Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
В обзоре за июль 2023 г. рассмотрим, какие новые сферы деятельности были включены в КИИ, предложения по дополнениям к перечню индикаторов риска нарушения требований в рамках надзора за обработкой ПДн, информацию от ФСТЭК России по программам профессиональной переподготовки и по сертификации межсетевых экранов и СУБД, предложения к корректировкам Положения о ФСТЭК России, изменения к НПА, связанным с Указом Президента РФ № 166, а также проект требований к обеспечению защиты информации для участников платформы цифрового рубля.
Федеральный закон от 10.07.2023 г. № 312-ФЗ "О внесении изменения в статью 2 Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" [1] был официально опубликован 10 июля 2023 г.
Согласно ФЗ № 312 к субъектам критической информационной инфраструктуры отнесены организации, которым принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере государственной регистрации прав на недвижимое имущество и сделок с ним.
Проект приказа Минцифры России "О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15.11.2021 г. № 1187" [2] опубликован для общественного обсуждения 27 июля 2023 г.
В перечень индикаторов риска нарушения требований в рамках контроля (надзора) за обработкой персональных данных предлагается добавить: "Установление контролирующим органом трех и более фактов несоответствия информации, указанной контролируемым лицом в уведомлениях, подлежащих направлению в соответствии с Федеральным законом "О персональных данных", сведениям, размещенным на принадлежащем такому контролируемому лицу сайте в информационно-телекоммуникационной сети "Интернет".
В июле 2023 г. ФСТЭК России опубликовала ряд следующих информационных писем о подготовленных программах профессиональной переподготовки и повышения квалификации:
Выписка из перечня примерных программ профессиональной переподготовки и повышения квалификации размещена на сайте ФСТЭК России [6].
Обеспечение полным перечнем примерных программ производится на основании обращений с соответствующим обоснованием федеральных органов исполнительной власти в центральный аппарат ФСТЭК России, органов исполнительной власти субъектов Российской Федерации, органов местного самоуправления, организаций с государственным участием, организаций оборонно-промышленного комплекса и организаций, осуществляющих образовательную деятельность, в территориальные органы ФСТЭК России.
Информационным сообщением ФСТЭК России от 19 июля 2023 г. № 240/24/3584 сообщается об утверждении требований по безопасности информации к многофункциональным межсетевым экранам уровня сети [7].
Требования по безопасности информации к многофункциональным межсетевым экранам уровня сети утверждены приказом ФСТЭК России от 7 марта 2023 г. № 44 (зарегистрирован Минюстом России 14 июня 2023 г., регистрационный № 73832). Указанный документ предназначен для организаций, осуществляющих разработку и производство многофункциональных межсетевых экранов уровня сети, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации. С 14 июня 2023 г. сертификация многофункциональных межсетевых экранов уровня сети осуществляется на соответствие указанным требованиям.
Для дифференциации требований по безопасности информации к многофункциональным межсетевым экранам уровня сети устанавливается три класса защиты, их соответствие для применения в различных системах приведено в табл. 1.
Выписка из требований опубликована на сайте ФСТЭК России [8].
Информационным сообщением ФСТЭК России от 19 июля 2023 г. № 240/24/3585 сообщается об утверждении требований по безопасности информации к системам управления базами данных [9].
России от 14 апреля 2023 г. № 64 (зарегистрирован Минюстом России 15 июня 2023 г., регистрационный № 73 865).
Указанный документ предназначен для организаций, осуществляющих разработку систем управления базами данных, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации. С 15 июня 2023 г. сертификация систем управления базами данных осуществляется на соответствие упомянутым требованиям.
Требованиями по безопасности информации к системам управления базами данных устанавливается шесть классов защиты, их соответствие для применения в различных системах приведено в табл. 2.
Выписка из требований опубликована на сайте ФСТЭК России [10].
Проект указа Президента Российской Федерации "О внесении изменений в Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 "Вопросы Федеральной службы по техническому и экспортному контролю" и в Положение, утвержденное этим Указом" [11] был представлен на общественное обсуждение 31 июля 2023 г.
Проектом указа президента РФ предлагается увеличение значений предельных штатных численностей центрального аппарата и территориальных орган ФСТЭК России.
Задачи ФСТЭК России предлагается дополнить осуществлением в пределах компетенции оперативного управления деятельностью по обеспечению безопасности значимых объектов КИИ, технической защите информации.
Полномочия ФСТЭК России предлагается дополнить следующими пунктами:
Проект указа Президента Российской Федерации "О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации"12 опубликован для общественного обсуждения 4 июля 2023 г.
Согласно проекту указа президента РФ для организаций, попадающих под действие Указа Президента РФ № 166, в банковской сфере и иных сферах финансового рынка согласование закупок и услуг будет осуществлять Центральный банк РФ.
Проект постановления Правительства Российской Федерации "О внесении изменений в постановление Правительства Российской Федерации от 22 августа 2022 г. № 1478" [13] также был опубликован для общественного обсуждения 4 июля 2023 г.
Проект постановления Правительства РФ также нацелен на наделение полномочиями Центрального банка РФ полномочиями по согласованию закупок иностранного программного обеспечения и требуемых услуг.
Проект положения Банка России "О требованиях к обеспечению защиты информации для участников платформы цифрового рубля" [14] был представлен на общественное обсуждение 28 июля 2023 г.
Согласно проекту, требования к обеспечению защиты информации для участников платформы цифрового рубля должны выполнять участники платформы цифрового рубля, являющиеся кредитными организациями.
Так, согласно проекту, участники платформы цифрового рубля, например, должны:
В обзоре изменений законодательства за август поговорим о перечне типовых объектов КИИ в сфере энергетики, об особенностях организации импортозамещения и оценки актуальности и достоверности сведений о категорировании в промышленности, о принятии решения о запрете или ограничении трансграничной передачи ПДн, о рекомендациях Роскомнадзора для обработки ПДн, об изменениях в лицензировании деятельности, связанной с СКЗИ, об изменениях в законах о государственной тайне и об электронной подписи.
Перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере энергетики [15], 8 августа 2023 г. был опубликован на официальном сайте Минэнерго России.
В перечень вошло 22 типовых объекта КИИ, таких как:
Приказ Минпромторга России от 06.03.2023 г. № 722 "Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом от 18 июля 2011 г. № 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии" [16] был официально опубликован 10 августа 2023 г.
Приказом Минпромторга № 722 для горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии определены:
Приказ Минпромторга России от 31.05.2023 г. № 1981 "Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры Российской Федерации, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127, и установлении критериев определения организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденных постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127" [17] официально опубликован 10 августа 2023 г.
Приказом Минпромторга № 1981 определен порядок оценки актуальности и достоверности сведений о категорировании, представляемых субъектами КИИ, осуществляющими деятельность в области оборонной, химической и металлургической промышленности.
В целях проведения оценки создается рабочая группа, включающая представителей Минпромторга России и (или) представителей отраслевого центра компетенций по информационной безопасности в промышленности. Оценка проводится на основании ежегодно подготавливаемого графика проведения оценки. Рабочая группа уведомляет субъекты КИИ о проведении оценки не позднее чем за пять рабочих дней до даты проведения оценки.
При проведении оценки рабочей группой используются технические средства (сбора, накопления, передачи, обработки, хранения и защиты аудиовизуальной и другой цифровой информации), соответствующие требованиям по защите государственной тайны, электронная почта, платформы для обмена и обработки текстовой информации, фото-, видео-, аудиоинформации и другой цифровой информации, отвечающие при необходимости требованиям соблюдения информационной безопасности. В целях оценки актуальности и достоверности сведений об установленном на объектах КИИ программном обеспечении выездная группа осуществляет анализ установленного программного обеспечения без использования сторонних инструментальных средств. По результатам оценки исполнителем формируется экспертное заключение, содержащее в себе информацию о предмете оценки, объектах КИИ, актуальности и достоверности сведений о категорировании, сведения о выявленных нарушениях, а также выводы и рекомендации по результатам оценки.
Постановление Правительства Российской Федерации от 19.08.2023 г. № 1356 "О внесении изменения в Правила принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан" [18] официально опубликовано 22 августа 2023 г.
Постановлением Правительства РФ дополнен порядок рассмотрения уведомления о намерении осуществлять трансграничную передачу персональных данных взамен ранее направленного уведомления.
Рекомендации Роскомнадзора операторам ПДн от 8 августа 2023 г. были опубликованы на официальном сайте федеральной службы [19].
В рекомендация приведен ряд базовых подходов к организации деятельности по обработке персональных данных, в связи с участившимися случаями неправомерного распространения ПДн, а также по результатам анализа содержания скомпрометированных баз данных Роскомнадзором. Например, напоминается об обеспечении раздельного хранения различных категорий ПДн (клиенты, работники, соискатели и т.д.), в том числе несовместимых между собой по целям обработки.
Изменения в Положение о лицензировании деятельности, связанной с шифровальными (криптографическими) средствами
Постановление Правительства Российской Федерации от 28.08.2023 г. № 1403 "О внесении изменений в приложение к Положению о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя) и признании утратившими силу отдельных положений актов Правительства Российской Федерации" [20] официально опубликовано 28 августа 2023 г.
Работы и услуги по монтажу, установке (инсталляции), наладке и передаче шифровальных (криптографических) средств промежуточных элементов интеллектуальных систем учета электрической энергии (мощности) и приборов учета электрической энергии исключены из видов лицензируемой деятельности согласно положению, утвержденному постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313.
Внесение изменений в реестр лицензий в связи с изменением наименования работ, услуг осуществляется лицензирующим органом самостоятельно и не требует подачи лицензиатом заявления о внесении изменений в реестр лицензий и проведения оценки соответствия лицензиата лицензионным требованиям.
Федеральный закон от 04.08.2023 г. № 432-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" [21] официально опубликован 4 августа 2023 г.
ФЗ № 432 вносит ряд изменений в Закон Российской Федерации от 21 июля 1993 г. № 5485-I "О государственной тайне" и за исключением отдельных положений вступает в силу с 1 февраля 2024 г.
В частности, ФЗ № 432 корректирует дефиницию "государственная тайна" на "защищаемые государством сведения, распространение которых может нанести ущерб безопасности Российской Федерации". ФЗ № 432 предусмотрен ряд случаев, при которых граждане РФ, ограниченные в праве на выезд из страны, могут краткосрочно выехать за границу: необходимость экстренного лечения самого гражданина или близкого родственника, угроза жизни или здоровью близкого родственника, смерть близкого родственника или необходимость личного присутствия при совершении юридических действий, связанных с принятием наследства в соответствии с законодательством иностранного государства.
ФЗ № 432 в основания для отказа должностному лицу или гражданину в допуске к государственной тайне добавлено наличие у него и его близких родственников гражданства (подданства) иностранного государства либо вида на жительство или иного документа, подтверждающего право на постоянное проживание гражданина на территории иностранного государства.
Федеральный закон от 04.08.2023 г. № 457-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" [22] официально опубликован 4 августа 2023 г.
ФЗ № 457 вносит ряд изменений в Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи".
Так, согласно изменениям, вносимым ФЗ № 457, при использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать незамедлительное уничтожение принадлежащих им ключей электронных подписей по истечении сроков действия данных ключей в отношении усиленных квалифицированных электронных подписей. Для уничтожения ключей электронных подписей должны применяться прошедшие в установленном порядке процедуру оценки соответствия средства электронной подписи, в составе которых реализована функция уничтожения информации.