Обзор изменений в законодательстве в июле и августе 2023 г.
Анастасия Заведенская, 03/10/23
Новые субъекты КИИ, индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП
Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
Июль-2023
В обзоре за июль 2023 г. рассмотрим, какие новые сферы деятельности были включены в КИИ, предложения по дополнениям к перечню индикаторов риска нарушения требований в рамках надзора за обработкой ПДн, информацию от ФСТЭК России по программам профессиональной переподготовки и по сертификации межсетевых экранов и СУБД, предложения к корректировкам Положения о ФСТЭК России, изменения к НПА, связанным с Указом Президента РФ № 166, а также проект требований к обеспечению защиты информации для участников платформы цифрового рубля.
Новые субъекты КИИ
Федеральный закон от 10.07.2023 г. № 312-ФЗ "О внесении изменения в статью 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" [1] был официально опубликован 10 июля 2023 г.
Согласно ФЗ № 312 к субъектам критической информационной инфраструктуры отнесены организации, которым принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере государственной регистрации прав на недвижимое имущество и сделок с ним.
Перечень индикаторов риска нарушения требований в рамках контроля (надзора) за обработкой ПДн
Проект приказа Минцифры России "О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15.11.2021 г. № 1187" [2] опубликован для общественного обсуждения 27 июля 2023 г.
В перечень индикаторов риска нарушения требований в рамках контроля (надзора) за обработкой персональных данных предлагается добавить: "Установление контролирующим органом трех и более фактов несоответствия информации, указанной контролируемым лицом в уведомлениях, подлежащих направлению в соответствии с Федеральным законом "О персональных данных", сведениям, размещенным на принадлежащем такому контролируемому лицу сайте в информационно-телекоммуникационной сети "Интернет".
Программы профессиональной переподготовки и повышения квалификации
В июле 2023 г. ФСТЭК России опубликовала ряд следующих информационных писем о подготовленных программах профессиональной переподготовки и повышения квалификации:
- Информационное сообщение ФСТЭК России от 19.07.2023 г. № 240/11/3461 "О разработанных ФСТЭК России примерных дополнительных профессиональных программах в области обеспечения безопасности критической информационной инфраструктуры" [3].
- Информационное сообщение ФСТЭК России от 19.07.2023 г. № 240/11/3462 "О разработанной ФСТЭК России примерной программе профессиональной переподготовки "Информационная безопасность. Техническая защита конфиденциальной информации" [4].
- Информационное сообщение ФСТЭК России от 19.07.2023 г. № 240/11/3463 "О разработанных ФСТЭК России новых редакциях примерных программах профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам, технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры" [5].
Выписка из перечня примерных программ профессиональной переподготовки и повышения квалификации размещена на сайте ФСТЭК России [6].
Обеспечение полным перечнем примерных программ производится на основании обращений с соответствующим обоснованием федеральных органов исполнительной власти в центральный аппарат ФСТЭК России, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, организаций с государственным участием, организаций оборонно-промышленного комплекса и организаций, осуществляющих образовательную деятельность, в территориальные органы ФСТЭК России.
Сертификация межсетевых экранов уровня сети и СУБД
Информационным сообщением ФСТЭК России от 19 июля 2023 г. № 240/24/3584 сообщается об утверждении требований по безопасности информации к многофункциональным межсетевым экранам уровня сети [7].
Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети утверждены приказом ФСТЭК России от 7 марта 2023 г. № 44 (зарегистрирован Минюстом России 14 июня 2023 г., регистрационный № 73832). Указанный документ предназначен для организаций, осуществляющих разработку и производство многофункциональных межсетевых экранов уровня сети, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации. С 14 июня 2023 г. сертификация многофункциональных межсетевых экранов уровня сети осуществляется на соответствие указанным требованиям.
Для дифференциации требований по безопасности информации к многофункциональным межсетевым экранам уровня сети устанавливается три класса защиты, их соответствие для применения в различных системах приведено в табл. 1.
Выписка из требований опубликована на сайте ФСТЭК России [8].
Информационным сообщением ФСТЭК России от 19 июля 2023 г. № 240/24/3585 сообщается об утверждении требований по безопасности информации к системам управления базами данных [9].
Требования по безопасности информации к системам управления базами данных утверждены приказом ФСТЭК
России от 14 апреля 2023 г. № 64 (зарегистрирован Минюстом России 15 июня 2023 г., регистрационный № 73 865).
Указанный документ предназначен для организаций, осуществляющих разработку систем управления базами данных, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации. С 15 июня 2023 г. сертификация систем управления базами данных осуществляется на соответствие упомянутым требованиям.
Требованиями по безопасности информации к системам управления базами данных устанавливается шесть классов защиты, их соответствие для применения в различных системах приведено в табл. 2.
Выписка из требований опубликована на сайте ФСТЭК России [10].
Предложения по изменению Положения о ФСТЭК России
Проект указа Президента Российской Федерации "О внесении изменений в Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 "Вопросы Федеральной службы по техническому и экспортному контролю" и в Положение, утвержденное этим Указом" [11] был представлен на общественное обсуждение 31 июля 2023 г.
Проектом указа президента РФ предлагается увеличение значений предельных штатных численностей центрального аппарата и территориальных орган ФСТЭК России.
Задачи ФСТЭК России предлагается дополнить осуществлением в пределах компетенции оперативного управления деятельностью по обеспечению безопасности значимых объектов КИИ, технической защите информации.
Полномочия ФСТЭК России предлагается дополнить следующими пунктами:
- осуществление централизованного учета защищаемых информационных систем и иных объектов информатизации государственных органов, органов местного самоуправления и организаций с учетом отраслей экономики и дифференциации по уровню их критичности, организация и проведение мониторинга текущего состояния защищенности этих информационных систем и объектов;
- проведение оперативного информирования государственных органов, органов местного самоуправления и организаций об угрозах безопасности и уязвимостях в их информационных системах и иных объектах информатизации, а также мерах по защите от этих угроз безопасности информации и уязвимостей;
- разработка и организация внедрения совместно с государственными органами, органами местного самоуправления и организациями процессов управления защитой информации и безопасностью значимых объектов КИИ, учитывающих отраслевую специфику данных объектов;
- организация взаимодействия государственных органов, органов местного самоуправления и организаций при реализации ими мер по повышению защищенности информационных систем и иных объектов информатизации от угроз безопасности информации;
- осуществление организационно-методического сопровождения и руководства деятельностью по защите информации и обеспечению безопасности значимых объектов КИИ государственных органов, органов местного самоуправления и организаций, организация и проведение оценки эффективности такой деятельности и реализованных ими мер.
Импортозамещение в финансовой сфере
Проект указа Президента Российской Федерации "О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации"12 опубликован для общественного обсуждения 4 июля 2023 г.
Согласно проекту указа президента РФ для организаций, попадающих под действие Указа Президента РФ № 166, в банковской сфере и иных сферах финансового рынка согласование закупок и услуг будет осуществлять Центральный банк РФ.
Проект постановления Правительства Российской Федерации "О внесении изменений в постановление Правительства Российской Федерации от 22 августа 2022 г. № 1478" [13] также был опубликован для общественного обсуждения 4 июля 2023 г.
Проект постановления Правительства РФ также нацелен на наделение полномочиями Центрального банка РФ полномочиями по согласованию закупок иностранного программного обеспечения и требуемых услуг.
Обеспечение защиты информации для участников платформы цифрового рубля
Проект положения Банка России "О требованиях к обеспечению защиты информации для участников платформы цифрового рубля" [14] был представлен на общественное обсуждение 28 июля 2023 г.
Согласно проекту, требования к обеспечению защиты информации для участников платформы цифрового рубля должны выполнять участники платформы цифрового рубля, являющиеся кредитными организациями.
Так, согласно проекту, участники платформы цифрового рубля, например, должны:
- размещать объекты информационной инфраструктуры в выделенных сегментах (группах сегментов) вычислительных сетей;
- применять меры защиты информации, реализующие стандартный уровень защиты информации, предусмотренный п. 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер";
- участники платформы цифрового рубля, являющиеся системно значимыми кредитными организациями и (или) кредитными организациями, значимыми на рынке платежных услуг, – применять меры защиты информации, реализующие усиленный уровень защиты информации, предусмотренный п. 6.7 раздела 6 ГОСТ Р 57580.1–2017;
- проводить оценку выполнения ими требований к защите информации при обеспечении возможности совершения операций с цифровыми рублями не реже одного раза в два года с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг;
- обеспечивать уровень соответствия не ниже третьего уровня соответствия (для системно значимых кредитных организаций – не ниже четвертого), предусмотренного ГОСТ Р 57580.2–2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия";
- обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
Август-2023
В обзоре изменений законодательства за август поговорим о перечне типовых объектов КИИ в сфере энергетики, об особенностях организации импортозамещения и оценки актуальности и достоверности сведений о категорировании в промышленности, о принятии решения о запрете или ограничении трансграничной передачи ПДн, о рекомендациях Роскомнадзора для обработки ПДн, об изменениях в лицензировании деятельности, связанной с СКЗИ, об изменениях в законах о государственной тайне и об электронной подписи.
Перечень типовых объектов КИИ в энергетике
Перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере энергетики [15], 8 августа 2023 г. был опубликован на официальном сайте Минэнерго России.
В перечень вошло 22 типовых объекта КИИ, таких как:
- системы для диспетчерского и технологического управления электрическими сетями;
- системы, предназначенные для управления релейной защитой и автоматикой, и противоаварийной автоматики (системы РЗА подстанции);
- системы, предназначенные для контроля и учета электрической энергии;
- интеллектуальная система учета электроэнергии (ИСУЭ) и т.д.
Отраслевой план импортозамещения от Минпромторга России
Приказ Минпромторга России от 06.03.2023 г. № 722 "Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии" [16] был официально опубликован 10 августа 2023 г.
Приказом Минпромторга № 722 для горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии определены:
- целевые отраслевые показатели эффективности и сроки перехода на преимущественное использование российского программного обеспечения до 2025 г.;
- организационные мероприятия и мероприятия по нормативному обеспечению готовности и перехода заказчиков на преимущественное использование российского программного обеспечения на принадлежащих организациям значимых объектах КИИ.
Оценка актуальности и достоверности сведений о категорировании для промышленности
Приказ Минпромторга России от 31.05.2023 г. № 1981 "Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127, и установлении критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127" [17] официально опубликован 10 августа 2023 г.
Приказом Минпромторга № 1981 определен порядок оценки актуальности и достоверности сведений о категорировании, представляемых субъектами КИИ, осуществляющими деятельность в области оборонной, химической и металлургической промышленности.
В целях проведения оценки создается рабочая группа, включающая представителей Минпромторга России и (или) представителей отраслевого центра компетенций по информационной безопасности в промышленности. Оценка проводится на основании ежегодно подготавливаемого графика проведения оценки. Рабочая группа уведомляет субъекты КИИ о проведении оценки не позднее чем за пять рабочих дней до даты проведения оценки.
При проведении оценки рабочей группой используются технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), соответствующие требованиям по защите государственной тайны, электронная почта, платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации, отвечающие при необходимости требованиям соблюдения информационной безопасности. В целях оценки актуальности и достоверности сведений об установленном на объектах КИИ программном обеспечении выездная группа осуществляет анализ установленного программного обеспечения без использования сторонних инструментальных средств. По результатам оценки исполнителем формируется экспертное заключение, содержащее в себе информацию о предмете оценки, объектах КИИ, актуальности и достоверности сведений о категорировании, сведения о выявленных нарушениях, а также выводы и рекомендации по результатам оценки.
Принятие решения о запрещении или об ограничении трансграничной передачи ПДн
Постановление Правительства Российской Федерации от 19.08.2023 г. № 1356 "О внесении изменения в Правила принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан" [18] официально опубликовано 22 августа 2023 г.
Постановлением Правительства РФ дополнен порядок рассмотрения уведомления о намерении осуществлять трансграничную передачу персональных данных взамен ранее направленного уведомления.
Рекомендации Роскомнадзора
Рекомендации Роскомнадзора операторам ПДн от 8 августа 2023 г. были опубликованы на официальном сайте федеральной службы [19].
В рекомендация приведен ряд базовых подходов к организации деятельности по обработке персональных данных, в связи с участившимися случаями неправомерного распространения ПДн, а также по результатам анализа содержания скомпрометированных баз данных Роскомнадзором. Например, напоминается об обеспечении раздельного хранения различных категорий ПДн (клиенты, работники, соискатели и т.д.), в том числе несовместимых между собой по целям обработки.
Изменения в Положение о лицензировании деятельности, связанной с шифровальными (криптографическими) средствами
Постановление Правительства Российской Федерации от 28.08.2023 г. № 1403 "О внесении изменений в приложение к Положению о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) и признании утратившими силу отдельных положений актов Правительства Российской Федерации" [20] официально опубликовано 28 августа 2023 г.
Работы и услуги по монтажу, установке (инсталляции), наладке и передаче шифровальных (криптографических) средств промежуточных элементов интеллектуальных систем учета электрической энергии (мощности) и приборов учета электрической энергии исключены из видов лицензируемой деятельности согласно положению, утвержденному постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313.
Внесение изменений в реестр лицензий в связи с изменением наименования работ, услуг осуществляется лицензирующим органом самостоятельно и не требует подачи лицензиатом заявления о внесении изменений в реестр лицензий и проведения оценки соответствия лицензиата лицензионным требованиям.
Изменения в закон о государственной тайне
Федеральный закон от 04.08.2023 г. № 432-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" [21] официально опубликован 4 августа 2023 г.
ФЗ № 432 вносит ряд изменений в Закон Российской Федерации от 21 июля 1993 г. № 5485-I "О государственной тайне" и за исключением отдельных положений вступает в силу с 1 февраля 2024 г.
В частности, ФЗ № 432 корректирует дефиницию "государственная тайна" на "защищаемые государством сведения, распространение которых может нанести ущерб безопасности Российской Федерации". ФЗ № 432 предусмотрен ряд случаев, при которых граждане РФ, ограниченные в праве на выезд из страны, могут краткосрочно выехать за границу: необходимость экстренного лечения самого гражданина или близкого родственника, угроза жизни или здоровью близкого родственника, смерть близкого родственника или необходимость личного присутствия при совершении юридических действий, связанных с принятием наследства в соответствии с законодательством иностранного государства.
ФЗ № 432 в основания для отказа должностному лицу или гражданину в допуске к государственной тайне добавлено наличие у него и его близких родственников гражданства (подданства) иностранного государства либо вида на жительство или иного документа, подтверждающего право на постоянное проживание гражданина на территории иностранного государства.
Изменения в закон об электронной подписи
Федеральный закон от 04.08.2023 г. № 457-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" [22] официально опубликован 4 августа 2023 г.
ФЗ № 457 вносит ряд изменений в Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи".
Так, согласно изменениям, вносимым ФЗ № 457, при использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать незамедлительное уничтожение принадлежащих им ключей электронных подписей по истечении сроков действия данных ключей в отношении усиленных квалифицированных электронных подписей. Для уничтожения ключей электронных подписей должны применяться прошедшие в установленном порядке процедуру оценки соответствия средства электронной подписи, в составе которых реализована функция уничтожения информации.
- http://publication.pravo.gov.ru/document/0001202307100018
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=140407
- https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-19-iyulya-2023-g-n-240-11-3461
- https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-19-iyulya-2023-g-n-240-11-3462
- https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-19-iyulya-2023-g-n-240-11-3463
- https://fstec.ru/dokumenty/vse-dokumenty/perechni/vypiska-iz-perechnya-primernykh-programm-professionalnoj-perepodgotovki-i-povysheniya-kvalifikatsii-spetsialistov
- https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot19-iyulya-2023-g-n-240-24-3584
- https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-po-bezopasnosti-informatsii-utverzhdeny-prikazom-fstek-rossii-ot-7-marta-2023-g-n-44
- https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot19-iyulya-2023-g-n-240-24-3585
- https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-po-bezopasnosti-informatsii-utverzhdeny-prikazom-fstek-rossii-ot-14-aprelya-2023-g-n-64
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=140470
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=139746
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=139745
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=140410
- https://minenergo.gov.ru/opendata/7715847529-perechen-obektov-kii-2023
- http://publication.pravo.gov.ru/document/0001202308100016
- http://publication.pravo.gov.ru/document/0001202308220008
- http://publication.pravo.gov.ru/document/0001202308220002
- https://rkn.gov.ru/news/rsoc/news74733.htm
- http://publication.pravo.gov.ru/document/0001202308280030?index=4
- http://publication.pravo.gov.ru/document/0001202308040022?pageSize=100&index=1
- http://publication.pravo.gov.ru/document/0001202308040064