Обзор изменений в законодательстве в мае и июне 2023 года
Анастасия Заведенская, 28/07/23
Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
Май-2023
В обзоре за май 2023 г. рассмотрим изменения в правила ограничения трансграничной передачи ПДн, изменения в положение о ФСТЭК России. Уточним, какие иностранные мессенджеры попадают под ограничения в использовании, рассмотрим требования к аутентификации на основе биометрических ПДн и НПА в сфере ЕБС, методические рекомендации ФСТЭК России к процессу управления уязвимостями и другие изменения.
Ограничение трансграничной передачи персональных данных
Проект постановления Правительства РФ "О внесении изменения в Правила принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан, утвержденные постановлением Правительства РФ "Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан" [1] представлен к общественным обсуждениям 2 мая 2023 г.
Доработанный по результатам обсуждений проект постановления Правительства РФ вносит уточнение в порядок принятия решения о запрещении или об ограничении трансграничной передачи ПДн, уточняя случаи, когда уведомление от оператора не подлежит рассмотрению.
Ограничения использования иностранных мессенджеров
Перечень информационных систем и (или) программ для электронных вычислительных машин, указанных в ч. 8 ст. 10 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" [2] опубликован Роскомнадзором 5 мая 2023 г.
Указанные в перечне иностранные мессенджеры запрещается использовать ряду лиц для передачи платежных документов и (или) предоставления информации, содержащей ПДн граждан РФ, данные о переводах денежных средств в рамках применяемых форм безналичных расчетов, сведения, необходимые для осуществления платежей и сведения о счетах (вкладах) граждан РФ в банках.
Изменения в Положение о ФСТЭК России
Указ Президента РФ от 22.05.2023 № 366 "О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16 августа 2004 г. № 1085" [3] официально опубликован 22 мая 2023 г.
Согласно Указу № 366 ФСТЭК России сформирует перечень организаций, которые аккредитованы ФСТЭК России или имеют лицензии ФСТЭК России, осуществляют деятельность по обеспечению информационной безопасности РФ и прекращение работы которых в военное время создаст предпосылки для нарушения устойчивого функционирования информационной инфраструктуры РФ.
Аутентификация на основе биометрических персональных данных
Постановление Правительства РФ от 25.05.2023 № 815 [4] "Об утверждении перечня случаев, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается, и перечня случаев, при которых допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано
простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством РФ в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц" официально опубликовано 26 мая 2023 г. ППРФ№815 вступает в силу с 1 июня 2023 г. и действует до 1 июня 2029 г.
Утверждены перечни случаев, когда не допускается аутентификация с использованием информационных систем организаций, осуществляющих ее на основе биометрических ПДн физических лиц (в указанный перечень, например, вошло установление личности физического лица в случаях, когда в соответствии с законодательством РФ требуется предъявление документа, удостоверяющего личность такого физического лица; проведение медицинских осмотров с использованием медицинских изделий, обеспечивающих автоматизированную дистанционную передачу информации о состоянии здоровья работников и дистанционный контроль состояния их здоровья); допускается использование биометрических ПДн, согласие на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой обладает осуществляющая аутентификацию организация.
Руководство по организации процесса управления уязвимостями от ФСТЭК России
"Методический документ ФСТЭК России. Руководство по организации процесса управления уязвимостями в органе (организации)" [5] утвержден ФСТЭК России 17 мая 2023 г.
Методический документ подлежит применению государственными органами, организациями, в том числе субъектами КИИ, являющимися операторами информационных (автоматизированных) систем, при принятии ими мер по устранению уязвимостей программных, программно-аппаратных средств информационных систем в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, требованиями по обеспечению безопасности значимых объектов КИИ, а также иными нормативными правовыми актами и методическими документами ФСТЭК России.
В соответствии с Методическим документом ФСТЭК России процесс управления уязвимостями включает пять основных этапов, которые изображены на схеме (рис. 1).
Рис. 1. Этапы процесса управления уязвимостями
Методический документ описывает состав участников процесса управления уязвимостями и распределение операций, реализуемых на этапах процесса управления уязвимостями, по приведенным ролям. Для каждого из этапов процесса управления уязвимостями приводится детальная схема его реализации и операций, которые должны быть включены в этап.
Документ приводит рекомендуемые сроки устранения уязвимостей:
- критический уровень опасности – до 24 часов;
- высокий уровень опасности – до 7 дней;
- средний уровень опасности – до 4 недель;
- низкий уровень опасности – до 4 месяцев.
Административные штрафы в области обработки персональных данных
В Госдуму внесен законопроект № 353266-8 "О внесении изменений в Кодекс РФ об административных правонарушениях" [6], которым предполагается установление административной ответственности за незаконное размещение биометрических ПДн в единой биометрической системе и иных информационных системах, используемых для идентификации и (или) аутентификации с использованием биометрических ПДн.
Предлагается определить следующие административные штрафы:
- для должностных лиц: от 100 000 до 300 000 руб.; за повторное нарушение: от 500 000 до 1 000 000 руб.
- для юридических лиц: от 300 000 до 700 000 руб.; за повторное нарушение:от 1 000 000 до 1 500 000 руб.
Аналогичный размер штрафов предлагается установить и для случаев обработки ПДн без согласия в письменной форме субъекта ПДн в случаях, когда такое согласие должно быть получено.
Стандарт с требованиями к информационной безопасности АСУ железнодорожного транспорта
Утвержден ГОСТ Р 70732–2023 "Автоматизированные системы управления технологическими процессами и техническими средствами железнодорожного транспорта. Требования к функциональной и информационной безопасности программного обеспечения и методы контроля" [7] с датой введения в действие 1 ноября 2023 г.
В соответствии с ГОСТ Р 707322023 уровень доверия к информационной безопасности ПО автоматизированных систем управления технологическими процессами и техническими средствами железнодорожного транспорта (АСУ ЖТ) задают в зависимости от установленной или предполагаемой категории значимости АСУ ЖТ как объекта (составной части объекта) КИИ и/или в зависимости от установленного или предполагаемого класса защищенности АСУ ЖТ как автоматизированной системы управления (составной части) технологическими процессами критически важных, потенциально опасных, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды объектов.
В требования, в зависимости от заданного уровня доверия к информационной безопасности, включаются:
- требования к разработке и производству;
- требования к проведению испытаний;
- требования к поддержке безопасности.
В стандарте приводятся методы контроля для требований по информационной безопасности.
Перечень типовых объектов КИИ в сфере транспорта
Минтрансом России 19 мая 2023 г. опубликован Перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере транспорта [8].
Перечень согласован со ФСТЭК России, в него включены:
- сфера транспорта;
- сфера воздушного транспорта;
- сфера автомобильного транспорта;
- сфера городского наземного электрического транспорта;
- сфера железнодорожного транспорта;
- сфера морского и речного транспорта;
- сфера внеуличного транспорта;
- сфера метрополитена.
В соответствии с постановлением Правительства РФ от 8 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений" перечни типовых отраслевых объектов КИИ являются исходными данными для категорирования.
Технологическая независимость КИИ в атомной и космической отраслях
Проект постановления Правительства РФ "О реализации пилотного проекта по обеспечению технологической независимости КИИ РФ в атомной и космической отраслях" [9] опубликован Минпромторгом России 10 мая 2023 г.
Проектом ПП РФ устанавливаются сроки проведения пилотного проекта по обеспечению технологической независимости КИИ РФ в атомной и космической отраслях с 1 августа 2023 г. по 1 августа 2025 г., целями которого являются:
- отработка мероприятий по обеспечению технологической независимости КИИ в атомной и космической отраслях;
- подготовка проектов документов, необходимых для обеспечения технологической независимости КИИ и перехода субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ;
- выработка требований к доверенным программно-аппаратным комплексам, предназначенным для осуществления перехода субъектов КИИ на преимущественное применение отечественной радиоэлектронной продукции и телекоммуникационного оборудования на принадлежащих им значимых объектах КИИ;
- апробация испытательных полигонов атомной отрасли;
- отработка порядка перехода участников пилотного проекта и их организаций на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ;
- отработка технических требований к технологическим решениям, порядка информационного взаимодействия участников пилотного проекта, включая информационное взаимодействие с создаваемой информационной системой для управления жизненным циклом и осуществления закупок программно-аппаратных комплексов.
Единая биометрическая система
В мае 2023 г. опубликован ряд нормативных правовых актов, регламентирующих особенности эксплуатации ЕБС:
- Приказ Минцифры России от 20.04.2023 № 387 "Об утверждении требований к деловой репутации единоличного исполнительного органа, а также членов коллегиального исполнительного органа и (или) физических лиц – учредителей (участников), имеющих право распоряжаться более 10 процентами акций (долей), составляющих уставный капитал организации, осуществляющей аутентификацию на основе биометрических ПДн физических лиц, и о признании утратившим силу приказа Министерства цифрового развития, связи и массовых коммуникаций РФ от 27 августа 2021 г. № 896" [10].
- Приказ Минцифры России от 17.04.2023 № 378 "Об утверждении методик проверки соответствия предоставленных биометрических ПДн физического лица соответствующим векторам единой биометрической системы и определении степени взаимного соответствия биометрических ПДн и векторов единой биометрической системы, достаточной для проведения идентификации и (или) аутентификации" [11].
- Постановление Правительства РФ от 22.05.2023 № 810 "Об утверждении Правил аккредитации организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц, оснований ее приостановления и прекращения и признании утратившим силу постановления Правительства РФ от 20 октября 2021 г. № 1799" [12].
- Постановление Правительства РФ от 28.04.2023 № 670 "Об аккредитации государственных органов, Центрального банка РФ для осуществления аутентификации, о требованиях к организациям, привлекаемым государственными органами, Центральным банком РФ для осуществления функций операторов информационных систем, обеспечивающих аутентификацию физических лиц с использованием векторов единой биометрической системы, и о признании утратившим силу постановления Правительства РФ от 26 августа 2022 г. № 1498" [13].
- Приказ Минцифры России от 12.05.2023 № 453 "О порядке обработки биометрических ПДн и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка РФ в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц" [14].
- Приказ Минцифры от 27.04.2023 № 432 "О направлении оператором единой биометрической системы оператору регионального сегмента единой биометрической системы, аккредитованному государственному органу, Центральному банку РФ в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических ПДн физических лиц, запроса о блокировании, об удалении, уничтожении векторов единой биометрической системы и подтверждении осуществления таких блокирования, удаления, уничтожения векторов единой биометрической системы" [15].
Июнь-2023
В обзоре изменений законодательства за июнь рассмотрим разработанный ФСБ России порядок осуществления мониторинга защищенности информационных ресурсов, предложения по внесению изменений в Указ Президента РФ № 250, изменения в требования к созданию систем безопасности значимых объектов КИИ, предлагаемые изменения в федеральный закон о безопасности объектов ТЭК, изменения в Уголовный кодекс РФ и Кодекс РФ об административных правонарушениях, предложения по расширению перечня сфер деятельности субъектов КИИ и другие изменения.
Мониторинг защищенности информационных ресурсов в соответствии с Указом Президента РФ №250
Приказ ФСБ России от 11.05.2023 № 213 "Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов РФ, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры РФ либо используемых ими" [16] официально опубликован 2 июня 2023 г.
Приказ ФСБ № 213 утверждает порядок осуществления мониторинга защищенности информационных ресурсов в соответствии с подпунктом "в" п. 5 Указа Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности РФ". Приказом ФСБ № 213 определено следующее:
- Мониторинг защищенности осуществляется 8-м Центром защиты информации и специальной связи ФСБ России и территориальными органами безопасности. l Мониторинг осуществляется только в отношении информационных ресурсов, имеющих подключение к Интернету и (или) сопряженных с Интернетом с использованием технологии трансляции сетевых адресов органов (организаций), попадающих под действие Указа № 250.
- Органы (организации), попадающие под действие Указа № 250, должны отправить в ФСБ России информацию о своих доменах, внешних IP – однократно до 1 сентября 2023 г., а также об их изменении (по мере изменения и добавления в срок до 7 рабочих дней).
- Мониторинг осуществляется непрерывно и заключается в выявлении публично доступных сервисов, уязвимостей и оценке защищенности органов (организаций).
- При проведении органами безопасности мониторинга защищенности органы (организации) по запросам органов безопасности обязаны исключить блокировку IP-адресов.
- Выявление функционирующих сервисов и обнаружение уязвимостей в информационных ресурсах органов (организаций) осуществляются удаленно без предварительного уведомления органов (организаций) о начале проведения указанных мероприятий.
- Оценка защищенности осуществляется на основании ежегодного плана, утверждаемого начальником Центра защиты информации и специальной связи ФСБ России. Выписки из плана направляются тем органам (организациям), в отношении информационных ресурсов которых предусмотрено проведение оценки защищенности.
- При выявлении в ходе оценки защищенности информационных ресурсов органов (организаций) признаков нарушения штатного режима их функционирования, приводящего к невозможности реализации информационными ресурсами основного функционала, орган (организация) уведомляет об этом ФСБ России. В соответствии с установленным приказом ФСБ № 213 порядком принимается решение о продолжение либо о прекращении проведения оценки защищенности.
- В случае выявления в рамках осуществления мониторинга защищенности неспособности информационных ресурсов противостоять угрозам информационной безопасности ФСБ России выдается указание по обеспечению защищенности принадлежащих органу (организации) либо используемых ими информационных ресурсов.
Изменения в Указ Президента РФ № 250
Для общественного обсуждения 20 июня 2023 г. был представлен проект указа Президента РФ "О внесении изменений в Указ Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности РФ" [17].
Проектом указа предлагается определить обязанность органов (организаций), попадающих под действие Указа № 250, информировать ФСБ России в порядке, установленном ФСБ России, о компьютерных инцидентах и компьютерных атаках, связанных с функционированием информационных ресурсов органов (организаций). Предлагается дополнить полномочия ФСБ России следующими положениями:
- определение порядка аккредитации центров ГосСОПКА и требований к ним, осуществление контроля за деятельностью аккредитованных центров ГосСОПКА;
- определение порядка, технических условий установки и эксплуатации в информационных ресурсах органов (организаций) средств, предназначенных для поиска признаков компьютерных атак, и организация установки таких средств в информационных ресурсах органов (организаций).
Изменения в 235-й приказ ФСТЭК России
Приказ ФСТЭК России от 20.04.2023 № 69 "О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. № 235" [18] официально опубликован 23 июня 2023 г.
Изменения, внесенные приказом ФСТЭК № 69, нацелены на гармонизацию положений приказа ФСТЭК России от 21 декабря 2017 г. № 235 с ролью ответственного лица, определенного Указом № 250.
Приказом ФСТЭК № 69 для специалистов, обеспечивающих защиту значимых объектов КИИ, исключены требования к срокам длительности обучения по профессиональной переподготовке и к наличию высшего образования (за исключением руководителя). На работников со средним профессиональным образованием по группе специальностей в области ИБ (при наличии должности в штатном расписании у субъекта КИИ) возлагаются отдельные функции по обеспечению безопасности значимых объектов КИИ в соответствии с полученной такими работниками специальностью.
Теперь работники структурного подразделения по безопасности, специалисты по безопасности значимых объектов КИИ должны проходить обучение по программам повышения квалификации по направлению "информационная безопасность" не реже одного раза в три года. Ранее срок был не реже одного раза в пять лет.
Безопасность объектов КИИ топливно-энергетического комплекса
Для общественного обсуждения 23 июня 2023 г. был опубликован законопроект "О внесении изменений в Федеральный закон "О безопасности объектов топливно-энергетического комплекса" [19]. Дата окончания публичного обсуждения: 13 июля 2023 г.
Проектом предлагается внести следующие изменения в Федеральный закон от 21 июля 2011 года № 256-ФЗ "О безопасности объектов топливно-энергетического комплекса":
- Добавить понятие оценки готовности субъекта топливно-энергетического комплекса к противодействию целевым компьютерным атакам. Организацией такой оценки будет заниматься Минэнерго России совместно с ФСТЭК России и ФСБ России.
- Скорректировать ст. 11 с положениями по обеспечению безопасности объектов КИИ. В указанной статье предлагается определить, что в целях обеспечения безопасности объектов КИИ субъекты ТЭК создают системы безопасности этих объектов от неправомерного доступа к информации, обрабатываемой такими объектами, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий в отношении такой информации, а также обеспечивают функционирование таких систем. Кроме того, создание таких систем должно предусматривать планирование и реализацию комплекса технических и организационных мер, обеспечивающих в том числе антитеррористическую защищенность объектов ТЭК. Стоит отметить, что в соответствии со ст. 10 Федерального закона от 26.07.2017 № 187-ФЗ "О безопасности критической информационной инфраструктуры РФ" субъекты КИИ создают системы безопасности только для значимых объектов КИИ. При создании систем ИБ, как правило, не учитываются требования по обеспечению антитеррористической защищенности.
- Данные о количестве значимых объектов КИИ и присвоенной им категории значимости, а также информацию о системах безопасности предлагается вносить в паспорт безопасности объекта ТЭК.
- Минэнерго России будет создан отраслевой центр информационной безопасности в ТЭК, в том числе для организации проведения тренировок по отработке субъектами ТЭК действий в условиях проведения целевых компьютерных атак и координации действий субъектов ТЭК, которым принадлежат объекты КИИ, в условиях проведения целевых компьютерных атак, а также при ликвидации последствий таких атак.
Согласно законопроекту изменения должны вступить в силу с 1 сентября 2024 г.
Изменения в Уголовный кодекс РФ
Федеральный закон от 13.06.2023 № 214-ФЗ "О внесении изменения в статью 104-1 Уголовного кодекса РФ" [20] официально опубликован 13 июня 2023 г.
Теперь конфискация имущества может быть назначена при совершении следующих преступлений:
- неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации;
- создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации;
- нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации;
- неправомерное воздействие на КИИ РФ.
Изменения в Федеральный закон № 187-ФЗ
Законопроект № 154496-8 "О внесении изменения в статью 2 Федерального закона "О безопасности критической информационной инфраструктуры РФ" [21] был одобрен Государственной Думой и Советом Федерации.
Согласно законопроекту, к сферам деятельности субъектов КИИ будет добавлена сфера госрегистрации прав на недвижимое имущество и сделок с ним.
28 июня 2023 г. в Государственную Думу был внесен законопроект № 390902-8 "О внесении изменения в статью 2 Федерального закона "О безопасности критической информационной инфраструктуры РФ" [22], дополняющий сферы деятельности субъектов КИИ сферами социального обеспечения и образования.
Аттестация работников органов по сертификации и испытательных лабораторий
Проект приказа ФСТЭК России "Об утверждении Порядка аттестации работников органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа" [23] был опубликован 9 июня 2023 г.
Доработанный по итогам обсуждений текст проекта акта определяет порядок выполнения отдельных работ по аттестации работников органов по сертификации и испытательных лабораторий.
Аттестация экспертов должна осуществляться в следующих областях аккредитации:
- а) сертификация средств противодействия иностранным техническим разведкам, включая средства, в которых они реализованы, а также средства контроля эффективности противодействия иностранным техническим разведкам;
- б) сертификация средств защиты информации от утечки по техническим каналам, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации от утечки по техническим каналам;
- в) сертификация средств защиты информации от несанкционированного доступа, включая средства, в которых они реализованы, а также средства контроля эффективности защиты информации от несанкционированного доступа;
- г) сертификация средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации;
- д) сертификация процессов безопасной разработки программного обеспечения средств защиты информации.
Эксперты должны будут пройти квалификационный экзамен, проводимый аттестационной комиссией ФСТЭК России. Эксперту в ходе тестирования будет предлагаться ответить на 100 вопросов по каждой заявленной области аккредитации, отобранных из перечня вопросов случайным образом. При положительном результате тестирования по заявленной области аккредитации эксперт допускается к решению практических задач в данной области. Эксперту предлагаются для решения две практические задачи по каждой заявленной области аккредитации.
В случае принятия решения об аттестации эксперта в заявленной области аккредитации (заявленных областях аккредитации) ФСТЭК России вносит данные сведения в реестр экспертов органов по сертификации и испытательных лабораторий и оформляет или переоформляет (в случае расширения области аккредитации) свидетельство об аттестации эксперта. Свидетельство об аттестации эксперта выдается на пять лет.
Аккредитация юридических лиц для обработки ПДн лиц, принимаемых на работу, непосредственно связанную с обеспечением транспортной безопасности
Постановление Правительства РФ от 01.06.2023 № 906 "Об аккредитации юридических лиц для обработки ПДн отдельных категорий лиц, принимаемых на работу, непосредственно связанную с обеспечением транспортной безопасности, или осуществляющих такую работу, в целях проверки субъектом транспортной инфраструктуры сведений, предусмотренных пунктами 1–6 и 9 части 1 статьи 10 Федерального закона "О транспортной безопасности", а также для принятия органами аттестации решения об аттестации сил обеспечения транспортной безопасности" [24] официально опубликовано 2 июня 2023 г.
ПП РФ № 906 отменяется постановление Правительства РФ от 30 июля 2014 г. № 725 "Об утверждении Правил аккредитации юридических лиц для проведения проверки в целях принятия органами аттестации решения об аттестации сил обеспечения транспортной безопасности, а также для обработки персональных данных отдельных категорий лиц, принимаемых на работу, непосредственно связанную с обеспечением транспортной безопасности, или осуществляющих такую работу".
ПП РФ № 906 вступает в силу с 1 сентября 2023 г. и действует до 1 сентября 2029 г.
Импортозамещение в финансовой сфере
Федеральный закон от 13.06.2023 № 243-ФЗ "О внесении изменений в Федеральный закон "О Центральном банке РФ (Банке России)", опубликованный 13 июня 2023 г., определяет требования в отношении перехода кредитными организациями на преимущественное использование российского программного обеспечения и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах КИИ. Федеральный закон вступит в силу 12 сентября 2023 г.
Методические рекомендации от Банка России
Банк России опубликовал Методические рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации некредитными финансовыми организациями [25] № 8-МР от 20 июня 2023 г.
Рекомендациями предлагается руководствоваться следующим отчитывающимся организациям:
- профессиональным участникам рынка ценных бумаг, организаторам торговли, клиринговым организациям при составлении отчетности по форме 0420433 "Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями";
- негосударственным пенсионным фондам при составлении отчетности по форме 0420266 "Сведения об оценке выполнения требований к обеспечению защиты информации негосударственным пенсионным фондом";
- операторам инвестиционной платформы, операторам финансовой платформы, операторам информационных систем, в которых осуществляется выпуск цифровых финансовых активов, операторам обмена цифровых финансовых активов при составлении отчетности (отчета) по форме 0420722 "Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов";
- страховым организациям при составлении отчетности по форме 0420175 "Сведения об оценке выполнения требований к обеспечению защиты информации страховой организацией".
Изменения в Кодекс РФ об административных правонарушениях
Федеральный закон от 24.06.2023 № 277-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" [26] официально опубликован 24 июня 2023 г.
Федеральным законом от 24.06.2023 № 277-ФЗ КоАП РФ дополнен статьей о незаконном использование принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями.
- https://regulation.gov.ru/projects#npa=137948
- https://rkn.gov.ru/docs/Perechen6_informacionnykh_sistem_05052023.pdf
- http://publication.pravo.gov.ru/document/0001202305220010?index=2
- http://publication.pravo.gov.ru/document/0001202305260020?index=1
- https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-Nomativnye-dokumenty/metodicheskij-dokument-ot-17-maya-2023-g
- https://sozd.duma.gov.ru/bill/353266-8
- https://protect.gost.ru/document1.aspx?control=31&id=252266
- https://mintrans.gov.ru/documents/7/12506
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=138119
- http://publication.pravo.gov.ru/Document/View/0001202305190014
- http://publication.pravo.gov.ru/document/0001202305240002
- http://publication.pravo.gov.ru/document/0001202305220032
- http://publication.pravo.gov.ru/Document/View/0001202305030014
- http://publication.pravo.gov.ru/document/0001202305310045
- http://publication.pravo.gov.ru/document/0001202305300015
- http://publication.pravo.gov.ru/document/0001202306020020
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=139316
- http://publication.pravo.gov.ru/document/0001202306230016
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=139429
- http://publication.pravo.gov.ru/document/0001202306130022
- https://sozd.duma.gov.ru/bill/154496-8
- https://sozd.duma.gov.ru/bill/390902-8
- https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=139075
- http://publication.pravo.gov.ru/document/0001202306020004
- https://www.cbr.ru/Crosscut/LawActs/File/6217
- http://publication.pravo.gov.ru/document/0001202306240015