Авторы:
Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
Наталья Григорьева, помощник аналитика Аналитического центра Уральского центра систем безопасности
В ноябрьском обзоре за 2021 г. рассмотрим изменения в положения о лицензировании отдельных видов деятельности в области защиты информации и о сертификации средств защиты, новеллы в части обработки персональных данных и фиксации административных правонарушений, связанных с ГосСОПКА. Немного поговорим о требованиях по защите информации при функционировании системы “112”, новых дефинициях в части облачных технологий и вступлении в силу стандартов по ИБ.
Постановление Правительства РФ от 26 ноября 2021 г. No 2055 "О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации" [1] (далее – ПП по ТЗКИ) было опубликовано 29 ноября 2021 г.
ПП по ТЗКИ вносит изменения в постановление Правительства РФ от 3 февраля 2012 г. No 79 "О лицензировании деятельности по технической защите конфиденциальной информации" и вступает в силу с 1 марта 2022 г.
Согласно ПП по ТЗКИ:
Постановление Правительства РФ от 26 ноября 2021 г. No 2054 "О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации" [2] (далее – ПП по СЗКИ) также было опубликовано 29 ноября 2021 г.
ПП по СЗКИ вносит изменения в постановление Правительства РФ от 3 марта 2012 г. No 171 "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации". Состав вносимых изменений по ПП по СЗКИ, которые также вступают в силу с 1 марта 2022 г., по большей мере аналогичен составу изменений рассмотренного выше ПП по ТЗКИ.
ФСТЭК России информационным сообщением от 10 ноября 2021 г. [3] напоминает о внесении изменений в Положение о системе сертификации средств защиты информации (далее – СрЗИ), утвержденное приказом ФСТЭК России от 3 апреля 2018 г. No 55.
Указанные изменения были внесены приказом ФСТЭК России от 5 августа 2021 г. No 121 и вступили в силу 7 ноября 2021 г. Информационным письмом ФСТЭК России отмечает следующие основные изменения:
Приказ Минцифры от 29 сентября 2021 г. No 1015 "Об утверждении порядка уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима" [4] (далее – приказ Минцифры России) официально опубликован 29 ноября 2021 г.
Требования приказа Минцифры России распространяются на субъекты экспериментального правового режима в сфере цифровых инноваций в случае прекращения такого статуса в соответствии с Федеральным законом от 31 июля 2020 г. No 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации".
В целом текст приказа Минцифры России почти не изменился по сравнению с редакцией его проекта, о требованиях которого мы говорили в обзоре за сентябрь 2021 г. [5]
Из основных требований отметим:
Минцифры России 9 ноября 2021 г. представило для общественного обсуждения проект приказа "Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) в сфере идентификации и/или аутентификации" [6].
К индикаторам риска нарушения требований предлагается относить:
Напомним, что порядок организации и осуществления государственного надзора в отношении аккредитованных организаций, осуществляющих идентификацию и (или) аутентификацию физических лиц с использованием их биометрических ПДн, определяется опубликованным в октябре и вступающим в силу 1 января 2022 г. постановлением Правительства Российской Федерации от 11 октября 2021 г. No 1729 "Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и/или аутентификации" [7].
В ноябре 2021 г. Минцифры России опубликовало проект приказа "Об определении порядка защиты сетей связи и информационных систем операторов связи от несанкционированного доступа к ним и передаваемой по ним информации при функционировании системы обеспечения вызова экстренных оперативных служб по единому номеру "112" [8] (далее – проект приказа).
Проект приказа устанавливает требования по обеспечению информационной безопасности (далее – ИБ) и зоны разграничения ответственности при взаимодействии в системе обеспечения вызова экстренных оперативных служб по единому номеру "112" (далее – система-112) для операторов связи и операторов системы-112.
По проекту приказа при защите сетей связи и информационных систем операторов связи при функционировании системы-112 применяются требования нормативно-правовых актов по обеспечению ИБ ПДн, критической информационной инфраструктуры и требований, предъявляемых к сетям связи.
Отметим несколько положений проекта приказа:
В конце ноября 2021 г. официально опубликован приказ ФСБ России от 29 ноября 2021 No 472 "О внесении изменений в приказ ФСБ России от 11 декабря 2013 г. No 747 "Об утверждении Перечня должностных лиц органов федеральной службы безопасности, уполномоченных составлять протоколы об административных правонарушениях, и о реализации отдельных положений Кодекса Российской Федерации об административных правонарушениях в органах федеральной службы безопасности" и утвержденный этим приказом Перечень" [9].
ФСБ России расширила перечень должностных лиц, уполномоченных составлять протоколы об административных правонарушениях, связанных с обеспечением функционирования ГосСОПКА (ч. 2 и 3 ст. 13.12.1 и ч. 2 ст. 19.7.15 КоАП РФ).
Минцифры России в ноябре 2021 г. подготовило и представило для общественного обсуждения проект внесения изменений в Федеральный закон от 27.07.2006 No 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее – проект изменений) [10].
Проект изменений предлагает ввести в нормативное поле российского законодательства следующие понятия:
С 30 ноября 2021 г. введены в действия порядка 49 новых ГОСТов [11], связанных с защитой информации. Так, например, обновили и привели к соответствию с действующим на момент написания обзора стандартам ISO: ИСО/МЭК ГОСТ Р 27000–2021; ИСО/МЭК ГОСТ Р 27002–2021; ИСО/МЭК ГОСТ Р 27003–2021; ИСО/МЭК ГОСТ Р 27004–2021; ИСО/МЭК ГОСТ Р 27017–2021.
В обзоре за декабрь 2021 г. рассмотрим реакцию регуляторов на нашумевшую уязвимость Log4j и то, каким образом планируется регламентировать проведение контрольных (надзорных) мероприятий. Поговорим об изменениях в правилах категорирования объектов КИИ, а также о том, какие изменения НПА от ФСТЭК России ждут нас в грядущем году. Затронем вопросы защиты информации в финансовом секторе, обращения с документами для служебного пользования и возможности появления новых дефиниций в нормативном поле.
ФСТЭК России 21 декабря опубликовала информационное сообщение от 21 декабря 2021 г. No 240/22/631911 о выявлении и устранении уязвимостей компонента JNDI (Java Naming and Directory Interface) библиотеки apache Log4j.
В сообщении приводится перечень мероприятий по устранению выявленной уязвимости (обновление библиотек) и комплекс компенсирующих мер в случае невозможности установить обновление. Стоит отметить, что ФСТЭК России адресует указанные рекомендации федеральным органам исполнительной власти в отношении государственных информационных систем, находящихся в их ведении.
28 декабря 2021 г. официально опубликовано постановление Правительства Российской Федерации от 24.12.2021 No 2431 "О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации" [12] (далее – ПП РФ). Изменения вступают в силу 4 января 2022 г.
ПП РФ определяет порядок информирования субъектом критической информационной инфраструктуры (далее – КИИ) ФСТЭК России об изменении сведений об объекте КИИ в печатном и электронном виде не позднее 20 рабочих дней. Сведения будет необходимо отправить по новой по форме, установленной приказом ФСТЭК России от 22 декабря 2017 г. No 236 "Об утверждении формы направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий".
Второе изменение, вносимое ПП РФ, обязует государственные органы и российские юридические лица, выполняющие функции разработки, проведения или реализации государственной политики и/или нормативно-правового регулирования в установленной сфере деятельности, осуществлять мониторинг предоставления субъектами КИИ актуальных и достоверных сведений об объектах КИИ.
ФСТЭК России 1 декабря опубликовала выписку из плана разработки ФСТЭК России нормативных правовых актов на 2022 г. [13]
В плане есть проекты актов президента РФ и проекты актов ФСТЭК России. Многие проекты относятся к лицензированию деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации. Однако планируются и изменения в приказ ФСТЭК России от 11 февраля 2013 г. No 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах".
ФСБ России 10 декабря опубликовала проект приказа "Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. No 99-ФЗ "О лицензировании отдельных видов деятельности" [14] (далее – проект приказа ФСБ России).
В проекте приказа ФСБ России планируется утвердить формы документов, используемых ФСБ России в процессе лицензирования, и оценочные листы, применяемые при осуществлении оценки соответствия соискателя лицензии (лицензиата) лицензионным требованиям.
ФСТЭК России 3 декабря опубликовала проекты приказов "Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации" [15] и "Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации" [16] (далее – проекты приказов ФСТЭК России).
Оба проекта приказов ФСТЭК России относительно оценочных листов содержат списки контрольных вопросов, ответы на которые должны свидетельствовать о соответствии (несоответствии) соискателя лицензии или лицензиата лицензионным требованиям.
Роскомнадзор 2 декабря опубликовал проект приказа "Об утверждении форм проверочных листов (списков контрольных вопросов), используемых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при проведении выездной проверки при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных" [17] (далее – проект приказа Роскомнадзора).
В проекте приказа Роскомнадзора приводятся два варианта проверочных листов:
Банк России 20 декабря опубликовал проект приказа "Об установлении обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, требований к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами" [18] (далее – проект Банка России).
Основные требования по защите информации устанавливаются для бюро кредитных историй. Отметим, что по проекту Банка России лица, оказывающие профессиональные услуги на финансовом рынке (за исключением бюро кредитных историй), вправе принять решение о необходимости соблюдения в отношении объектов информационной инфраструктуры требований ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (далее – ГОСТ Р 57580.1–2017), соответствующих минимальному уровню защиты информации. Квалифицированные бюро кредитных историй должны соблюдать требования ГОСТ Р 57580.1–2017, соответствующие стандартному уровню защиты информации; бюро кредитных историй, не являющиеся квалифицированными – минимальному уровню. Бюро кредитных историй также должны осуществлять оценку соответствия уровня защиты информации в соответствии с требованиями ГОСТ Р 57580.2–2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия".
Банк России опубликовал проект Основных направлений цифровизации финансового рынка на период 2022–2024 гг.[19] Часть направлений определяют, чем Банк России будет заниматься в области информационной безопасности (далее – ИБ) в указанный временной промежуток. Концентрация усилий будет сосредоточена на обеспечении высокого качества аутентификации клиентов и возможности широкого использования облачной электронной подписи. Всего выделено шесть направлений по ИБ:
Проект федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" в части формирования национальной системы управления данными" [20] (далее – проект ФЗ) был опубликован 7 декабря.
Согласно проекту ФЗ под национальной системой управления данными (далее – НСУД) будет подразумеваться совокупность взаимосвязанных методологических, правовых, организационно-управленческих и информационно-технологических компонентов, обеспечивающих эффективное управление данными НСУД на федеральном, региональном и муниципальном уровне.
В проекте ФЗ предлагается дать новую трактовку понятиям:
В это проекте предлагается и ввести ряд новых понятий:
Предлагается дополнить Федеральный закон от 27 июля 2006 г. No 149-ФЗ "Об информации, информационных технологиях и о защите информации" статьями "Обязанности оператора информационной системы публичного сектора" и "Национальная система управления данными".
Минцифры России 1 декабря опубликовало проект приказа "Об утверждении Положения о порядке обращения с документами для служебного пользования" [21] (далее – проект приказа Минцифры России).
Проектом приказа Минцифры России планируется признать утратившим силу постановление Правительства Российской Федерации от 3 ноября 1994 г. No 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности" и ввести новое положение о порядке обращения с документами для служебного пользования.