Контакты
Подписка 2024

Обзор изменений в законодательстве в июле и августе 2023 г.

Анастасия Заведенская, 03/10/23

Новые субъекты КИИ,  индикаторы риска нарушения требований при обработке ПДн, сертификация МЭ уровня сети и СУБД, импортозамещение в финансовой сфере, рекомендации Роскомнадзора, защита цифрового рубля, изменения в закон об ЭП

Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности

Июль-2023

В обзоре за июль 2023 г. рассмотрим, какие новые сферы деятельности были включены в КИИ, предложения по дополнениям к перечню индикаторов риска нарушения требований в рамках надзора за обработкой ПДн, информацию от ФСТЭК России по программам профессиональной переподготовки и по сертификации межсетевых экранов и СУБД, предложения к корректировкам Положения о ФСТЭК России, изменения к НПА, связанным с Указом Президента РФ № 166, а также проект требований к обеспечению защиты информации для участников платформы цифрового рубля.

Новые субъекты КИИ

Федеральный закон от 10.07.2023 г. № 312-ФЗ "О внесении изменения в статью 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" [1] был официально опубликован 10 июля 2023 г.

Согласно ФЗ № 312 к субъектам критической информационной инфраструктуры отнесены организации, которым принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере государственной регистрации прав на недвижимое имущество и сделок с ним.

Перечень индикаторов риска нарушения требований в рамках контроля (надзора) за обработкой ПДн

Проект приказа Минцифры России "О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15.11.2021 г. № 1187" [2] опубликован для общественного обсуждения 27 июля 2023 г.

В перечень индикаторов риска нарушения требований в рамках контроля (надзора) за обработкой персональных данных предлагается добавить: "Установление контролирующим органом трех и более фактов несоответствия информации, указанной контролируемым лицом в уведомлениях, подлежащих направлению в соответствии с Федеральным законом "О персональных данных", сведениям, размещенным на принадлежащем такому контролируемому лицу сайте в информационно-телекоммуникационной сети "Интернет".

Программы профессиональной переподготовки и повышения квалификации

В июле 2023 г. ФСТЭК России опубликовала ряд следующих информационных писем о подготовленных программах профессиональной переподготовки и повышения квалификации:

  • Информационное сообщение ФСТЭК России от 19.07.2023 г. № 240/11/3461 "О разработанных ФСТЭК России примерных дополнительных профессиональных программах в области обеспечения безопасности критической информационной инфраструктуры" [3].
  • Информационное сообщение ФСТЭК России от 19.07.2023 г. № 240/11/3462 "О разработанной ФСТЭК России примерной программе профессиональной переподготовки "Информационная безопасность. Техническая защита конфиденциальной информации" [4].
  • Информационное сообщение ФСТЭК России от 19.07.2023 г. № 240/11/3463 "О разработанных ФСТЭК России новых редакциях примерных программах профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам, технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры" [5].

Выписка из перечня примерных программ профессиональной переподготовки и повышения квалификации размещена на сайте ФСТЭК России [6].

Обеспечение полным перечнем примерных программ производится на основании обращений с соответствующим обоснованием федеральных органов исполнительной власти в центральный аппарат ФСТЭК России, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, организаций с государственным участием, организаций оборонно-промышленного комплекса и организаций, осуществляющих образовательную деятельность, в территориальные органы ФСТЭК России.

Сертификация межсетевых экранов уровня сети и СУБД

Информационным сообщением ФСТЭК России от 19 июля 2023 г. № 240/24/3584 сообщается об утверждении требований по безопасности информации к многофункциональным межсетевым экранам уровня сети [7].

Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети утверждены приказом ФСТЭК России от 7 марта 2023 г. № 44 (зарегистрирован Минюстом России 14 июня 2023 г., регистрационный № 73832). Указанный документ предназначен для организаций, осуществляющих разработку и производство многофункциональных межсетевых экранов уровня сети, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации. С 14 июня 2023 г. сертификация многофункциональных межсетевых экранов уровня сети осуществляется на соответствие указанным требованиям.

Для дифференциации требований по безопасности информации к многофункциональным межсетевым экранам уровня сети устанавливается три класса защиты, их соответствие для применения в различных системах приведено в табл. 1.

Снимок экрана 2023-10-03 в 11.12.12

Выписка из требований опубликована на сайте ФСТЭК России [8].

Информационным сообщением ФСТЭК России от 19 июля 2023 г. № 240/24/3585 сообщается об утверждении требований по безопасности информации к системам управления базами данных [9].

Требования по безопасности информации к системам управления базами данных утверждены приказом ФСТЭК

России от 14 апреля 2023 г. № 64 (зарегистрирован Минюстом России 15 июня 2023 г., регистрационный № 73 865).

Указанный документ предназначен для организаций, осуществляющих разработку систем управления базами данных, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации. С 15 июня 2023 г. сертификация систем управления базами данных осуществляется на соответствие упомянутым требованиям.

Требованиями по безопасности информации к системам управления базами данных устанавливается шесть классов защиты, их соответствие для применения в различных системах приведено в табл. 2.

Снимок экрана 2023-10-03 в 11.13.18

Выписка из требований опубликована на сайте ФСТЭК России [10].

Предложения по изменению Положения о ФСТЭК России

Проект указа Президента Российской Федерации "О внесении изменений в Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 "Вопросы Федеральной службы по техническому и экспортному контролю" и в Положение, утвержденное этим Указом" [11] был представлен на общественное обсуждение 31 июля 2023 г.

Проектом указа президента РФ предлагается увеличение значений предельных штатных численностей центрального аппарата и территориальных орган ФСТЭК России.

Задачи ФСТЭК России предлагается дополнить осуществлением в пределах компетенции оперативного управления деятельностью по обеспечению безопасности значимых объектов КИИ, технической защите информации.

Полномочия ФСТЭК России предлагается дополнить следующими пунктами:

  • осуществление централизованного учета защищаемых информационных систем и иных объектов информатизации государственных органов, органов местного самоуправления и организаций с учетом отраслей экономики и дифференциации по уровню их критичности, организация и проведение мониторинга текущего состояния защищенности этих информационных систем и объектов;
  • проведение оперативного информирования государственных органов, органов местного самоуправления и организаций об угрозах безопасности и уязвимостях в их информационных системах и иных объектах информатизации, а также мерах по защите от этих угроз безопасности информации и уязвимостей;
  • разработка и организация внедрения совместно с государственными органами, органами местного самоуправления и организациями процессов управления защитой информации и безопасностью значимых объектов КИИ, учитывающих отраслевую специфику данных объектов;
  • организация взаимодействия государственных органов, органов местного самоуправления и организаций при реализации ими мер по повышению защищенности информационных систем и иных объектов информатизации от угроз безопасности информации;
  • осуществление организационно-методического сопровождения и руководства деятельностью по защите информации и обеспечению безопасности значимых объектов КИИ государственных органов, органов местного самоуправления и организаций, организация и проведение оценки эффективности такой деятельности и реализованных ими мер.

Импортозамещение в финансовой сфере

Проект указа Президента Российской Федерации "О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации"12 опубликован для общественного обсуждения 4 июля 2023 г.

Согласно проекту указа президента РФ для организаций, попадающих под действие Указа Президента РФ № 166, в банковской сфере и иных сферах финансового рынка согласование закупок и услуг будет осуществлять Центральный банк РФ.

Проект постановления Правительства Российской Федерации "О внесении изменений в постановление Правительства Российской Федерации от 22 августа 2022 г. № 1478" [13] также был опубликован для общественного обсуждения 4 июля 2023 г.

Проект постановления Правительства РФ также нацелен на наделение полномочиями Центрального банка РФ полномочиями по согласованию закупок иностранного программного обеспечения и требуемых услуг.

Обеспечение защиты информации для участников платформы цифрового рубля

Проект положения Банка России "О требованиях к обеспечению защиты информации для участников платформы цифрового рубля" [14] был представлен на общественное обсуждение 28 июля 2023 г.

Согласно проекту, требования к обеспечению защиты информации для участников платформы цифрового рубля должны выполнять участники платформы цифрового рубля, являющиеся кредитными организациями.

Так, согласно проекту, участники платформы цифрового рубля, например, должны:

  • размещать объекты информационной инфраструктуры в выделенных сегментах (группах сегментов) вычислительных сетей;
  • применять меры защиты информации, реализующие стандартный уровень защиты информации, предусмотренный п. 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер";
  • участники платформы цифрового рубля, являющиеся системно значимыми кредитными организациями и (или) кредитными организациями, значимыми на рынке платежных услуг, – применять меры защиты информации, реализующие усиленный уровень защиты информации, предусмотренный п. 6.7 раздела 6 ГОСТ Р 57580.1–2017;
  • проводить оценку выполнения ими требований к защите информации при обеспечении возможности совершения операций с цифровыми рублями не реже одного раза в два года с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг;
  • обеспечивать уровень соответствия не ниже третьего уровня соответствия (для системно значимых кредитных организаций – не ниже четвертого), предусмотренного ГОСТ Р 57580.2–2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия";
  • обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

ris26

Август-2023

В обзоре изменений законодательства за август поговорим о перечне типовых объектов КИИ в сфере энергетики, об особенностях организации импортозамещения и оценки актуальности и достоверности сведений о категорировании в промышленности, о принятии решения о запрете или ограничении трансграничной передачи ПДн, о рекомендациях Роскомнадзора для обработки ПДн, об изменениях в лицензировании деятельности, связанной с СКЗИ, об изменениях в законах о государственной тайне и об электронной подписи.

Перечень типовых объектов КИИ в энергетике

Перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере энергетики [15], 8 августа 2023 г. был опубликован на официальном сайте Минэнерго России.

В перечень вошло 22 типовых объекта КИИ, таких как:

  • системы для диспетчерского и технологического управления электрическими сетями;
  • системы, предназначенные для управления релейной защитой и автоматикой, и противоаварийной автоматики (системы РЗА подстанции);
  • системы, предназначенные для контроля и учета электрической энергии;
  • интеллектуальная система учета электроэнергии (ИСУЭ) и т.д.

Отраслевой план импортозамещения от Минпромторга России

Приказ Минпромторга России от 06.03.2023 г. № 722 "Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии" [16] был официально опубликован 10 августа 2023 г.

Приказом Минпромторга № 722 для горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии определены:

  • целевые отраслевые показатели эффективности и сроки перехода на преимущественное использование российского программного обеспечения до 2025 г.;
  • организационные мероприятия и мероприятия по нормативному обеспечению готовности и перехода заказчиков на преимущественное использование российского программного обеспечения на принадлежащих организациям значимых объектах КИИ.

Оценка актуальности и достоверности сведений о категорировании для промышленности

Приказ Минпромторга России от 31.05.2023 г. № 1981 "Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127, и установлении критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127" [17] официально опубликован 10 августа 2023 г.

Приказом Минпромторга № 1981 определен порядок оценки актуальности и достоверности сведений о категорировании, представляемых субъектами КИИ, осуществляющими деятельность в области оборонной, химической и металлургической промышленности.

В целях проведения оценки создается рабочая группа, включающая представителей Минпромторга России и (или) представителей отраслевого центра компетенций по информационной безопасности в промышленности. Оценка проводится на основании ежегодно подготавливаемого графика проведения оценки. Рабочая группа уведомляет субъекты КИИ о проведении оценки не позднее чем за пять рабочих дней до даты проведения оценки.

При проведении оценки рабочей группой используются технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), соответствующие требованиям по защите государственной тайны, электронная почта, платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации, отвечающие при необходимости требованиям соблюдения информационной безопасности. В целях оценки актуальности и достоверности сведений об установленном на объектах КИИ программном обеспечении выездная группа осуществляет анализ установленного программного обеспечения без использования сторонних инструментальных средств. По результатам оценки исполнителем формируется экспертное заключение, содержащее в себе информацию о предмете оценки, объектах КИИ, актуальности и достоверности сведений о категорировании, сведения о выявленных нарушениях, а также выводы и рекомендации по результатам оценки.

Принятие решения о запрещении или об ограничении трансграничной передачи ПДн

Постановление Правительства Российской Федерации от 19.08.2023 г. № 1356 "О внесении изменения в Правила принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан" [18] официально опубликовано 22 августа 2023 г.

Постановлением Правительства РФ дополнен порядок рассмотрения уведомления о намерении осуществлять трансграничную передачу персональных данных взамен ранее направленного уведомления.

Рекомендации Роскомнадзора

Рекомендации Роскомнадзора операторам ПДн от 8 августа 2023 г. были опубликованы на официальном сайте федеральной службы [19].

В рекомендация приведен ряд базовых подходов к организации деятельности по обработке персональных данных, в связи с участившимися случаями неправомерного распространения ПДн, а также по результатам анализа содержания скомпрометированных баз данных Роскомнадзором. Например, напоминается об обеспечении раздельного хранения различных категорий ПДн (клиенты, работники, соискатели и т.д.), в том числе несовместимых между собой по целям обработки.

Изменения в Положение о лицензировании деятельности, связанной с шифровальными (криптографическими) средствами

Постановление Правительства Российской Федерации от 28.08.2023 г. № 1403 "О внесении изменений в приложение к Положению о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) и признании утратившими силу отдельных положений актов Правительства Российской Федерации" [20] официально опубликовано 28 августа 2023 г.

Работы и услуги по монтажу, установке (инсталляции), наладке и передаче шифровальных (криптографических) средств промежуточных элементов интеллектуальных систем учета электрической энергии (мощности) и приборов учета электрической энергии исключены из видов лицензируемой деятельности согласно положению, утвержденному постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313.

Внесение изменений в реестр лицензий в связи с изменением наименования работ, услуг осуществляется лицензирующим органом самостоятельно и не требует подачи лицензиатом заявления о внесении изменений в реестр лицензий и проведения оценки соответствия лицензиата лицензионным требованиям.

Изменения в закон о государственной тайне

Федеральный закон от 04.08.2023 г. № 432-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" [21] официально опубликован 4 августа 2023 г.

ФЗ № 432 вносит ряд изменений в Закон Российской Федерации от 21 июля 1993 г. № 5485-I "О государственной тайне" и за исключением отдельных положений вступает в силу с 1 февраля 2024 г.

В частности, ФЗ № 432 корректирует дефиницию "государственная тайна" на "защищаемые государством сведения, распространение которых может нанести ущерб безопасности Российской Федерации". ФЗ № 432 предусмотрен ряд случаев, при которых граждане РФ, ограниченные в праве на выезд из страны, могут краткосрочно выехать за границу: необходимость экстренного лечения самого гражданина или близкого родственника, угроза жизни или здоровью близкого родственника, смерть близкого родственника или необходимость личного присутствия при совершении юридических действий, связанных с принятием наследства в соответствии с законодательством иностранного государства.

ФЗ № 432 в основания для отказа должностному лицу или гражданину в допуске к государственной тайне добавлено наличие у него и его близких родственников гражданства (подданства) иностранного государства либо вида на жительство или иного документа, подтверждающего право на постоянное проживание гражданина на территории иностранного государства.

Изменения в закон об электронной подписи

Федеральный закон от 04.08.2023 г. № 457-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" [22] официально опубликован 4 августа 2023 г.

ФЗ № 457 вносит ряд изменений в Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи".

Так, согласно изменениям, вносимым ФЗ № 457, при использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать незамедлительное уничтожение принадлежащих им ключей электронных подписей по истечении сроков действия данных ключей в отношении усиленных квалифицированных электронных подписей. Для уничтожения ключей электронных подписей должны применяться прошедшие в установленном порядке процедуру оценки соответствия средства электронной подписи, в составе которых реализована функция уничтожения информации.


  1. http://publication.pravo.gov.ru/document/0001202307100018 
  2. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=140407 
  3. https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-19-iyulya-2023-g-n-240-11-3461 
  4. https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-19-iyulya-2023-g-n-240-11-3462 
  5. https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-19-iyulya-2023-g-n-240-11-3463 
  6. https://fstec.ru/dokumenty/vse-dokumenty/perechni/vypiska-iz-perechnya-primernykh-programm-professionalnoj-perepodgotovki-i-povysheniya-kvalifikatsii-spetsialistov 
  7. https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot19-iyulya-2023-g-n-240-24-3584 
  8. https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-po-bezopasnosti-informatsii-utverzhdeny-prikazom-fstek-rossii-ot-7-marta-2023-g-n-44 
  9. https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot19-iyulya-2023-g-n-240-24-3585 
  10. https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/trebovaniya-po-bezopasnosti-informatsii-utverzhdeny-prikazom-fstek-rossii-ot-14-aprelya-2023-g-n-64 
  11. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=140470 
  12. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=139746 
  13. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=139745 
  14. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=140410 
  15. https://minenergo.gov.ru/opendata/7715847529-perechen-obektov-kii-2023 
  16. http://publication.pravo.gov.ru/document/0001202308100016 
  17. http://publication.pravo.gov.ru/document/0001202308220008 
  18. http://publication.pravo.gov.ru/document/0001202308220002 
  19. https://rkn.gov.ru/news/rsoc/news74733.htm 
  20. http://publication.pravo.gov.ru/document/0001202308280030?index=4 
  21. http://publication.pravo.gov.ru/document/0001202308040022?pageSize=100&index=1 
  22. http://publication.pravo.gov.ru/document/0001202308040064 
Темы:РоскомнадзорПерсональные данныеПраво и нормативыФСТЭККИИЖурнал "Информационная безопасность" №4, 2023

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать