Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
О мониторинге защищенности в рамках исполнения требований Указа Президента РФ № 250, о требованиях Роскомнадзора к процессам, связанным с обработкой ПДн; об утверждении порядка применения СКЗИ в ГИС; об изменениях в порядке лицензирования деятельности, связанной с шифровальными средствами; о проекте дополнительных требований к отечественному ПО; об особенностях обращения с различными видами информации, а также о новых стандартах в области управления инцидентами ИБ.
В ноябре 2022 г. для общественного обсуждения представлен проект приказа ФСБ России "Об утверждении Порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими" [1].
Проект приказа ФСБ России разработан в целях реализации требований подпункта "в" п. 5 Указа Президента Российской Федерации от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".
Мониторинг защищенности будет осуществляться Центром защиты информации и специальной связи ФСБ России и территориальными органами безопасности. К информационным ресурсам, подпадающим под мониторинг, относятся:
При этом мониторинг защищенности будет осуществляться только в отношении информационных ресурсов, имеющих непосредственное подключение к сети "Интернет" и (или) сопряженных с сетью "Интернет" с использованием технологии трансляции сетевых адресов.
Для осуществления мониторинга защищенности органам (организациям), подпадающим под действие Указа Президента РФ № 250, потребуется направить в Центр защиты информации и специальной связи ФСБ России следующую информацию:
Оценка защищенности информационных ресурсов (одна из форм мероприятий по мониторингу защищенности) должна будет осуществляться органами безопасности на основании ежегодного плана, утверждаемого начальником Центра защиты информации и специальной связи ФСБ России. Выписки из указанного плана будут направляться территориальным органам безопасности, а также органам (организациям), в отношении информационных ресурсов которых предусмотрено проведение оценки защищенности. О проведении оценки защищенности информационных ресурсов органы (организации) письменно уведомляются органами безопасности не позднее чем за 14 календарных дней до начала проведения указанных мероприятий.
Для оценки защищенности информационных ресурсов органов (организаций) потребуется подключение программно-аппаратных комплексов органов безопасности к информационным ресурсам органов (организаций). Подключение программно-аппаратных комплексов органов безопасности к информационным ресурсам органов (организаций) может осуществляться как удаленно, так и на объектах органов (организаций).
Приказ Роскомнадзора № 179 от 28.10.2022 г. "Об утверждении Требований к подтверждению уничтожения персональных данных" [2] официально опубликован 29 ноября 2022 г. Он вступает в силу с 1 марта 2023 г. и будет действовать до 1 марта 2029 г.
В случае если обработка персональных данных осуществляется без использования средств автоматизации, документом, подтверждающим уничтожение ПДн, будет являться акт об уничтожении ПДн. В случае если обработка ПДн осуществляется с использованием средств автоматизации, документами, подтверждающими уничтожение ПДн, будут являться акт об уничтожении ПДн и выгрузка из журнала регистрации событий в ИСПНн. При смешанном способе обработки потребуются и акт об уничтожении ПДн, и выгрузка журнала из ИСПДн.
Акт об уничтожении ПДн и выгрузка из журнала регистрации событий ИСПДн подлежат хранению в течение трех лет с момента уничтожения ПДн.
Выгрузки из журналов регистрации событий ИСПДн должны будут содержать:
Однако, если выгрузка из журнала не позволяет указать отдельные сведения, недостающие сведения могут быть внесены в акт об уничтожении ПДн.
Приказ Роскомнадзора № 178 от 27.10.2022 г. "Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" [3] был официально опубликован 29 ноября 2022 г. Он вступает в силу с 1 марта 2023 г. и будет действовать до 1 марта 2029 г.
Согласно приказу РКН № 178 оценка вреда, который может быть причинен субъектам ПДн, должна осуществляться ответственным за организацию обработки ПДн либо комиссией, образуемой оператором.
Оператор определяет одну из степеней вреда, который может быть причинен субъекту ПДн, – высокую, среднюю и низкую. Критерии установления оценки вреда установлены приказом РКН № 178 и, в частности, основываются на категориях обрабатываемых ПДн или особенностях реализации оператором закона о ПДн.
Результат оценки вреда должен быть оформлен актом. В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке ПДн субъекту ПДн могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.
Приказ ФСБ России № 524 от 24.10.2022 г. "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств" [4] официально опубликован 23 ноября 2022 г. Он вступает в силу по истечении одного года со дня его официального опубликования, то есть 23 ноября 2023 г.
Приказом ФСБ России № 524 определено, что информация, содержащаяся в ГИС, подлежит защите с использованием СКЗИ в следующих случаях:
Необходимость использования СКЗИ для защиты информации, содержащейся в ГИС, подлежит обоснованию в модели угроз безопасности информации, техническом проекте и техническом задании на создание (развитие) ГИС. При этом модель угроз безопасности информации и (или) техническое задание на создание (развитие) ГИС подлежат согласованию с ФСБ России в части криптографической защиты информации. Допускается использование только СКЗИ, сертифицированных ФСБ России.
Проект приказа ФСБ России "Об утверждении Административного регламента ФСБ России по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных средств..." [5] был представлен для общественного обсуждения в ноябре 2022 г.
Проектом приказа ФСБ России предполагается признать утратившим силу приказ ФСБ России № 641 от 29.12.2020 г., утверждающий действующий на текущий момент Административный регламент.
Проект приказа ФСБ России разработан в целях приведения ведомственного правового акта в соответствие нормам Федерального закона № 99-ФЗ от 04.05.2011 г. "О лицензировании отдельных видов деятельности", а также Правилам разработки и утверждения административных регламентов предоставления государственных услуг, утвержденным постановлением Правительства Российской Федерации № 1228 от 20.07.2021 г. Кроме того, проектом приказа ФСБ России устанавливается запрет на осуществление лицензируемой деятельности, связанной с шифровальными средствами, иностранными юридическими лицами.
Проект постановления Правительства Российской Федерации "О внесении изменений в некоторые акты Правительства Российской Федерации" [6] был представлен для общественного обсуждения Минцифры России 21 ноября 2022 г.
Проектом ПП РФ предлагается установить, что если на участие в закупке ПО, осуществляемой в соответствии с Федеральным законом "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд", подана как минимум одна заявка, содержащая предложение о поставке программы для электронных вычислительных машин и баз данных, прошедшей процедуру подтверждения соответствия дополнительным требованиям, заказчик отклоняет все иные заявки, содержащие предложения о поставке программ для электронных вычислительных машин и баз данных.
Проектом ПП РФ определяются и указанные дополнительные требования к прикладному и системному программному обеспечению, включенному в единый реестр российских программ для электронных вычислительных машин и баз данных, в том числе:
Проектом постановления определяются классы программ для электронных вычислительных машин и баз данных, сведения о которых включены в реестр программного обеспечения, на которые будут распространяться дополнительные требования. К таким классам программного обеспечения, в частности, отнесены: операционные системы общего назначения; коммуникационное программное обеспечение; средства антивирусной защиты.
В ноябре 2022 г. официально опубликовано постановление Правительства РФ № 205 от 14.11.2022 г. "Об утверждении Правил обращения со сведениями о результатах проведенной оценки уязвимости объектов транспортной инфраструктуры, судов ледокольного флота, используемых для проводки по морским путям, судов, в отношении которых применяются правила торгового мореплавания и требования в области охраны судов и портовых средств, установленные международными договорами Российской Федерации, а также со сведениями, содержащимися в планах и паспортах обеспечения транспортной безопасности объектов транспортной инфраструктуры и (или) транспортных средств, которые являются информацией ограниченного доступа, и признании утратившими силу некоторых актов Правительства Российской Федерации" [7].
Так, по ПП РФ № 2051 к информации ограниченного доступа (для которой проставляется пометка "для служебного пользования") относятся:
ПП РФ № 2051 также устанавливает порядок обращения с носителями информации ограниченного доступа.
Приказ ФСБ России № 547 от 04.11.2022 г. "Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранными источниками могут быть использованы против безопасности Российской Федерации" [8] официально опубликован 17 ноября 2022 г.
В соответствии с Федеральным законом № 255-ФЗ от 14.07.2022 г. "О контроле за деятельностью лиц, находящихся под иностранным влиянием" под иностранным агентом понимается лицо, получившее поддержку и (или) находящееся под иностранным влиянием в иных формах и осуществляющее деятельность, виды которой установлены ст. 4 ФЗ № 255. Приказ ФСБ России № 547 в соответствии со ст. 4 ФЗ № 255 устанавливает перечень сведений, целенаправленный сбор которых относится к видам деятельности иностранных агентов.
Таким образом, стоит отметить, что, по приказу ФСБ России № 547, сбор, например, следующих сведений лицами, получившими поддержку и (или) находящимися под иностранным влиянием в иных формах, является деятельностью иноагентов:
Распоряжением Правительства РФ № 3461-р от 15.11.2022 г.[9], опубликованным 15 ноября 2022 г., утвержден перечень сведений, включенных в реестр линий связи, пересекающих госграницу, и средств связи, к которым подключаются указанные линии связи, содержащий общедоступную информацию.
К указанной общедоступной информации отнесены, в частности, данные собственника или иного владельца линий связи, пересекающих государственную границу Российской Федерации, и собственника (владельца) средств связи, к которым подключаются указанные линии связи: фамилия, имя, отчество (физического лица или индивидуального предпринимателя) и регистрационный номер записи о государственной регистрации в качестве индивидуального предпринимателя (для индивидуальных предпринимателей).
С 1 февраля 2023 г. будут введены в действие национальные стандарты Российской Федерации в сфере управления компьютерными инцидентами, утвержденные Федеральным агентством по техническому регулированию и метрологии (Росстандарт) соответствующими приказами от 29 ноября 2022 г. [10]
Утвержденные национальные стандарты:
О переходном периоде в аккредитации центров ГосСОПКА, об изменениях в правила категорирования объектов КИИ и в критерии значимости, о нормах об административных правонарушениях, связанных с КИИ и ПДн, об уведомлении Роскомнадзора об обработке ПДн, о соответствии средств контейнеризации при сертификации, о соблюдении требований по защите информации в платежной системе и о нормотворческих планах ФСТЭК России.
Приказ ФСБ России от 01.11.2022 г. № 543 "Об определении переходного периода, предусмотренного подпунктом "б" п. 5 Указа Президента Российской Федерации № 250" [15] официально опубликован 2 декабря 2022 г. и вступил в силу 13 декабря 2022 г.
Приказом ФСБ России № 543 определен переходный период длительностью в три года со дня вступления приказа в силу, в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах органов (организаций), попадающих под требования Указа Президента РФ № 250. Напомним, что по истечении переходного периода для реализации указанных услуг допускается привлечение только аккредитованных центров государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
Постановление Правительства Российской Федерации № 2360 от 20.12.2022 г. "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127" [16] официально опубликовано 21 декабря 2022 г. и вступает в силу 29 декабря 2022 г., за исключением подпункта "а" п. 1, который вступит в силу 21 марта 2023 г.
ПП РФ № 2360 вносит изменения в постановление Правительства Российской Федерации № 127 от 8 февраля 2018 г. "Об утверждении Правил категорирования объектов КИИ Российской Федерации, а также перечня показателей критериев значимости объектов КИИ Российской Федерации и их значений".
ПП РФ № 2360 вносит следующие изменения в правила категорирования объектов критической информационной инфраструктуры:
ПП РФ № 2360 также вносит изменения в перечень показателей критериев значимости объектов КИИ. К таким изменениям, в частности, относятся:
Напомним, что по правилам категорирования субъектам КИИ в случае изменения показателей критериев значимости объектов КИИ или их значений потребуется осуществить пересмотр (обратите внимание: пересмотр, а не повторное/перекатегорирование) установленных категорий значимости или решений об отсутствии необходимости присвоения категорий. В случае если категория значимости будет изменена, сведения о результатах пересмотра категории необходимо направить во ФСТЭК России.
С 21 марта 2023 г. субъектам КИИ при категорировании также потребуется учитывать перечни типовых отраслевых объектов КИИ, которые могут формироваться государственными органами и российскими юридическими лицами, выполняющими функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с ФСТЭК России. На момент написания настоящей статьи в общем доступе примеры перечней типовых отраслевых объектов КИИ опубликованы не были, имеются лишь примеры объектов КИИ, функционирующих в сфере здравоохранения (приложение 4 к Методическим рекомендациям по категорированию объектов критической информационной инфраструктуры сферы здравоохранения [17]).
Федеральный закон № 518-ФЗ от 19.12.2022 г. "О внесении изменений в отдельные законодательные акты Российской Федерации" [18] официально опубликован 19 декабря 2022 г. и вступил в силу в день опубликования. Он вносит поправки в статьи Кодекса Российской Федерации об административных правонарушениях, устанавливающие ответственность за повторное непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ.
Приказ Роскомнадзора № 180 от 28.10.2022 г. "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных" [19] официально опубликован 15 декабря 2022 г. и вступил в силу
26 декабря 2022 г., соответствующие формы уведомлений размещены на портале персональных данных регулятора с 26 декабря 2022 г.
Приказом РКН № 180 утверждено три формы:
Напомним, что с 1 сентября 2022 г. вступили в силу изменения в закон "О персональных данных". Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки ПДн, за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обрабатывает данные исключительно без средств автоматизации. Формы, утвержденные приказом РКН № 180, приводят состав собираемых данных в соответствие с изменениями закона "О персональных данных".
На общественное обсуждение 13 декабря 2022 г. был представлен проект приказа Роскомнадзора "О внесении изменений в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. № 253" [20].
Проект приказа РКН также направлен на приведение в соответствие изменениям в законодательстве списка контрольных вопросов по соблюдению требований по обработке ПДн.
Например, в проверочные листы предлагается добавить вопросы о соблюдении:
На общественное обсуждение 15 декабря 2022 г. был представлен проект постановления Правительства РФ "О внесении изменений в некоторые акты Правительства Российской Федерации" [21].
Указанный проект, в частности, предлагает внесение изменений в постановление Правительства Российской Федерации № 448 "Об особенностях осуществления государственного контроля (надзора), муниципального контроля в отношении аккредитованных организаций, осуществляющих деятельность в области информационных технологий, и о внесении изменений в некоторые акты Правительства Российской Федерации". В проекте предлагается разрешить осуществление внеплановых контрольных (надзорных) мероприятий федерального государственного контроля (надзора) за обработкой ПДн в отношении аккредитованных организаций, осуществляющих деятельность в области информационных технологий, в случае, если установлен факт распространения (предоставления) в сети "Интернет" баз ПДн (или их части), имеющих признаки принадлежности к аккредитованной организации.
Законопроект № 181342-7 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" 23 декабря был одобрен Советом Федерации и направлен президенту РФ.
Законопроект № 181342-7 предлагает дополнить КоАП РФ нормой о возможности возбуждения дела об административном правонарушении Роскомнадзором по итогам проведения контрольных (надзорных) мероприятий без взаимодействия с контролируемым лицом, например при нарушениях, предусмотренных ч. 1–21 и 4 ст. 13, ч. 3, 5 и 51 ст. 13.11, ч. 6 ст. 13.11, и др.
Ст. 13.11 КоАП определяет нарушения законодательства РФ в области ПДн.
Информационным сообщением от 1 декабря 2022 г. N 240/24/6265 [22] ФСТЭК России сообщает об утверждении Требований по безопасности информации к средствам контейнеризации.
Указанный документ предназначен для организаций, осуществляющих разработку средств контейнеризации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации. Выполнение Требований является обязательным при проведении работ по оценке соответствия (включая работы по сертификации) средств технической защиты информации и средств обеспечения безопасности информационных технологий. С 29 сентября 2022 г. сертификация средств контейнеризации осуществляется на соответствие Требованиям.
Как отмечает ФСТЭК России, Требования включают минимально необходимые требования по безопасности информации, предъявляемые к уровню доверия средства контейнеризации и хостовой операционной системе, в среде которой функционирует средство, составу функций безопасности средства контейнеризации и др.
Для дифференциации требований по безопасности информации к средствам контейнеризации устанавливается шесть классов защиты. Самый низкий класс – шестой, самый высокий – первый.
В общем доступе сами Требования по безопасности информации к средствам контейнеризации опубликованы не были, доступна только выписка из них [23]. Получение копии Требований доступно по процедуре обеспечения органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления и организаций документами ФСТЭК России [24].
Официально опубликовано постановление Правительства Российской Федерации № 2250 от 08.12.2022 г. "О внесении изменения в Положение о защите информации в платежной системе" [25] было опубликовано 9 декабря 2022 г.
Указанное постановление Правительства РФ расширяет область действия постановления Правительства Российской Федерации № 584 от 13.06.2012 г. "Об утверждении Положения о защите информации в платежной системе". В сферу действия требований добавлены операторы услуг информационного обмена, поставщики платежных приложений, операторы электронных платформ в платежной системе.
В декабре 2022 г. для общественного обсуждения представлен проект приказа ФСТЭК России "Об утверждении Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации" [26].
Проектом приказа ФСТЭК России предлагается отменить действующий на данный момент приказ ФСТЭК России № 133 от 17.07.2017 г. "Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации".
Потребность в таком переиздании вызвана вступлением в силу с 03.02.2023 г. ч. 2.3. ст. 1 Федерального закона № 210ФЗ от 27.07.2010 г. "Об организации предоставления государственных и муниципальных услуг". Указанная часть устанавливает, что деятельность федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, не является предоставлением государственных и муниципальных услуг.
Проектом приказа ФСТЭК России регламентируются процедуры осуществления лицензирования деятельности и утверждаются формы документов, используемых при лицензировании деятельности, таким образом проект приказа носит процедурный характер. В целом требования к комплекту документов и осуществлению процедуры остались теми же.
В декабре 2022 г. ФСТЭК России также представил для общественного обсуждения проект приказа "Об утверждении Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по технической защите конфиденциальной информации" [27].
Проект этого приказа по аналогии с предыдущим также разработан в целях признания утратившим силу приказа ФСТЭК России № 134 от 17.07.2017 г. "Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации", с учетом положений ч. 2.3 ст. 1 Федерального закона № 210-ФЗ от 27.07.2010 г. "Об организации предоставления государственных и муниципальных услуг".
Позднее в декабре 2022 г. в тех же целях были представлены на обсуждение проекты приказов ФСТЭК России по обновлению регламентов осуществления функции по лицензированию деятельности:
На общественное обсуждение в декабре 2022 г. были также представлены следующие проекты приказов ФСТЭК России:
Проекты указанных приказов дублируют формы из рассмотренных ранее проектов порядков осуществления лицензирования деятельности и предложения об отмене действующих административных регламентов.
В декабре 2022 г. ФСТЭК России опубликовала план разработки нормативных правовых актов на 2023 г. [32]
В плане можно найти и проекты приказов, которые были рассмотрены в этом обзоре и предыдущих за текущий год, а также, например, увидеть планы разработки: