Обзор изменений в законодательстве в июле и августе 2022 г.

Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности

Июль-2022

В обзоре изменений законодательства по информационной безопасности за июль поговорим о том, какие изменения в процессах обработки персональных данных ждут операторов с 1 сентября текущего года и с 1 марта следующего года, а также об особенностях эксплуатации значимых объектов КИИ, электронной подписи, ЕБС и изменениях в требованиях по защите информации для кредитных организаций, УК РФ и КоАП РФ. Рассмотрим постановление Правительства РФ, выпущенное в целях исполнения требований Указа Президента РФ от 1 мая 2022 г. № 250.

Изменения в ФЗ о персональных данных

Федеральный закон от 14.07.2022 г. № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных", отдельные законодательные акты Российской Федерации, и признании утратившей силу части четырнадцатой статьи 30 Федерального закона "О банках и банковской деятельности" [1] (далее – ФЗ № 266) официально опубликован 14 июля 2022 г.

ФЗ № 266 вносит изменения в Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" (далее – ФЗ № 152). Ряд изменений вступил в силу 1 сентября 2022 г., остальные вступят в силу с 1 марта 2023 г.

Отметим некоторые требования, вступившие в силу с 1 сентября:

• Операторам необходимо определиться с политикой в отношении обработки персональных данных (далее – ПДн) или иных локальных актов – имеются в виду категории и перечень обрабатываемых ПДн для каждой цели обработки.
• Политика обработки ПДн должна быть опубликована на всех страницах сайтов в сети "Интернет", принадлежащих оператору, с помощью которых осуществляется сбор ПДн.
• Скорректированы сроки ответа оператора на обращения субъектов ПДн: вместо 30 рабочих дней ответить необходимо в течение 10 рабочих дней. При наличии мотивированного обоснования продления срока его можно увеличить на 5 дней.
• Дополнены требования к содержанию поручения оператора к лицу, осуществляющему обработку ПДн по поручению оператора.
• Сокращен перечень случаев, при которых уведомлять Роскомнадзор об обработке ПДн не требовалось. Теперь операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки ПДн, за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности или если оператор обрабатывает данные исключительно без средств автоматизации.
• В уведомлении о намерении осуществлять обработку ПДн изменяются требования к составу сведений, а именно указание для каждой цели обработки ПДн, категории ПДн, категории субъектов, правовое основание обработки ПДн, перечень действий с ПДн, способы обработки ПДн.

Проекты новых форм уведомлений о намерении осуществлять обработку ПДн, о внесении изменений в ранее представленные сведения, о прекращении обработки ПДн [2] находились на публичном обсуждении с 19 августа по 15 сентября 2022 г. По этому пункту изменений на официальном портале Роскомнадзором были опубликованы комментарии [3].

До утверждения новых форм оператор вправе заполнить форму уведомления об обработке ПДн на портале персональных данных Роскомнадзора по старым правилам. После вступления в силу приказа Роскомнадзора, устанавливающего новую форму уведомления, оператор может направить уведомление о внесении изменений в ранее представленные сведения.

Регулятор отмечает, что предельный срок уведомления Роскомнадзора об обработке ПДн не определен. Таким образом, 1 сентября 2022 г. не является крайним сроком подачи уведомления об обработке ПДн.

Оператор обязан в порядке, определенном ФСБ России, обеспечивать взаимодействие с ГосСОПКА. На момент написания статьи документов, регламентирующих такое взаимодействие, со стороны ФСБ России в общедоступных источниках опубликовано не было.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, оператор обязан с момента выявления такого инцидента уведомить об этом Роскомнадзор: течение 24 часов – уведомить об инциденте, в течение 72 часов – уведомить о результатах внутреннего расследования по инциденту и о виновных лицах (при наличии). Для операторов на сайте Роскомнадзора уже доступны специальные электронные формы подачи уведомлений [4].

Операторам следует готовиться к следующим изменениям, вступающим в силу с 1 марта 2023 г.

Необходимо будет провести оценку вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ № 152, в соответствии с требованиями, которые будут разработаны Роскомнадзором. Проект указанных требований [5] был представлен Роскомнадзором на общественное обсуждение 19 августа 2022 г. Общественные обсуждения продлились до 21 сентября 2022 г. Оценка вреда субъектам ПДн на текущий момент подразумевает учет степени вреда только в случае нарушения определенных законодательством норм по обработке ПДн. Прямой связи оценки вреда с количеством субъектов, чьи ПДн обрабатываются, категориями обрабатываемых ПДн и иными показателями проект методики оценки вреда не предусматривает.

Уничтожение ПДн необходимо будет подтверждать в соответствии с требованиями, установленными Роскомнадзором. Проект требований [6] по подтверждению уничтожения находился на публичном обсуждении с 19 августа 2022 г. по 15 сентября 2022 г. Подразумевается, что документами, подтверждающими уничтожение ПДн, обрабатываемых оператором с использованием средств автоматизации и без использования средств автоматизации, являются акт об уничтожении ПДн и (или) выгрузка из журнала регистрации событий в информационной системе ПДн, соответствующие проекту требований.

Вступят в силу корректировки статьи, регламентирующей требования к трансграничной передаче ПДн. В частности, оператор до начала осуществления трансграничной передачи обязан уведомить Роскомнадзор о своем намерении. Отдельно отмечается, что операторы, которые осуществляли трансграничную передачу ПДн до 1 сентября 2022 г. и продолжают осуществлять такую передачу после указанной даты, обязаны не позднее 1 марта 2023 г. направить в Роскомнадзор уведомления об осуществлении передачи. Так, на своем официальном сайте Роскомнадзор опубликовал следующие пояснения по этой теме [7]: операторов, которые уже сейчас передают данные за границу, закон обязал направить в Роскомнадзор уведомление о трансграничной передаче до 1 марта 2023 г., чтобы в дальнейшем не приостанавливать свою деятельность. Уведомлять необходимо один раз для каждой страны, в которую будут передаваться данные, а не о каждой транзакции. Представлена также электронная форма подачи уведомлений о трансграничной передаче ПДн [8].

Роскомнадзором будет утвержден перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, в новом формате. В перечень будут включены и государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, и иностранные государства, не являющиеся сторонами Конвенции Совета Европы. Советующий проект перечня опубликован на федеральном портале проектов нормативных правовых актов 19 июля 2022 г. [9]

Исполнение Указа Президента РФ № 250

Постановление Правительства Российской Федерации от 15.07.2022 г. № 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)" [10] (далее – ПП РФ № 1272) официально опубликовано 19 июля 2022 г.

ПП РФ № 1272 выпущено в целях исполнения требований под п. "а" п. 3 Указа Президента Российской Федерации от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации".

Одна из важных норм, на которую стоит обратить внимание: к заместителю руководителя органа (организации), назначаемому ответственным за обеспечение информационной безопасности, предъявляются квалификационные требования. Ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения ИБ. Если ответственное лицо имеет высшее образование по другому направлению подготовки (специальности), оно должно пройти обучение по программе профессиональной переподготовки по направлению "Информационная безопасность".

Подразделение, обеспечивающее ИБ, должно быть в прямом подчинении либо заместителю руководителя, ответственному за обеспечение ИБ, либо иным лицам из состава руководства организации при условии осуществления курирования со стороны руководителя органа (организации).

Эксплуатация ЗОКИИ

Опубликованным 14 июля 2022 г. Федеральным законом от 14.07.2022 г. № 255-ФЗ "О контроле за деятельностью лиц, находящихся под иностранным влиянием" [11] было установлено следующее ограничение: иностранный агент не вправе осуществлять эксплуатацию значимых объектов критической информационной инфраструктуры и осуществлять деятельность по обеспечению безопасности значимых объектов критической информационной инфраструктуры.

Изменения в ФЗ об ЭП

Федеральный закон от 14.07.2022 г. № 339-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" [12] (далее – ФЗ № 339) опубликован 22 июля 2022 г. ФЗ № 339 внес поправки в Федеральный закон от 06.04.2011 г. № 63-ФЗ "Об электронной подписи", вступившие в силу 14.07.2022 г.

Изменения, в частности, коснулись передоверия для отдельных категорий лиц и возможности выдачи ключа проверки электронной подписи юридического лица, не являющегося квалифицированным сертификатом, физическому лицу, действующему от имени юридического лица на основании доверенности, а также возможности не указывать физическое лицо в сертификате ключа проверки электронной подписи, выданном юридическому лицу для автоматического создания и (или) автоматической проверки электронной подписи в информационной системе.

Размещение биометрии в единой биометрической системе (ЕБС)

Федеральный закон от 14.07.2022 г. № 325-ФЗ "О внесении изменений в статьи 14 и 14-1 Федерального закона "Об информации, информационных технологиях и о защите информации" и статью 5 Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации" также был опубликован 14.07.2022 г.

Теперь в случае, если в информационных системах государственных органов, иных организаций в соответствии с федеральными законами собраны биометрические ПДн, соответствующие каким-либо видам биометрических ПДн, размещаемых в ЕБС, организации обязаны разместить такие биометрические ПДн в ЕБС без получения согласия субъекта ПДн. Организации обязаны уведомить субъекта ПДн о размещении ПДн в ЕБС, а также о возможности обратиться к оператору ЕБС (ПАО "Ростелеком") с требованием о блокировании или об уничтожении его биометрических ПДн.

Изменения в 683-П

В июле 2022 г. Банк России опубликовал указание от 18.02.2022 г. № 6071-У "О внесении изменений в Положение Банка России от 17 апреля 2019 г. № 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" [13].

Указанием вводится следующее изменение: по решению кредитной организации оценка соответствия программного обеспечения, распространяемого клиентам в целях совершения банковских операций, может проводиться самой организацией или с привлечением организации – лицензиата ФСТЭК России. Дополнены требования о технологиях обработки защищаемой информации. В явном виде указывается на необходимость соблюдения требования Федерального закона от 26.07.2017 г. №187 "О безопасности критической информационной инфраструктуры" для объектов критической информационной инфраструктуры.

Изменения в Уголовном кодексе Российской Федерации

Федеральный закон от 14.07.2022 г. № 260-ФЗ "О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации" [14] (далее – ФЗ № 260) официально опубликован 14 июля 2022 г.

ФЗ № 260 вводит в Уголовный кодекс Российской Федерации статьи следующего содержания (см. таблицу).

Штрафы за нарушение запрета на сбор персональных данных (и не только)

Федеральный закон от 14.07.2022 г. № 259-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" [15] (далее – ФЗ № 259) официально опубликован 14 июля 2022 г.

Так, ФЗ № 259 вводит следующую статью в Кодекс Российской Федерации об административных правонарушениях (КоАП РФ).

Неисполнение иностранным юридическим лицом, иностранной организацией, не являющейся юридическим лицом, иностранным гражданином или лицом без гражданства, осуществляющими деятельность в сети "Интернет" на территории Российской Федерации, решения Роскомнадзора о запрете сбора с использованием информационных ресурсов указанного иностранного лица персональных данных граждан Российской Федерации влечет за собой административный штраф: для граждан в размере от 30 тыс. до 100 тыс. руб., для должностных лиц – от 100 тыс. до 500 тыс. руб., для юридических лиц – от 1 млн 500 тыс. до 6 млн руб.

Август-2022

В обзоре за август читайте о порядке перехода на доверенные программно-аппаратные комплексы и российское ПО субъектов КИИ и государственных органов, об изменениях в информировании ФСБ России о компьютерных инцидентах, о проекте административных штрафов за предоставление недостоверных сведений по результатам категорирования, об аккредитации удостоверяющих центров и ГИС, о предлагаемой классификации ГИС и об отмене ГОСТа о требованиях к органам по аттестации.

Переход субъектов КИИ на доверенные программно-аппаратные комплексы

Проект постановления Правительства Российской Федерации "О порядке перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры" [16] (далее – проект ПП РФ) был опубликован 5 августа 2022 г.

Основанием для разработки проекта ПП РФ является подп. б" п. 2 Указа Президента Российской Федерации от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" (далее – Указ Президента РФ № 166). Действие проекта ПП РФ распространяется на значимые объекты критической информационной инфраструктуры (далее – КИИ).

Мониторинг перехода субъектов КИИ на преимущественное применение российского программного обеспечения будет осуществляться Минцифры России, контроль за переходом на доверенные программно-аппаратные комплексы (ПАК) – уполномоченными органами (федеральными органами исполнительной власти, юридическими лицами) в сфере ведения деятельности субъекта КИИ. Научно-производственным объединением, специализирующемся на разработке, производстве, технической поддержке и сервисном обслуживании доверенных программно-аппаратных комплексов для КИИ (далее – НПО) будет утверждена форма плана перехода. Создание и организация такого НПО определил Указ Президента РФ № 166.

Для организации перехода на преимущественное применение доверенных ПАК субъектам КИИ потребуется:

• Провести аудит значимых объектов КИИ для инвентаризации состава и функциональных характеристик ПАК, ПО, телекоммуникационного оборудования и радиоэлектронной продукции.
• В отношении используемой радиоэлектронной продукции, а также телекоммуникационного оборудования и ПО, сведения о которых не содержатся в едином реестре российской радиоэлектронной продукции и едином реестре программ для электронных вычислительных машин и баз данных, нужно будет определить сроки амортизации и предложения по переходу в соответствии с требованиями проекта ПП РФ.
• Необходимо сформировать план перехода согласно утвержденной НПО форме.
• План перехода нужно будет согласовать с НПО, уполномоченными органами в своей сфере деятельности, до 1 апреля 2023 г. Такой крайний срок установлен для представления на согласование плана перехода уполномоченным органом в Межведомственную комиссию Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ РФ.
• После согласования плана перехода субъекту КИИ необходимо его утвердить и направить копии в уполномоченные органы: Минпромторг России, Минцифры России, ФСТЭК России, ФСБ России и НПО.

Дальнейшая возможность планирования использования на значимых объектах КИИ ПАК, радиоэлектронной продукции, телекоммуникационного оборудования и ПО, не включенных в план перехода, подлежит согласованию с НПО.

Переход государственных органов и заказчиков на преимущественное использование российского ПО

26 августа 2022 г. официально было опубликовано постановление Правительства Российской Федерации от 22.08.2022 г. № 1478 "Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием) на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации; Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах; Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, органов государственной власти, заказчиков, осуществляющих закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации" (далее – ПП РФ № 1478). ПП РФ № 1478 вступает в силу со дня его официального опубликования.

Напомним, что согласно Указу Президента РФ № 166 с 1 января 2025 г. органам государственной власти, заказчикам (за исключением организаций с муниципальным участием), осуществляющим закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц", (далее – заказчики) запрещается использовать иностранное ПО на принадлежащих им значимых объектах КИИ.

ПП РФ № 1478 определило три документа, ранее обозначенных в Указе Президента РФ № 166:

1. Требования к ПО, в том числе в составе ПАК, используемому органами государственной власти, заказчиками, на принадлежащих им значимых ОКИИ РФ (далее – Требования к ПО).
2. Правила согласования закупок иностранного ПО, в том числе в ПАК, в целях его использования заказчиками на принадлежащих им значимых ОКИИ РФ, а также закупок услуг, необходимых для использования этого ПО на таких объектах (далее – Правила согласования закупок иностранного ПО).
3. 3. Правила перехода на преимущественное использование российского ПО, в том числе в составе ПАК, заказчиками на принадлежащих им значимых ОКИИ РФ (далее – Правила перехода).

ПП РФ № 1478 для каждой сферы деятельности субъектов КИИ определены свои уполномоченные органы в рамках реализации требований ПП РФ № 1478 и Указа Президента РФ № 166.

В течение двух месяцев (до 26.10.2022 г.) со дня вступления в силу Правил перехода уполномоченные органы должны утвердить отраслевые планы мероприятий по обеспечению готовности заказчиков к преимущественному использованию российского ПО, в том числе в составе ПАК. Минцифры России совместно с ФСБ России и ФСТЭК России до 26.10.2022 г. должны разработать Методические рекомендации по переходу на использование российского ПО, в том числе на значимых объектах КИИ РФ. В течение двух месяцев со дня утверждения этих методических рекомендаций заказчиками должен быть разработан и утвержден план перехода на преимущественное использование на значимых объектах КИИ российского ПО, в том числе в составе ПАК, составленный на период до 1 января 2025 г. (с разбивкой по годам). План перехода в течение 10 рабочих дней со дня утверждения направляется в Минцифры России и уполномоченный орган в сфере деятельности заказчика.

Отдельно рассмотрим требования к ПО.

ПО, предназначенное для обеспечения безопасности значимых объектов КИИ, а также ПО, предназначенное для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты и (или) обмена информацией о компьютерных инцидентах на ОКИИ:

• должно быть включено в реестр российских программ или программ государств – членов Евразийского экономического союза;
• должно соответствовать требованиям, установленным ФСТЭК России и (или) ФСБ России в пределах их полномочий, что должно быть подтверждено соответствующим документом (сертификатом).

В части средств защиты информации необходимо применять только ПО, имеющее документ, подтверждающий его соответствие требованиям, установленным ФСТЭК/ФСБ России. Речь идет о "ПО, предназначенном для обеспечения безопасности" – к нему относится и прикладное ПО, которое реализует функции безопасности, например идентификацию и аутентификацию. "ПО, предназначенное для обмена информацией о компьютерных инцидентах" – новый термин, со сложным толкованием: например, для обмена информацией может применяться электронная почта.

Согласно правилам, закупка иностранного ПО, которое планируется применять для защиты значимых объектов КИИ или для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, может быть не согласована в случае отсутствия документа (сертификата), подтверждающего соответствие требованиям ФСТЭК России, ФСБ России.

Изменения в информировании ФСБ России о компьютерных инцидентах

Приказ ФСБ России от 07.07.2022 г. № 348 "О внесении изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСБ России от 19 июня 2019 г. № 282" [17] , официально опубликован 5 августа 2022 г. Начало действия документа – 16 августа 2022 г.

Субъектами КИИ, которым на праве собственности, аренды или ином законном основании принадлежит значимый объект КИИ, должен быть разработан план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак (далее – план). Теперь, согласно изменениям, план должен утвердить руководитель субъекта КИИ и направить в срок до семи календарных дней со дня утверждения в НКЦКИ. Таким образом, планы, разработанные/измененные и утвержденные после 16 августа, подлежат отправке в НКЦКИ.

Планы, которые содержат положения о привлечении ФСБ России к мероприятиям по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак, до их утверждения должны разрабатываться при методическом обеспечении НКЦКИ.

Мониторинг представления субъектам КИИ сведений по результатам категорирования

Постановление Правительства РФ от 19.08.2022 г. № 1463 "О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации" [18] (далее – ПП РФ № 1463) официально опубликовано 23 августа 2022 г. ПП РФ № 1463 вступило в силу с 31 августа 2022 г.

О проекте ПП РФ № 1463 мы уже говорили ранее в мартовском обзоре изменений законодательства за 2022 г. [19]. ПП РФ № 1463 дополняет требования мониторинга актуальности и достоверности представления субъектам КИИ сведений по результатам категорирования. Напомним, что в соответствии с изменениями, вносимыми постановлением Правительства Российской Федерации от 24.12.2021 г. № 2431 [20], такой мониторинг с января 2022 г. должны осуществлять государственные органы и российские юридические лица, выполняющие функции разработки, проведения или реализации государственной политики и (или) нормативно-правового регулирования в установленной сфере деятельности.

Как и следовало из проекта, ПП РФ № 1463 предоставляет отраслевым ведомствам право привлекать к проверкам по согласованию с ФСТЭК России специализированные организации. В качестве специализированных организаций, проводящих проверку, предлагается рассматривать организации, подведомственные соответствующим отраслевым ведомствам и имеющие лицензию на проведение работ с использованием сведений, составляющих государственную тайну, а также лицензию на деятельность по технической защите конфиденциальной информации.

Перечни организаций, привлекаемых к оценке актуальности и достоверности сведений по результатам категорирования, должны быть размещены на официальных сайтах в сети "Интернет" ведомственных органов. Порядок проведения оценки определяется отраслевыми ведомствами.

Административные штрафы за недостоверные сведения по результатам категорирования

В Госдуму внесен законопроект № 176874-8 "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" [21].

Законопроект предлагает внести изменения в ст. 19.7.15 КоАП РФ "Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации". Согласно законопроекту, административным правонарушением предлагается считать не только непредставление сведений по результатам категорирования, но и представление недостоверных сведений.

Аккредитация удостоверяющих центров

Минцифры России 12 августа 2022 г. для общественного обсуждения опубликовало проект Административного регламента по предоставлению государственной услуги "Аккредитация удостоверяющих центров" [22] (далее – проект).

Проектом предлагается признать утратившим силу приказ Минцифры России от 29 октября 2020 г. № 559 "Об утверждении Административного регламента предоставления Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации государственной услуги по аккредитации удостоверяющих центров и Административного регламента осуществления

Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации государственного контроля (надзора) за соблюдением аккредитованными удостоверяющими центрами требований, которые установлены Федеральным законом "Об электронной подписи" и на соответствие которым эти удостоверяющие центры были аккредитованы".

Проект включает три вида аккредитации:

1. Аккредитация удостоверяющего центра по ч. 3 ст. 16 Федерального закона от 06.04.2011 г. № 63-ФЗ "Об электронной подписи" (далее – ФЗ № 63).
2. Аккредитация удостоверяющего центра по ч.3.1 ст. 16 ФЗ № 63 при наличии действующей аккредитации по ч.3 ст. 16 ФЗ № 63.
3. Аккредитация удостоверяющего центра по ч.3 и 3.1 ст. 16 ФЗ № 63.

Аккредитация ГИС для осуществления идентификации и (или) аутентификации

Постановление Правительства Российской Федерации от 26.08.2022 г. № 1498 "Об утверждении требований к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем и Правил прохождения государственными органами аккредитации на право владения государственными информационными системами, с применением которых осуществляется идентификация и (или) аутентификация, и (или) осуществления функций операторов указанных государственных информационных систем" [23] (далее – ПП РФ № 1498) опубликовано 29 августа 2022 г. ПП РФ № 1498 вступает в силу с 1 марта 2023 г.

ПП РФ № 1498 определило:

• требования к государственным органам для прохождения ими аккредитации на право владения государственными информационными системами (далее – ГИС), с применением которых осуществляется идентификация и (или) аутентификация и (или) осуществление функций операторов, указанных ГИС;
• правила прохождения государственными органами указанной выше аккредитации.

Для прохождения аккредитации государственный орган должен соответствовать следующим требованиям:

• наличие права собственности или иного вещного права на аппаратные шифровальные (криптографические) средства, применяемые для осуществления идентификации и (или) аутентификации с использованием биометрических персональных данных (далее – ПДн), имеющие подтверждение соответствия требованиям, установленным ФСБ России;
• наличие в штате не менее двух работников, непосредственно осуществляющих эксплуатацию ГИС, имеющих высшее образование в области информационных технологий или информационной безопасности;
• обеспечено взаимодействие с ГосСОПКА;
• соответствие информационных технологий и технических средств, предназначенных для обработки биометрических ПДн в целях проведения идентификации и (или) аутентификации, требованиям, установленным ст. 14.1 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее – ФЗ № 149);
• использование технологий, предназначенных для обработки биометрических ПДн в целях проведения идентификации и (или) аутентификации, в которых используется ПО, включенное в единый реестр российских программ для электронных вычислительных машин и баз данных.

Критерии отнесения к ГИС

31 августа 2022 г. Минцифры России опубликовало проект Федерального закона "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации".

Предлагается уточнить в ФЗ № 149, что ГИС бывают федеральными и региональными, а также дополнить понятием муниципальных информационных систем. Предлагается следующая норма: в случае выявления нарушения требований законодательства деятельность, в том числе ее финансирование, по созданию, развитию, вводу в эксплуатацию, эксплуатации и выводу из эксплуатации государственных информационных систем должна быть приостановлена до устранения причин нарушений. Предлагается уточнять в том числе цели создания ГИС.

Отмена ГОСТа о требованиях к органам по аттестации

Приказом Росстандарта от 08 августа 2022 г. № 746-ст с 1 сентября 2022 г. отменен ГОСТ Р 58189–2018 "Защита информации. Требования к органам по аттестации объектов информатизации" в связи с утверждением приказа ФСТЭК России от 29 апреля 2021 г. № 77 "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну".

1. http://publication.pravo.gov.ru/Document/View/0001202207140080 
2. https://regulation.gov.ru/projects#npa=130665 
3. https://pd.rkn.gov.ru/operators-registry/notification/ 
4. https://pd.rkn.gov.ru/incidents/form/ 
5. https://regulation.gov.ru/projects#npa=130696 
6. https://regulation.gov.ru/projects#npa=130676 
7. https://rkn.gov.ru/news/rsoc/news74484.htm 
8. https://pd.rkn.gov.ru/cross-border-transmission/form/ 
9. https://regulation.gov.ru/projects#npa=129709 
10. http://publication.pravo.gov.ru/Document/View/0001202207190035 
11. http://publication.pravo.gov.ru/Document/View/0001202207140018 
12. http://publication.pravo.gov.ru/Document/View/0001202207140102 
13. https://www.cbr.ru/Queries/UniDbQuery/File/90134/2591 
14. http://publication.pravo.gov.ru/Document/View/0001202207140023 
15. http://publication.pravo.gov.ru/Document/View/0001202207140022 
16. https://regulation.gov.ru/projects#npa=130285 
17. http://publication.pravo.gov.ru/Document/View/0001202208050004  
18. http://publication.pravo.gov.ru/Document/View/0001202208230044 
19. См. Заведенская А.А. Обзор изменений в законодательстве. Март – 2022 // Information Security/ Информационная безопасность. 2022. № 2. С. 4–6.
20. http://publication.pravo.gov.ru/Document/View/0001202112270037 
21. https://sozd.duma.gov.ru/bill/176874-8 
22. https://regulation.gov.ru/projects#npa=130491 
23. http://publication.pravo.gov.ru/Document/View/0001202208290024