Контакты
Подписка 2024

Обзор изменений в законодательстве в финале 2022 года

Анастасия Заведенская, 09/01/23

Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности

Ноябрь-2022

О мониторинге защищенности в рамках исполнения требований Указа Президента РФ № 250, о требованиях Роскомнадзора к процессам, связанным с обработкой ПДн; об утверждении порядка применения СКЗИ в ГИС; об изменениях в порядке лицензирования деятельности, связанной с шифровальными средствами; о проекте дополнительных требований к отечественному ПО; об особенностях обращения с различными видами информации, а также о новых стандартах в области управления инцидентами ИБ.

Мониторинг защищенности информационных ресурсов

В ноябре 2022 г. для общественного обсуждения представлен проект приказа ФСБ России "Об утверждении Порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими" [1].

Проект приказа ФСБ России разработан в целях реализации требований подпункта "в" п. 5 Указа Президента Российской Федерации от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".

Мониторинг защищенности будет осуществляться Центром защиты информации и специальной связи ФСБ России и территориальными органами безопасности. К информационным ресурсам, подпадающим под мониторинг, относятся:

  • информационные системы (в том числе сайты в сети "Интернет");
  • информационно-телекоммуникационные сети;
  • автоматизированные системы управления.

При этом мониторинг защищенности будет осуществляться только в отношении информационных ресурсов, имеющих непосредственное подключение к сети "Интернет" и (или) сопряженных с сетью "Интернет" с использованием технологии трансляции сетевых адресов.

Для осуществления мониторинга защищенности органам (организациям), подпадающим под действие Указа Президента РФ № 250, потребуется направить в Центр защиты информации и специальной связи ФСБ России следующую информацию:

  • о доменных именах и внешних сетевых адресах принадлежащих (используемых) информационных ресурсов однократно в срок до 1 марта 2023 г.;
  • об изменениях доменных имен и внешних сетевых адресов принадлежащих (используемых) информационных ресурсов, а также о приобретении (начале использования) доменных имен и внешних сетевых адресов новых информационных ресурсов в срок до семи календарных дней со дня их приобретения (начала использования).

Оценка защищенности информационных ресурсов (одна из форм мероприятий по мониторингу защищенности) должна будет осуществляться органами безопасности на основании ежегодного плана, утверждаемого начальником Центра защиты информации и специальной связи ФСБ России. Выписки из указанного плана будут направляться территориальным органам безопасности, а также органам (организациям), в отношении информационных ресурсов которых предусмотрено проведение оценки защищенности. О проведении оценки защищенности информационных ресурсов органы (организации) письменно уведомляются органами безопасности не позднее чем за 14 календарных дней до начала проведения указанных мероприятий.

Для оценки защищенности информационных ресурсов органов (организаций) потребуется подключение программно-аппаратных комплексов органов безопасности к информационным ресурсам органов (организаций). Подключение программно-аппаратных комплексов органов безопасности к информационным ресурсам органов (организаций) может осуществляться как удаленно, так и на объектах органов (организаций).

Требования к подтверждению уничтожения ПДн

Приказ Роскомнадзора № 179 от 28.10.2022 г. "Об утверждении Требований к подтверждению уничтожения персональных данных" [2] официально опубликован 29 ноября 2022 г. Он вступает в силу с 1 марта 2023 г. и будет действовать до 1 марта 2029 г.

В случае если обработка персональных данных осуществляется без использования средств автоматизации, документом, подтверждающим уничтожение ПДн, будет являться акт об уничтожении ПДн. В случае если обработка ПДн осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение ПДн, будут являться акт об уничтожении ПДн и выгрузка из журнала регистрации событий в ИСПНн. При смешанном способе обработки потребуются и акт об уничтожении ПДн, и выгрузка журнала из ИСПДн.

Акт об уничтожении ПДн и выгрузка из журнала регистрации событий ИСПДн подлежат хранению в течение трех лет с момента уничтожения ПДн.

Выгрузки из журналов регистрации событий ИСПДн должны будут содержать:

  • ФИО субъектов или иную информацию, относящуюся к определенным физическим лицам, чьи ПДн были уничтожены;
  • перечень категорий уничтоженных ПДн;
  • наименование ИСПДн, из которой были уничтожены ПДн;
  • причину уничтожения ПДн;
  • дату уничтожения ПДн.

Однако, если выгрузка из журнала не позволяет указать отдельные сведения, недостающие сведения могут быть внесены в акт об уничтожении ПДн.

Требования к оценке вреда, который может быть причинен субъектам ПДн

Приказ Роскомнадзора № 178 от 27.10.2022 г. "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" [3] был официально опубликован 29 ноября 2022 г. Он вступает в силу с 1 марта 2023 г. и будет действовать до 1 марта 2029 г.

Согласно приказу РКН № 178 оценка вреда, который может быть причинен субъектам ПДн, должна осуществляться ответственным за организацию обработки ПДн либо комиссией, образуемой оператором.

Оператор определяет одну из степеней вреда, который может быть причинен субъекту ПДн, – высокую, среднюю и низкую. Критерии установления оценки вреда установлены приказом РКН № 178 и, в частности, основываются на категориях обрабатываемых ПДн или особенностях реализации оператором закона о ПДн.

Результат оценки вреда должен быть оформлен актом. В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке ПДн субъекту ПДн могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.

СКЗИ в ГИС

Приказ ФСБ России № 524 от 24.10.2022 г. "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств" [4] официально опубликован 23 ноября 2022 г. Он вступает в силу по истечении одного года со дня его официального опубликования, то есть 23 ноября 2023 г.

Приказом ФСБ России № 524 определено, что информация, содержащаяся в ГИС, подлежит защите с использованием СКЗИ в следующих случаях:

  • законодательными и иными нормативными правовыми актами РФ предусмотрена обязанность по защите информации, содержащейся в ГИС, с использованием СКЗИ;
  • в ГИС осуществляется передача информации по каналам связи, проходящим за пределами контролируемой зоны;
  • необходимо обеспечить юридическую значимость электронных документов и их защиту от подделки;
  • в ГИС осуществляется хранение данных на носителях информации, предназначенных для записи, хранения и воспроизведения информации, обрабатываемой с использованием средств вычислительной техники, несанкционированный доступ к которым со стороны третьих лиц не может быть исключен с помощью некриптографических методов и способов.

Необходимость использования СКЗИ для защиты информации, содержащейся в ГИС, подлежит обоснованию в модели угроз безопасности информации, техническом проекте и техническом задании на создание (развитие) ГИС. При этом модель угроз безопасности информации и (или) техническое задание на создание (развитие) ГИС подлежат согласованию с ФСБ России в части криптографической защиты информации. Допускается использование только СКЗИ, сертифицированных ФСБ России.

Лицензирование деятельности, связанной с СКЗИ

Проект приказа ФСБ России "Об утверждении Административного регламента ФСБ России по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств..." [5] был представлен для общественного обсуждения в ноябре 2022 г.

Проектом приказа ФСБ России предполагается признать утратившим силу приказ ФСБ России № 641 от 29.12.2020 г., утверждающий действующий на текущий момент Административный регламент.

Проект приказа ФСБ России разработан в целях приведения ведомственного правового акта в соответствие нормам Федерального закона № 99-ФЗ от 04.05.2011 г. "О лицензировании отдельных видов деятельности", а также Правилам разработки и утверждения административных регламентов предоставления государственных услуг, утвержденным постановлением Правительства Российской Федерации № 1228 от 20.07.2021 г. Кроме того, проектом приказа ФСБ России устанавливается запрет на осуществление лицензируемой деятельности, связанной с шифровальными средствами, иностранными юридическими лицами.

Дополнительные требования к отечественному ПО

Проект постановления Правительства Российской Федерации "О внесении изменений в некоторые акты Правительства Российской Федерации" [6] был представлен для общественного обсуждения Минцифры России 21 ноября 2022 г.

Проектом ПП РФ предлагается установить, что если на участие в закупке ПО, осуществляемой в соответствии с Федеральным законом "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд", подана как минимум одна заявка, содержащая предложение о поставке программы для электронных вычислительных машин и баз данных, прошедшей процедуру подтверждения соответствия дополнительным требованиям, заказчик отклоняет все иные заявки, содержащие предложения о поставке программ для электронных вычислительных машин и баз данных.

Проектом ПП РФ определяются и указанные дополнительные требования к прикладному и системному программному обеспечению, включенному в единый реестр российских программ для электронных вычислительных машин и баз данных, в том числе:

  • подтверждение совместимости не менее чем с одним центральным процессором, включенным в единый реестр российской радиоэлектронной продукции или реестр российской промышленной продукции;
  • ПО должно работать под управлением не менее одной российской операционной системы, прошедшей процедуру подтверждения соответствия дополнительным требованиям;
  • в случае доступа пользователя к ПО с использованием средств интернет-браузера ПО должно обеспечивать возможность использования не менее одного интернет-браузера, сведения о котором включены в реестр ПО;
  • ПО должно соответствовать требованиям законодательства Российской Федерации о защите информации и о защите персональных данных в случаях, установленных законодательством Российской Федерации;
  • передача данных по каналам связи, в том числе текстовых сообщений и (или) электронных документов, голосовой, звуковой, визуальной и иной информации с использованием ПО, должна осуществляться с учетом требований законодательства Российской Федерации о защите информации и о связи.

Проектом постановления определяются классы программ для электронных вычислительных машин и баз данных, сведения о которых включены в реестр программного обеспечения, на которые будут распространяться дополнительные требования. К таким классам программного обеспечения, в частности, отнесены: операционные системы общего назначения; коммуникационное программное обеспечение; средства антивирусной защиты.

Информация ограниченного доступа

В ноябре 2022 г. официально опубликовано постановление Правительства РФ № 205 от 14.11.2022 г. "Об утверждении Правил обращения со сведениями о результатах проведенной оценки уязвимости объектов транспортной инфраструктуры, судов ледокольного флота, используемых для проводки по морским путям, судов, в отношении которых применяются правила торгового мореплавания и требования в области охраны судов и портовых средств, установленные международными договорами Российской Федерации, а также со сведениями, содержащимися в планах и паспортах обеспечения транспортной безопасности объектов транспортной инфраструктуры и (или) транспортных средств, которые являются информацией ограниченного доступа, и признании утратившими силу некоторых актов Правительства Российской Федерации" [7].

Так, по ПП РФ № 2051 к информации ограниченного доступа (для которой проставляется пометка "для служебного пользования") относятся:

  • сведения о результатах проведенной оценки уязвимости объектов транспортной инфраструктуры, судов ледокольного флота, используемых для проводки по морским путям, судов, в отношении которых применяются правила торгового мореплавания и требования в области охраны судов и портовых средств, установленные международными договорами Российской Федерации;
  • сведения, содержащиеся в планах и паспортах обеспечения транспортной безопасности объектов транспортной инфраструктуры и (или) транспортных средств.

ПП РФ № 2051 также устанавливает порядок обращения с носителями информации ограниченного доступа.

Сведения, которые могут быть использованы против безопасности РФ

Приказ ФСБ России № 547 от 04.11.2022 г. "Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранными источниками могут быть использованы против безопасности Российской Федерации" [8] официально опубликован 17 ноября 2022 г.

В соответствии с Федеральным законом № 255-ФЗ от 14.07.2022 г. "О контроле за деятельностью лиц, находящихся под иностранным влиянием" под иностранным агентом понимается лицо, получившее поддержку и (или) находящееся под иностранным влиянием в иных формах и осуществляющее деятельность, виды которой установлены ст. 4 ФЗ № 255. Приказ ФСБ России № 547 в соответствии со ст. 4 ФЗ № 255 устанавливает перечень сведений, целенаправленный сбор которых относится к видам деятельности иностранных агентов.

Таким образом, стоит отметить, что, по приказу ФСБ России № 547, сбор, например, следующих сведений лицами, получившими поддержку и (или) находящимися под иностранным влиянием в иных формах, является деятельностью иноагентов:

  • сведения о составе и организации работы ГИС и ОКИИ;
  • сведения о виде, количестве и наименованиях модулей, местах расположения хранилищ данных и каналов связи, исходных текстах и дистрибутивах программного обеспечения, применяемого в работе ГИС и ОКИИ;
  • сведения о технической документации (техническом задании, моделях угроз и нарушителя) на создание ГИС и систем обеспечения информационной безопасности, в том числе для информационных систем, обрабатывающих служебную информацию ограниченного распространения, ОКИИ;
  • сведения о действующих паролях, кодах систем доступа к служебной информации ограниченного распространения, настройках средств защиты информации, результатах анализа защищенности и реагирования на компьютерные инциденты информационной безопасности ГИС и ОКИИ.

Перечень общедоступной информации

Распоряжением Правительства РФ № 3461-р от 15.11.2022 г.[9], опубликованным 15 ноября 2022 г., утвержден перечень сведений, включенных в реестр линий связи, пересекающих госграницу, и средств связи, к которым подключаются указанные линии связи, содержащий общедоступную информацию.

К указанной общедоступной информации отнесены, в частности, данные собственника или иного владельца линий связи, пересекающих государственную границу Российской Федерации, и собственника (владельца) средств связи, к которым подключаются указанные линии связи: фамилия, имя, отчество (физического лица или индивидуального предпринимателя) и регистрационный номер записи о государственной регистрации в качестве индивидуального предпринимателя (для индивидуальных предпринимателей).

ГОСТы по управлению компьютерными инцидентами

С 1 февраля 2023 г. будут введены в действие национальные стандарты Российской Федерации в сфере управления компьютерными инцидентами, утвержденные Федеральным агентством по техническому регулированию и метрологии (Росстандарт) соответствующими приказами от 29 ноября 2022 г. [10]

Утвержденные национальные стандарты:

  • ГОСТ Р 59709–2022 "Защита информации. Управление компьютерными инцидентами. Термины и определения" [11].
  • ГОСТ Р 59710–2022 "Защита информации. Управление компьютерными инцидентами. Общие положения" [12].
  • ГОСТ Р 59711–2022 "Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами" [13].
  • ГОСТ Р 59712–2022 "Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты" [14].

Декабрь-2022

О переходном периоде в аккредитации центров ГосСОПКА, об изменениях в правила категорирования объектов КИИ и в критерии значимости, о нормах об административных правонарушениях, связанных с КИИ и ПДн, об уведомлении Роскомнадзора об обработке ПДн, о соответствии средств контейнеризации при сертификации, о соблюдении требований по защите информации в платежной системе и о нормотворческих планах ФСТЭК России.

Переходный период для центров ГосСОПКА

Приказ ФСБ России от 01.11.2022 г. № 543 "Об определении переходного периода, предусмотренного подпунктом "б" п. 5 Указа Президента Российской Федерации № 250" [15] официально опубликован 2 декабря 2022 г. и вступил в силу 13 декабря 2022 г.

Приказом ФСБ России № 543 определен переходный период длительностью в три года со дня вступления приказа в силу, в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах органов (организаций), попадающих под требования Указа Президента РФ № 250. Напомним, что по истечении переходного периода для реализации указанных услуг допускается привлечение только аккредитованных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).

Изменения в правила категорирования и перечень показателей критериев значимости

Постановление Правительства Российской Федерации № 2360 от 20.12.2022 г. "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127" [16] официально опубликовано 21 декабря 2022 г. и вступает в силу 29 декабря 2022 г., за исключением подпункта "а" п. 1, который вступит в силу 21 марта 2023 г.

ПП РФ № 2360 вносит изменения в постановление Правительства Российской Федерации № 127 от 8 февраля 2018 г. "Об утверждении Правил категорирования объектов КИИ Российской Федерации, а также перечня показателей критериев значимости объектов КИИ Российской Федерации и их значений".

ПП РФ № 2360 вносит следующие изменения в правила категорирования объектов критической информационной инфраструктуры:

  • теперь субъекты КИИ обязаны уведомлять ФСТЭК России обо всех изменениях в ранее поданных сведениях о результатах присвоения объекту КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий; ранее требование о такой актуализации распространялась только на часть сведений;
  • государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, также смогут осуществлять мониторинг представления субъектами КИИ, выполняющими функции (полномочия) или осуществляющими виды деятельности в соответствующих областях (сферах), актуальных и достоверных сведений в полном объеме, а не частичном, как было установлено ранее;
  • в отношении субъектов КИИ, подведомственных государственным органам и российским юридическим лицам, мониторинг представления актуальных и достоверных сведений будет осуществляться этими государственными органами и российскими юридическими лицами;
  • теперь актуальность и достоверность сведений может подтверждаться отраслевыми регуляторами путем ознакомления с объектами КИИ по месту их нахождения;
  • при выявлении по результатам мониторинга нарушения сроков работ по категорированию, представления в ФСТЭК России, неактуальных либо недостоверных сведений отраслевые регуляторы должны будут направить во ФСТЭК России сведения о выявленных нарушениях в срок не позднее 30 дней со дня их выявления.

ПП РФ № 2360 также вносит изменения в перечень показателей критериев значимости объектов КИИ. К таким изменениям, в частности, относятся:

  • расширение применения 3-го показателя не только к объектам транспортной инфраструктуры, но и к транспортным средствам, в том числе высокоавтоматизированным транспортным средствам;
  • дополнение оценки отсутствия доступа к государственной услуге временем с момента приема запроса о предоставлении государственной услуги, в течение которого государственная услуга не может быть оказана;
  • расширение области действия 8-го показателя (экономической значимости) ущербом субъектам КИИ, которые являются организациями оборонно-промышленного комплекса;
  • снижение границы 9-го показателя (возникновение ущерба бюджету РФ), оцениваемого в снижении выплат (отчислений) в бюджет, осуществляемых субъектом КИИ. Ранее для присвоения объекту КИИ 3-й категории значимости пороговое значение было "более 0,001, но менее или равно 0,05", теперь же такая граница установлена для 1-й категории значимости – "более 0,001", что, соответственно, влечет пересмотр категорий значимости для тех объектов КИИ, которым была присвоена соответствующая категория по этому показателю;
  • показатель 10 был скорректирован для кредитных организаций и дополнен новыми позициями 10.1–10.5;
  • для определения снижения показателей государственного оборонного заказа скорректирована оценка времени изготовления единицы продукции, взамен оценки "времени выпуска продукции (работ, услуг)".

Напомним, что по правилам категорирования субъектам КИИ в случае изменения показателей критериев значимости объектов КИИ или их значений потребуется осуществить пересмотр (обратите внимание: пересмотр, а не повторное/перекатегорирование) установленных категорий значимости или решений об отсутствии необходимости присвоения категорий. В случае если категория значимости будет изменена, сведения о результатах пересмотра категории необходимо направить во ФСТЭК России.

С 21 марта 2023 г. субъектам КИИ при категорировании также потребуется учитывать перечни типовых отраслевых объектов КИИ, которые могут формироваться государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с ФСТЭК России. На момент написания настоящей статьи в общем доступе примеры перечней типовых отраслевых объектов КИИ опубликованы не были, имеются лишь примеры объектов КИИ, функционирующих в сфере здравоохранения (приложение 4 к Методическим рекомендациям по категорированию объектов критической информационной инфраструктуры сферы здравоохранения [17]).

КоАП и КИИ

Федеральный закон № 518-ФЗ от 19.12.2022 г. "О внесении изменений в отдельные законодательные акты Российской Федерации" [18] официально опубликован 19 декабря 2022 г. и вступил в силу в день опубликования. Он вносит поправки в статьи Кодекса Российской Федерации об административных правонарушениях, устанавливающие ответственность за повторное непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ.

Формы уведомлений Роскомнадзора

Приказ Роскомнадзора № 180 от 28.10.2022 г. "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных" [19] официально опубликован 15 декабря 2022 г. и вступил в силу

26 декабря 2022 г., соответствующие формы уведомлений размещены на портале персональных данных регулятора с 26 декабря 2022 г.

Приказом РКН № 180 утверждено три формы:

  • уведомления о намерении осуществлять обработку ПДн;
  • уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку ПДн;
  • уведомления о прекращении обработки ПДн.

Напомним, что с 1 сентября 2022 г. вступили в силу изменения в закон "О персональных данных". Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки ПДн, за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации. Формы, утвержденные приказом РКН № 180, приводят состав собираемых данных в соответствие с изменениями закона "О персональных данных".

Изменения в проверочные листы для контроля за обработкой ПДн

На общественное обсуждение 13 декабря 2022 г. был представлен проект приказа Роскомнадзора "О внесении изменений в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. № 253" [20].

Проект приказа РКН также направлен на приведение в соответствие изменениям в законодательстве списка контрольных вопросов по соблюдению требований по обработке ПДн.

Например, в проверочные листы предлагается добавить вопросы о соблюдении:

  • требований к поручению обработки ПДн третьему лицу;
  • требований по уведомлению Роскомнадзора о намерении осуществлять трансграничную передачу ПДн;
  • требований по уведомлению Роскомнадзора о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, и т.д.

Контроль утечек ПДн для аккредитованных ИТ-компаний

На общественное обсуждение 15 декабря 2022 г. был представлен проект постановления Правительства РФ "О внесении изменений в некоторые акты Правительства Российской Федерации" [21].

Указанный проект, в частности, предлагает внесение изменений в постановление Правительства Российской Федерации № 448 "Об особенностях осуществления государственного контроля (надзора), муниципального контроля в отношении аккредитованных организаций, осуществляющих деятельность в области информационных технологий, и о внесении изменений в некоторые акты Правительства Российской Федерации". В проекте предлагается разрешить осуществление внеплановых контрольных (надзорных) мероприятий федерального государственного контроля (надзора) за обработкой ПДн в отношении аккредитованных организаций, осуществляющих деятельность в области информационных технологий, в случае, если установлен факт распространения (предоставления) в сети "Интернет" баз ПДн (или их части), имеющих признаки принадлежности к аккредитованной организации.

КоАП и ПДн

Законопроект № 181342-7 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" 23 декабря был одобрен Советом Федерации и направлен президенту РФ.

Законопроект № 181342-7 предлагает дополнить КоАП РФ нормой о возможности возбуждения дела об административном правонарушении Роскомнадзором по итогам проведения контрольных (надзорных) мероприятий без взаимодействия с контролируемым лицом, например при нарушениях, предусмотренных ч. 1–21 и 4 ст. 13, ч. 3, 5 и 51 ст. 13.11, ч. 6 ст. 13.11, и др.

Ст. 13.11 КоАП определяет нарушения законодательства РФ в области ПДн.

Требования по безопасности информации к средствам контейнеризации

Информационным сообщением от 1 декабря 2022 г. N 240/24/6265 [22] ФСТЭК России сообщает об утверждении Требований по безопасности информации к средствам контейнеризации.

Указанный документ предназначен для организаций, осуществляющих разработку средств контейнеризации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации. Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий. С 29 сентября 2022 г. сертификация средств контейнеризации осуществляется на соответствие Требованиям.

Как отмечает ФСТЭК России, Требования включают минимально необходимые требования по безопасности информации, предъявляемые к уровню доверия средства контейнеризации и хостовой операционной системе, в среде которой функционирует средство, составу функций безопасности средства контейнеризации и др.

Для дифференциации требований по безопасности информации к средствам контейнеризации устанавливается шесть классов защиты. Самый низкий класс – шестой, самый высокий – первый.

В общем доступе сами Требования по безопасности информации к средствам контейнеризации опубликованы не были, доступна только выписка из них [23]. Получение копии Требований доступно по процедуре обеспечения органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления и организаций документами ФСТЭК России [24].

Защита информации в платежной системе

Официально опубликовано постановление Правительства Российской Федерации № 2250 от 08.12.2022 г. "О внесении изменения в Положение о защите информации в платежной системе" [25] было опубликовано 9 декабря 2022 г.

Указанное постановление Правительства РФ расширяет область действия постановления Правительства Российской Федерации № 584 от 13.06.2012 г. "Об утверждении Положения о защите информации в платежной системе". В сферу действия требований добавлены операторы услуг информационного обмена, поставщики платежных приложений, операторы электронных платформ в платежной системе.

Регламентация функций ФСТЭК России по лицензированию деятельности

В декабре 2022 г. для общественного обсуждения представлен проект приказа ФСТЭК России "Об утверждении Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации" [26].

Проектом приказа ФСТЭК России предлагается отменить действующий на данный момент приказ ФСТЭК России № 133 от 17.07.2017 г. "Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации".

Потребность в таком переиздании вызвана вступлением в силу с 03.02.2023 г. ч. 2.3. ст. 1 Федерального закона № 210ФЗ от 27.07.2010 г. "Об организации предоставления государственных и муниципальных услуг". Указанная часть устанавливает, что деятельность федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, не является предоставлением государственных и муниципальных услуг.

Проектом приказа ФСТЭК России регламентируются процедуры осуществления лицензирования деятельности и утверждаются формы документов, используемых при лицензировании деятельности, таким образом проект приказа носит процедурный характер. В целом требования к комплекту документов и осуществлению процедуры остались теми же.

В декабре 2022 г. ФСТЭК России также представил для общественного обсуждения проект приказа "Об утверждении Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по технической защите конфиденциальной информации" [27].

Проект этого приказа по аналогии с предыдущим также разработан в целях признания утратившим силу приказа ФСТЭК России № 134 от 17.07.2017 г. "Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации", с учетом положений ч. 2.3 ст. 1 Федерального закона № 210-ФЗ от 27.07.2010 г. "Об организации предоставления государственных и муниципальных услуг".

Позднее в декабре 2022 г. в тех же целях были представлены на обсуждение проекты приказов ФСТЭК России по обновлению регламентов осуществления функции по лицензированию деятельности:

  • проект приказа ФСТЭК России "Об утверждении Регламента осуществления Федеральной службой по техническому и экспортному контролю функции по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации" [28];
  • проект приказа ФСТЭК России "Об утверждении Регламента осуществления Федеральной службой по техническому и экспортному контролю функции по лицензированию деятельности по технической защите конфиденциальной информации" [29].

На общественное обсуждение в декабре 2022 г. были также представлены следующие проекты приказов ФСТЭК России:

  • "Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации" [30];
  • "Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации" [31].

Проекты указанных приказов дублируют формы из рассмотренных ранее проектов порядков осуществления лицензирования деятельности и предложения об отмене действующих административных регламентов.

Планы ФСТЭК России на 2023 год

В декабре 2022 г. ФСТЭК России опубликовала план разработки нормативных правовых актов на 2023 г. [32]

В плане можно найти и проекты приказов, которые были рассмотрены в этом обзоре и предыдущих за текущий год, а также, например, увидеть планы разработки:

  • проекта указа Президента Российской Федерации "Об утверждении Положения о государственной системе защиты информации в Российской Федерации";
  • проекта приказа ФСТЭК России "Об утверждении Порядка организации и осуществления Федеральной службой по техническому и экспортному контролю федерального государственного контроля за обеспечением защиты государственной тайны";
  • проекта приказа ФСТЭК России "Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации".

  1. https://regulation.gov.ru/projects#npa=133499 
  2. http://publication.pravo.gov.ru/Document/View/0001202211290008 
  3. http://publication.pravo.gov.ru/Document/View/0001202211290004 
  4. http://publication.pravo.gov.ru/Document/View/0001202211230034 
  5. https://regulation.gov.ru/projects#npa=132843 
  6. https://regulation.gov.ru/projects#npa=133695 
  7. http://publication.pravo.gov.ru/Document/View/0001202211150032 
  8. http://publication.pravo.gov.ru/Document/View/0001202211170017 
  9. http://publication.pravo.gov.ru/Document/View/0001202211150029 
  10. https://safe-surf.ru/specialists/news/687014/ 
  11. https://protect.gost.ru/document1.aspx?control=31&id=246869 
  12. https://protect.gost.ru/document1.aspx?control=31&id=246882 
  13. https://protect.gost.ru/document1.aspx?control=31&id=246846 
  14. https://protect.gost.ru/document1.aspx?control=31&id=246868 
  15. http://publication.pravo.gov.ru/Document/View/0001202212020034 
  16. http://publication.pravo.gov.ru/Document/View/0001202212210032 
  17. https://lib.itsec.ru/link/?to=minzdrav-1618995871 
  18. http://publication.pravo.gov.ru/Document/View/0001202212190005 
  19. http://publication.pravo.gov.ru/Document/View/0001202212150022 
  20. https://regulation.gov.ru/projects#npa=134307 
  21. https://regulation.gov.ru/projects#npa=134433 
  22. https://fstec.ru/Nomotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2558  
  23. https://fstec.ru/Nomotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2557  
  24. https://fstec.ru/Nomotvorcheskaya/obespechenie-dokumentami 
  25. http://publication.pravo.gov.ru/Document/View/0001202212090032 
  26. https://regulation.gov.ru/projects#npa=134170 
  27. https://regulation.gov.ru/projects#npa=134091 
  28. https://regulation.gov.ru/projects#npa=134355 
  29. https://regulation.gov.ru/projects#npa=134356 
  30. https://regulation.gov.ru/projects#npa=134466 
  31. https://regulation.gov.ru/projects#npa=134468 
  32. https://fstec.ru/Nomotvorcheskaya/akty/54-inye/2560  
Темы:Право и нормативыФСТЭКSOCБезопасность КИИЖурнал "Информационная безопасность" №6, 2022

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать