Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
Проект постановления Правительства РФ "О внесении изменения в Правила принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан, утвержденные постановлением Правительства РФ "Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан" [1] представлен к общественным обсуждениям 2 мая 2023 г.
Доработанный по результатам обсуждений проект постановления Правительства РФ вносит уточнение в порядок принятия решения о запрещении или об ограничении трансграничной передачи ПДн, уточняя случаи, когда уведомление от оператора не подлежит рассмотрению.
Перечень информационных систем и (или) программ для электронных вычислительных машин, указанных в ч. 8 ст. 10 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" [2] опубликован Роскомнадзором 5 мая 2023 г.
Указанные в перечне иностранные мессенджеры запрещается использовать ряду лиц для передачи платежных документов и (или) предоставления информации, содержащей ПДн граждан РФ, данные о переводах денежных средств в рамках применяемых форм безналичных расчетов, сведения, необходимые для осуществления платежей и сведения о счетах (вкладах) граждан РФ в банках.
Указ Президента РФ от 22.05.2023 № 366 "О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента РФ от 16 августа 2004 г. № 1085" [3] официально опубликован 22 мая 2023 г.
Согласно Указу № 366 ФСТЭК России сформирует перечень организаций, которые аккредитованы ФСТЭК России или имеют лицензии ФСТЭК России, осуществляют деятельность по обеспечению информационной безопасности РФ и прекращение работы которых в военное время создаст предпосылки для нарушения устойчивого функционирования информационной инфраструктуры РФ.
Постановление Правительства РФ от 25.05.2023 № 815 [4] "Об утверждении перечня случаев, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается, и перечня случаев, при которых допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано
простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством РФ в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц" официально опубликовано 26 мая 2023 г. ППРФ№815 вступает в силу с 1 июня 2023 г. и действует до 1 июня 2029 г.
Утверждены перечни случаев, когда не допускается аутентификация с использованием информационных систем организаций, осуществляющих ее на основе биометрических ПДн физических лиц (в указанный перечень, например, вошло установление личности физического лица в случаях, когда в соответствии с законодательством РФ требуется предъявление документа, удостоверяющего личность такого физического лица; проведение медицинских осмотров с использованием медицинских изделий, обеспечивающих автоматизированную дистанционную передачу информации о состоянии здоровья работников и дистанционный контроль состояния их здоровья); допускается использование биометрических ПДн, согласие на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой обладает осуществляющая аутентификацию организация.
"Методический документ ФСТЭК России. Руководство по организации процесса управления уязвимостями в органе (организации)" [5] утвержден ФСТЭК России 17 мая 2023 г.
Методический документ подлежит применению государственными органами, организациями, в том числе субъектами КИИ, являющимися операторами информационных (автоматизированных) систем, при принятии ими мер по устранению уязвимостей программных, программно-аппаратных средств информационных систем в соответствии с требованиями о защите информации, содержащейся в государственных информационных системах, требованиями по обеспечению безопасности значимых объектов КИИ, а также иными нормативными правовыми актами и методическими документами ФСТЭК России.
В соответствии с Методическим документом ФСТЭК России процесс управления уязвимостями включает пять основных этапов, которые изображены на схеме (рис. 1).
Рис. 1. Этапы процесса управления уязвимостями
Методический документ описывает состав участников процесса управления уязвимостями и распределение операций, реализуемых на этапах процесса управления уязвимостями, по приведенным ролям. Для каждого из этапов процесса управления уязвимостями приводится детальная схема его реализации и операций, которые должны быть включены в этап.
Документ приводит рекомендуемые сроки устранения уязвимостей:
В Госдуму внесен законопроект № 353266-8 "О внесении изменений в Кодекс РФ об административных правонарушениях" [6], которым предполагается установление административной ответственности за незаконное размещение биометрических ПДн в единой биометрической системе и иных информационных системах, используемых для идентификации и (или) аутентификации с использованием биометрических ПДн.
Предлагается определить следующие административные штрафы:
Аналогичный размер штрафов предлагается установить и для случаев обработки ПДн без согласия в письменной форме субъекта ПДн в случаях, когда такое согласие должно быть получено.
Утвержден ГОСТ Р 70732–2023 "Автоматизированные системы управления технологическими процессами и техническими средствами железнодорожного транспорта. Требования к функциональной и информационной безопасности программного обеспечения и методы контроля" [7] с датой введения в действие 1 ноября 2023 г.
В соответствии с ГОСТ Р 707322023 уровень доверия к информационной безопасности ПО автоматизированных систем управления технологическими процессами и техническими средствами железнодорожного транспорта (АСУ ЖТ) задают в зависимости от установленной или предполагаемой категории значимости АСУ ЖТ как объекта (составной части объекта) КИИ и/или в зависимости от установленного или предполагаемого класса защищенности АСУ ЖТ как автоматизированной системы управления (составной части) технологическими процессами критически важных, потенциально опасных, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды объектов.
В требования, в зависимости от заданного уровня доверия к информационной безопасности, включаются:
В стандарте приводятся методы контроля для требований по информационной безопасности.
Минтрансом России 19 мая 2023 г. опубликован Перечень типовых отраслевых объектов критической информационной инфраструктуры, функционирующих в сфере транспорта [8].
Перечень согласован со ФСТЭК России, в него включены:
В соответствии с постановлением Правительства РФ от 8 февраля 2018 г. № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений" перечни типовых отраслевых объектов КИИ являются исходными данными для категорирования.
Проект постановления Правительства РФ "О реализации пилотного проекта по обеспечению технологической независимости КИИ РФ в атомной и космической отраслях" [9] опубликован Минпромторгом России 10 мая 2023 г.
Проектом ПП РФ устанавливаются сроки проведения пилотного проекта по обеспечению технологической независимости КИИ РФ в атомной и космической отраслях с 1 августа 2023 г. по 1 августа 2025 г., целями которого являются:
В мае 2023 г. опубликован ряд нормативных правовых актов, регламентирующих особенности эксплуатации ЕБС:
Приказ ФСБ России от 11.05.2023 № 213 "Об утверждении порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов РФ, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры РФ либо используемых ими" [16] официально опубликован 2 июня 2023 г.
Приказ ФСБ № 213 утверждает порядок осуществления мониторинга защищенности информационных ресурсов в соответствии с подпунктом "в" п. 5 Указа Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности РФ". Приказом ФСБ № 213 определено следующее:
Для общественного обсуждения 20 июня 2023 г. был представлен проект указа Президента РФ "О внесении изменений в Указ Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности РФ" [17].
Проектом указа предлагается определить обязанность органов (организаций), попадающих под действие Указа № 250, информировать ФСБ России в порядке, установленном ФСБ России, о компьютерных инцидентах и компьютерных атаках, связанных с функционированием информационных ресурсов органов (организаций). Предлагается дополнить полномочия ФСБ России следующими положениями:
Приказ ФСТЭК России от 20.04.2023 № 69 "О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования, утвержденные приказом ФСТЭК России от 21 декабря 2017 г. № 235" [18] официально опубликован 23 июня 2023 г.
Изменения, внесенные приказом ФСТЭК № 69, нацелены на гармонизацию положений приказа ФСТЭК России от 21 декабря 2017 г. № 235 с ролью ответственного лица, определенного Указом № 250.
Приказом ФСТЭК № 69 для специалистов, обеспечивающих защиту значимых объектов КИИ, исключены требования к срокам длительности обучения по профессиональной переподготовке и к наличию высшего образования (за исключением руководителя). На работников со средним профессиональным образованием по группе специальностей в области ИБ (при наличии должности в штатном расписании у субъекта КИИ) возлагаются отдельные функции по обеспечению безопасности значимых объектов КИИ в соответствии с полученной такими работниками специальностью.
Теперь работники структурного подразделения по безопасности, специалисты по безопасности значимых объектов КИИ должны проходить обучение по программам повышения квалификации по направлению "информационная безопасность" не реже одного раза в три года. Ранее срок был не реже одного раза в пять лет.
Для общественного обсуждения 23 июня 2023 г. был опубликован законопроект "О внесении изменений в Федеральный закон "О безопасности объектов топливно-энергетического комплекса" [19]. Дата окончания публичного обсуждения: 13 июля 2023 г.
Проектом предлагается внести следующие изменения в Федеральный закон от 21 июля 2011 года № 256-ФЗ "О безопасности объектов топливно-энергетического комплекса":
Согласно законопроекту изменения должны вступить в силу с 1 сентября 2024 г.
Федеральный закон от 13.06.2023 № 214-ФЗ "О внесении изменения в статью 104-1 Уголовного кодекса РФ" [20] официально опубликован 13 июня 2023 г.
Теперь конфискация имущества может быть назначена при совершении следующих преступлений:
Законопроект № 154496-8 "О внесении изменения в статью 2 Федерального закона "О безопасности критической информационной инфраструктуры РФ" [21] был одобрен Государственной Думой и Советом Федерации.
Согласно законопроекту, к сферам деятельности субъектов КИИ будет добавлена сфера госрегистрации прав на недвижимое имущество и сделок с ним.
28 июня 2023 г. в Государственную Думу был внесен законопроект № 390902-8 "О внесении изменения в статью 2 Федерального закона "О безопасности критической информационной инфраструктуры РФ" [22], дополняющий сферы деятельности субъектов КИИ сферами социального обеспечения и образования.
Проект приказа ФСТЭК России "Об утверждении Порядка аттестации работников органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством РФ иной информации ограниченного доступа" [23] был опубликован 9 июня 2023 г.
Доработанный по итогам обсуждений текст проекта акта определяет порядок выполнения отдельных работ по аттестации работников органов по сертификации и испытательных лабораторий.
Аттестация экспертов должна осуществляться в следующих областях аккредитации:
Эксперты должны будут пройти квалификационный экзамен, проводимый аттестационной комиссией ФСТЭК России. Эксперту в ходе тестирования будет предлагаться ответить на 100 вопросов по каждой заявленной области аккредитации, отобранных из перечня вопросов случайным образом. При положительном результате тестирования по заявленной области аккредитации эксперт допускается к решению практических задач в данной области. Эксперту предлагаются для решения две практические задачи по каждой заявленной области аккредитации.
В случае принятия решения об аттестации эксперта в заявленной области аккредитации (заявленных областях аккредитации) ФСТЭК России вносит данные сведения в реестр экспертов органов по сертификации и испытательных лабораторий и оформляет или переоформляет (в случае расширения области аккредитации) свидетельство об аттестации эксперта. Свидетельство об аттестации эксперта выдается на пять лет.
Постановление Правительства РФ от 01.06.2023 № 906 "Об аккредитации юридических лиц для обработки ПДн отдельных категорий лиц, принимаемых на работу, непосредственно связанную с обеспечением транспортной безопасности, или осуществляющих такую работу, в целях проверки субъектом транспортной инфраструктуры сведений, предусмотренных пунктами 1–6 и 9 части 1 статьи 10 Федерального закона "О транспортной безопасности", а также для принятия органами аттестации решения об аттестации сил обеспечения транспортной безопасности" [24] официально опубликовано 2 июня 2023 г.
ПП РФ № 906 отменяется постановление Правительства РФ от 30 июля 2014 г. № 725 "Об утверждении Правил аккредитации юридических лиц для проведения проверки в целях принятия органами аттестации решения об аттестации сил обеспечения транспортной безопасности, а также для обработки персональных данных отдельных категорий лиц, принимаемых на работу, непосредственно связанную с обеспечением транспортной безопасности, или осуществляющих такую работу".
ПП РФ № 906 вступает в силу с 1 сентября 2023 г. и действует до 1 сентября 2029 г.
Федеральный закон от 13.06.2023 № 243-ФЗ "О внесении изменений в Федеральный закон "О Центральном банке РФ (Банке России)", опубликованный 13 июня 2023 г., определяет требования в отношении перехода кредитными организациями на преимущественное использование российского программного обеспечения и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах КИИ. Федеральный закон вступит в силу 12 сентября 2023 г.
Банк России опубликовал Методические рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в целях составления отчетности об оценке выполнения требований к обеспечению защиты информации некредитными финансовыми организациями [25] № 8-МР от 20 июня 2023 г.
Рекомендациями предлагается руководствоваться следующим отчитывающимся организациям:
Федеральный закон от 24.06.2023 № 277-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" [26] официально опубликован 24 июня 2023 г.
Федеральным законом от 24.06.2023 № 277-ФЗ КоАП РФ дополнен статьей о незаконном использование принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями.