной ФСТЭК России сфере деятельности.
Аттестация экспертов проводится ФСТЭК России в форме тестирования и решения практических задач. В случае принятия решения об аттестации эксперта ФСТЭК России оформляет или переоформляет (в случае расширения области аккредитации) свидетельство об аттестации эксперта.
Госконтроль за обеспечением защиты ГТ
Постановление Правительства Российской Федерации от 26.10.2023 № 1784 "Об утверждении Правил осуществления федерального государственного контроля за обеспечением защиты государственной тайны" [9] официально опубликовано 3 ноября 2023 г.
ПП РФ № 1784 вступает в силу по истечении шести месяцев со дня его официального опубликования и признает утратившим силу постановление Правительства Российской Федерации от 22 ноября 2012 г. № 1205 "Об утверждении Правил организации и осуществления федерального государственного контроля за обеспечением защиты государственной тайны". Органами государственного контроля являются ФСБ России, Служба внешней разведки Российской Федерации, ФСТЭК России, Минобороны России (в пределах их компетенции).
Государственному контролю подлежат предприятия, учреждения и организации независимо от форм собственности, которые проводят работы, связанные с использованием сведений, составляющих государственную тайну (ГТ), а также осуществляют хранение носителей сведений, составляющих ГТ.
Государственный контроль проводится органами государственного контроля в форме плановых или внеплановых выездных проверок в отношении предприятий, учреждений, организаций, их филиалов, представительств, обособленных структурных подразделений по месту (местам) их фактического нахождения.
Методические рекомендации Банка России
Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска информационной безопасности утверждены Банком России от 30.11.2023 № 17-МР [10].
Методические рекомендации разработаны в целях обеспечения единства подходов к установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без согласия клиента, а также установлению пороговых значений и расчету фактических значений количественных показателей, направленных на измерение и контроль уровня риска информационной безопасности в определенный момент времени. Методические рекомендации подлежат использованию при реализации требований Положения Банка России от 08.04.2020 № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".
Декабрь-2023
В декабрьском обзоре изменений законодательства рассмотрим уже вступившие и планируемые изменения в административной и уголовной ответственности в области обработки ПДн, потенциальные причины внеплановой проверки Роскомнадзора в части обработки ПДн, предложения по изменению в перечне индикаторов риска нарушения требований обработки ПДн, а также требования по защите информации для провайдеров хостинга и при осуществлении переводов денежных средств.
Административная ответственность за нарушение законодательства в области ПДн
Федеральный закон от 12.12.2023 № 589-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" [11] официально опубликован 12 декабря 2023 г. Федеральный закон от 12.12.2023 № 589-ФЗ увеличивает штрафы при нарушении требований обработки персональных данных и устанавливает административную ответственность за нарушение требований в области размещения биометрических ПДн.
Далее приведена детальная информация по изменениям в административной ответственности за нарушение законодательства в области ПДн:
1. Обработка ПДн без согласия в письменной форме субъекта ПДн в случаях, когда такое согласие должно быть, либо обработка ПДн с нарушением установленных законодательством требований к составу сведений, включаемых в согласие в письменной форме:
- для граждан – от 10 000 до 15 000 руб.;
- для должностных лиц – от 100 000 до 300 000 руб.;
- для юридических лиц – от 300 000 до 700 000 руб.
Повторное совершение указанного административного правонарушения:
- для граждан – от 15 000 до 30 000 руб.;
- для должностных лиц – от 300 000 до 500 000 руб.;
- для индивидуальных предпринимателей – от 500 000 до 1 млн руб.;
- для юридических лиц – от 1 млн до 1,5 млн руб.
2. Размещение и обновление банками, многофункциональными центрами предоставления государственных и муниципальных услуг, иными организациями в случаях, определенных федеральными законами, биометрических ПДн субъекта ПДн в государственной информационной системе "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" с нарушением установленных законодательством Российской Федерации требований:
- для должностных лиц – от 100 000 до 300 000 руб.;
- для юридических лиц – от 500 000 до 1 млн руб.
Ужесточение административной и уголовной ответственности в области обработки ПДн
Законопроекты № 502104-8 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" [12] и № 502113-8 "О внесении изменений в Уголовный кодекс Российской Федерации" [13] были внесены в Государственную Думу одним пакетом 4 декабря 2023 г.
Законопроект № 502104-8 также предлагает увеличение штрафов при нарушении требований обработки и установить новые составы административных правонарушений, в том числе нашумевшие "оборотные штрафы за утечку ПДн". Ниже представлена подробная информация о предлагаемых изменениях в административных штрафах.
Законопроект № 502113-8 предлагает дополнить Уголовный кодекс РФ новой ст. 272 "Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения". Подробное содержание предлагаемой статьи представлено в табл. ниже.
Внеплановые проверки Роскомнадзора
22 декабря 2023 г. в Государственную Думу также был внесен законопроект № 518022-8 "О внесении изменений в статью 27 Федерального закона "О связи" и Федеральный закон "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" [14].
Одно из положений законопроекта № 518022-8 предлагает возможность проведения внеплановой выездной проверки в случае поступления в Роскомнадзор информации о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн.
Предложения по изменению перечня индикаторов риска нарушения требований обработки ПДн
Проект приказа Минцифры России "О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187" [15] был представлен на общественное обсуждение 22 декабря 2023 г.
Проектом приказа предлагается дополнить перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн следующим пунктом: "Выявление контролирующим органом в течение календарного года 2 и более фактов непредставления контролируемым лицом, являющимся владельцем сайта и (или) страницы сайта в сети "Интернет", программы для электронных вычислительных машин, на которых применяются рекомендательные технологии, информации, связанной с применением рекомендательных технологий, а также доступа к программно-техническим средствам рекомендательных технологий по запросу контролирующего органа".
Требования по защите информации для провайдеров хостинга
Приказ Минцифры России от 01.11.2023 № 936 "Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети "Интернет" [16] официально опубликован 1 декабря 2023 г.
Приказ Минцифры России от 01.11.2023 № 936 устанавливает обязательные требования по защите информации для провайдеров хостинга при осуществлении ими деятельности по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети "Интернет", такие как:
- назначение структурного подразделения или должностного лица (работника), ответственного за защиту информации;
- осуществление непрерывного взаимодействия с ГосСОПКА, в том числе информирование ФСБ России о компьютерных инцидентах на информационных ресурсах путем направления сведений в НКЦКИ;
- на узлах сети, обеспечивающих соединение с внешними сетевыми ресурсами, должны приниматься необходимые меры по выявлению и последующему предотвращению распределенных атак, направленных на отказ в обслуживании (DDoS-атак), с вычислительных ресурсов своих пользователей, а также обеспечения взаимодействия с ЦМУ ССОП в рамках противодействия DDoS-атак и т.д.
Требования к обеспечению защиты информации при осуществлении переводов денежных средств
Положение Банка России от 17.08.2023 № 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" [17] официально опубликовано 13 декабря 2023 г.
Положение устанавливает требования к обеспечению операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, поставщиками платежных приложений, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ защиты информации при осуществлении переводов денежных средств, а также порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в национальной платежной системе.
- http://publication.pravo.gov.ru/document/0001202311160056
- Подтверждением отсутствия произведенных в РФ доверенных ПАК, являющихся аналогами приобретенных субъектами КИИ ПАК, являются заключения об отнесении продукции к промышленной продукции, не имеющей произведенных в РФ аналогов, выданные Минпромторгом России в соответствии с ПП РФ от 20.09.2017 № 1135.
- http://publication.pravo.gov.ru/document/0001202311220021
- http://publication.pravo.gov.ru/document/0001202311070002
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=143404
- http://publication.pravo.gov.ru/document/0001202311080017?index=1
- http://publication.pravo.gov.ru/document/0001202311230019?index=1
- http://publication.pravo.gov.ru/document/0001202311230015
- http://publication.pravo.gov.ru/document/0001202311030043?index=1
- https://cbr.ru/Crosscut/LawActs/File/6554
- http://publication.pravo.gov.ru/document/0001202312120023
- https://sozd.duma.gov.ru/bill/502104-8
- https://sozd.duma.gov.ru/bill/502113-8
- https://sozd.duma.gov.ru/bill/518022-8
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=144512
- http://publication.pravo.gov.ru/document/0001202312010021?index=1
- https://cbr.ru/Queries/UniDbQuery/File/90134/3943