Обзор изменений в законодательстве. Ноябрь и декабрь 2024 года
Анастасия Заведенская, 15/01/25
Усиление ответственности в области обработки ПДн. Стандарт по системам автоматизированного управления учетными записями и правами доступа. Изменения в 187-ФЗ. Использование криптографических средств. Программа профилактики нарушений лицензионных требований от ФСТЭК России. Программа профессиональной переподготовки от ФСТЭК России.
Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
Ноябрь–2024
Большую часть обзора изменений законодательства за ноябрь 2024 г. посвятим рассмотрению усиления административной и уголовной ответственности в области обработки ПДн, а также немного поговорим о стандарте по системам автоматизированного управления учетными записями и правами доступа.
Усиление административной и уголовной ответственности в области обработки ПДн
Изменения в Кодекс Российской Федерации об административных правонарушениях и Уголовный кодекс Российской Федерации были официально опубликованы 30 ноября 2024 г:
- Федеральный закон от 30.11.2024 № 420–ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" [1] – вступает в силу с 30 мая 2025 г.;
- Федеральный закон от 30.11.2024 № 421–ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации" [2] – вступает в силу с 11 декабря 2024 г.
Изменения ужесточают ответственность в сфере персональных данных. Обзор изменений, вносимых в Кодекс Российской Федерации об административных правонарушениях Федеральным законом от 30.11.2024 № 420–ФЗ см. в таблице.
Стоит обратить внимание, что для административных правонарушений, предусмотренных чч. 15 и 18 ст. 13.11 предусмотрены смягчающие обстоятельства. Административное наказание в виде административного штрафа назначается в размере одной десятой минимального размера административного штрафа, предусмотренного за совершение соответствующего административного правонарушения, но не менее 15 млн руб. и не более 500 млн руб. в случае выполнения лицом, до момента вынесения постановления о наложении административного штрафа, одновременно следующих условий:
- Ежегодные расходы оператора в течение трех календарных лет, предшествующих году, в котором было выявлено административное правонарушение, на мероприятия по обеспечению информационной безопасности, проведенные организациями, имеющими лицензию в области ИБ, либо самостоятельно при условии наличия у оператора такой лицензии, составляли не менее одной десятой процента годового совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), либо размера собственных средств (капитала) кредитной организации.
- Оператор соблюдал требования к защите ПДн при их обработке в ИСПДн при условии документального подтверждения указанного факта, проведенного в течение 12 месяцев, предшествующих моменту выявления административного правонарушения.
- Обстоятельства, отягчающие административную ответственность, отсутствовали.
Обзор изменений, вносимых в Уголовный кодекс Российской Федерации (УК РФ) Федеральным законом от 30.11.2024 № 421–ФЗ, смотрите в таблице 1.
Таблица 1. Обзор изменений, вносимых в Уголовный кодекс Российской Федерации
Стандарт по системам автоматизированного управления учетными записями и правами доступа
В ноябре на сайте ФСТЭК России был размещен приказ Росстандарта от 30.10.2024 № 1558–ст "Об утверждении национального стандарта ГОСТ Р 71753– 2024 "Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования" [4]. ГОСТ Р 71753–20245 вводится в действие с 20 декабря 2024 г.
Стандарт устанавливает общие требования к системам управления учетными записями и правами доступа пользователей и автоматизации процессов, связанных с управлением учетными записями и правами доступа.
Для процессов, связанных с управлением учетными записями и правами доступа, определяются состав участников и содержание процессов, подлежащих автоматизации, и даются общие рекомендации по разработке и внедрению систем управления учетными записями и правами доступа пользователей.
Положения стандарта не описывают детальные требования к управлению учетными записями и правами непосредственно в контролируемых информационных системах, так как подход к реализации управления учетными записями и правами доступа определяется архитектурой конкретных систем. Устанавливаются общие требования по реализации процессов управления в ИС.
Декабрь–2024
В декабрьском обзоре изменений законодательства за 2024 год рассмотрим законопроект о внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации", требования по использование шифровальных (криптографических) средств от ФСБ России и др.
Законопроект о внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации"
Законопроект № 581689–8 "О внесении изменений в Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" [6] был рассмотрен во втором чтении 12 декабря 2024 г. Рассмотрение Советом Государственной Думы законопроекта перенесено не весеннюю сессию 2025 г.
Рассмотрим ряд тезисов из текста законопроекта по внесению изменений в Федеральный закон от 26.07.2017 № 187–ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" ко второму чтению:
- Из дефиниции субъектов критической информационной инфраструктуры предлагается исключить индивидуальных предпринимателей.
- К полномочиям Правительства РФ предлагается добавить установление отраслевых особенностей категорирования объектов КИИ, которыми должны будут руководствоваться субъекты КИИ при категорировании.
- В соответствии с отраслевыми особенностями категорирования объектов КИИ, утверждаемыми Правительством РФ, государственные органы [7], выполняющие функции по регулированию в установленной сфере деятельности, формируют и утверждают по согласованию с ФСТЭК России перечни типовых отраслевых объектов КИИ и отраслевые требования по категорированию, регламентирующие с учетом установленных перечней типовых отраслевых объектов КИИ особенности категорирования объектов КИИ и присвоения им категорий значимости. Перечни должны включать в себя наименование типов информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, выполняемых отраслевыми объектами КИИ функций и осуществляемых ими видов деятельности, для обеспечения которых они предназначены. При этом в перечни включаются только типы ИС, ИТС, АСУ, обладающие признаком значимости в соответствии с отраслевыми требованиями по категорированию. Отраслевые требования по категорированию определяют порядок установления соответствия объекта КИИ отраслевым критериям значимости и показателям их значений с целью присвоения ему одной из категорий значимости и включают в себя отраслевые признаки значимости объектов КИИ, соответствующие критериям значимости и показателям их значений, а также методики их расчета с учетом особенностей их функционирования. В государственный контроль в области обеспечения безопасности значимых объектов КИИ также войдет проверка правильности отнесения субъектами КИИ принадлежащих им объектов КИИ к значимым в соответствии с отраслевыми особенностями категорирования объектов КИИ.
- До утверждения отраслевых требований по категорированию, а также установления перечней типовых отраслевых объектов КИИ в сфере, в которой субъект КИИ осуществляет деятельность, категорирование объектов КИИ осуществляется в соответствии с порядком осуществления категорирования, устанавливаемым Правительством РФ. Государственные органы должны обеспечить принятие требуемых нормативных правовых актов в течение трех месяцев со дня вступления в силу законопроекта. Предполагается, что изменения должны вступить в силу с 1 сентября 2025 г.
- Категория значимости объектов КИИ теперь может быть изменена при мотивированном решении ФСТЭК России, которое больше не обязано быть принято по результатам проверки, проведенной в рамках осуществления государственного контроля. Изменение отраслевых особенностей категорирования объектов КИИ также может послужить причиной для пересмотра категории.
- Закрепляется обязанность субъектов КИИ, которым принадлежат значимые объекты КИИ, использовать на значимых объектах КИИ российское ПО и программно-аппаратные средства, требования к которым установлены Правительством РФ (то есть доверенные программно-аппаратные средства).
- Обязанности, предусмотренные ч. 2 и п. 7 ч. 3 ст. 9 187–ФЗ [8], должны будут распространяться на руководителей государственных органов и подведомственных им организаций, государственных учреждений, государственных фондов, государственных корпораций (компаний) в части принадлежащих таким органам и организациям на праве собственности, аренды или ином законном основании информационных ресурсов РФ. Порядок и технические условия установки и эксплуатации в указанных информационных ресурсах средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе средств, предназначенных для поиска признаков компьютерных атак, устанавливаются ФСБ России. Порядок информирования указанными руководителями ФСБ России о компьютерных атаках и компьютерных инцидентах, связанных с функционированием их информационных ресурсов, устанавливается ФСБ России.
Использование шифровальных (криптографических) средств
Проект приказа ФСБ России "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств" [9] был представлен к общественному обсуждению 13 декабря 2024 г.
Как отмечается в пояснительной записке, проектом приказа закрепляется, что требования о защите информации с использованием шифровальных (криптографических) средств теперь распространяются не только на государственные информационные системы, но и на иные информационные системы государственных органов, государственных унитарных предприятий и государственных учреждений. Ряд положений приказа ФСБ России от 24 октября 2022 г. № 524 "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств" скорректирован с учетом практики его применения.
Одновременно с изданием проекта приказа предусмотрено признание утратившим силу приказа № 524.
Формы документов, используемые ФСБ России в процессе лицензирования
Приказ ФСБ России от 16.11.2024 № 479 "О внесении изменений в приказ ФСБ России от 31 января 2022 г. № 35 "Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99–ФЗ "О лицензировании отдельных видов деятельности" [10] был официально опубликован 4 декабря 2024 г. Приказ ФСБ России от 16.11.2024 № 479 вступил в силу с 15 декабря 2024 г.
Приказом вносятся корректировки в ряд форм документов, используемых ФСБ России в процессе лицензирования, также вводятся дополнительные формы.
- Заявление юридического лица о предоставлении лицензии.
- Заявление индивидуального предпринимателя о предоставлении лицензии.
- Заявление юридического лица о внесении изменений в реестр лицензий.
- Заявление индивидуального предпринимателя о внесении изменений в реестр лицензий.
- Заявление о предоставлении сведений о конкретной лицензии.
- Заявление юридического лица о прекращении лицензируемого вида деятельности.
- Заявление индивидуального предпринимателя о прекращении лицензируемого вида деятельности.
- Заявление об исправлении допущенных технических ошибок.
Установление срока действия требований по защите сетей связи от несанкционированного доступа
Приказ Минцифры России от 26.08.2024 № 726 "О внесении изменения в приказ Мининформсвязи России от 9 января 2008 г. № 1 "Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации" [11] был официально опубликован 9 декабря 2024 г.
Приказ Минцифры России от 26.08.2024 № 726 вступает в силу с 1 сентября 2025 г. и устанавливает, что приказ Мининформсвязи России от 9 января 2008 г. № 1 действует до 1 сентября 2031 года.
Установление срока действия постановления Правительства РФ от 15.09.2008 № 687
Проект Постановления Правительства РФ "О внесении изменения в постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687" [12] был представлен к общественному обсуждению 9 декабря 2024 г.
Проектом постановления предлагается установить срок действия постановления Правительства Российской Федерации от 15.09.2008 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" до 1 сентября 2030 г.
Программа профилактики нарушений лицензионных требований от ФСТЭК России
В декабре 2024 г. на официальном сайте ФСТЭК России был опубликован приказ ФСТЭК России от 10 декабря 2024 г. № 227 "Об утверждении программы профилактики нарушений лицензионных требований, соблюдение которых оценивается при проведении ФСТЭК России лицензионного контроля за деятельностью по технической защите конфиденциальной информации и деятельностью по разработке и производству средств защиты конфиденциальной информации, на 2025 г." [13].
В программу профилактики нарушений лицензионных требований вошел краткий анализ текущего состояния подконтрольной сферы. Так, отмечается, что в области защиты конфиденциальной информации выдано 4947 лицензий, в том числе на деятельность по технической защите конфиденциальной информации – 3416, на деятельность по разработке и производству средств защиты конфиденциальной информации – 1531.
За 2020–2024 гг. из 84 проверок, проведенных ФСТЭК России в рамках лицензионного контроля за деятельностью по технической защите конфиденциальной информации и деятельностью по разработке и производству средств защиты конфиденциальной информации, выявлено 57 нарушений лицензионных требований. По фактам выявленных нарушений лицензиатам выданы 28 предписаний об их устранении, в отношении 16 лицензиатов применены административные наказания, предусмотренные Кодексом Российской Федерации об административных правонарушениях.
Программа профессиональной переподготовки от ФСТЭК России
На сайте ФСТЭК России доступно информационное сообщение от 4 декабря 2024 г. № 240/11/6043 "О разработанной ФСТЭК России примерной программе профессиональной переподготовки "Организация и обеспечение информационной безопасности в органе (организации)" [14].
ФСТЭК России разработана и утверждена примерная программа профессиональной переподготовки, предназначенная для профессиональной переподготовки руководителей в рамках выполнения требований Указа Президента РФ от 01.05.2022 № 250.
Рекомендации по стандартизации в сфере криптографической защиты информации
В декабре 2024 г. на сайте Технического комитета по стандартизации "Криптографическая защита информации" (ТК 26) опубликована новость об утверждении рекомендации по стандартизации "Криптографические алгоритмы выработки ключей шифрования информации и аутентификационных векторов, предназначенные для реализации в аппаратных модулях доверия для использования в подвижной радиотелефонной связи" [15].
Приказом № 1785–ст от 28.11.2024 Росстандарта [16] утверждены рекомендации по стандартизации Р 1323565.1.003– 2024 "Информационная технология. Криптографическая защита информации. Криптографические алгоритмы выработки ключей шифрования информации и аутентификационных векторов, предназначенных для реализации в аппаратных модулях доверия для использования в подвижной радиотелефонной связи" с датой введения в действие 1 января 2025 г.
Документ введен взамен рекомендаций по стандартизации Р.1323565.1.003– 2017.
- http://publication.pravo.gov.ru/document/0001202411300011
- http://publication.pravo.gov.ru/document/0001202411300012
- Под трансграничным перемещением носителей информации понимается совершение действий по ввозу на территорию РФ и (или) вывозу с территории РФ машиночитаемого носителя информации (в том числе магнитного и электронного), на который осуществлены запись и хранение указанной информации
- https://fstec.ru/tk-362/deyatelnost-tk362/prikazy-ob-utverzhdenii-natsionalnykh-standartov/prikaz-rosstandarta-ot-30-oktyabrya2024-g-n-1558-st
- https://protect.gost.ru/document1.aspx?control=31&id=263930
- https://sozd.duma.gov.ru/bill/581689-8
- А также Центральный банк Российской Федерации и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности
- Обязательное непрерывное взаимодействие с ГосСОПКА в порядке, установленном ФСБ России
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=153171
- http://publication.pravo.gov.ru/document/0001202412040003
- http://publication.pravo.gov.ru/document/0001202412090008
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=153056
- https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-10-dekabrya-2024-g-n-227
- https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-4-dekabrya-2024-g-n-240-11-6043
- https://tc26.ru/news/novosti-tk26/utverzhdeny-rekomendatsii-po-standartizatsii-kriptograficheskie-algoritmy-vyrabotki-klyuchey-shifrovaniya-informatsii-i-autentifikatsionnykh-vektorov-prednaznachennye-dlya-realizatsii-v-apparatnykh-modulyakh-doveriya-dlyaispolzovaniya-v-podvizhnoy-r.html
- https://tc26.ru/upload/medialibrary/b97/68zbjtiw0s6lnsizpapvfgiej8nbey96/1.11.026-1.036.23%20Приказ.pdf