Обзор изменений в законодательстве. Январь, февраль 2024 г.

Доверенные ПАК, перечни типовых ОКИИ, формы  для обработки биометрических ПДн, методика оценки безопасности ОКИИ, госконтроль за обеспечением защиты гостайны, стандарты по безопасной разработке.

Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности

Январь-2024

В обзоре изменений законодательства за январь 2024 г. рассмотрим предварительный национальный стандарт по доверенным ПАК, перечни типовых объектов КИИ от Минпромторга России и Минздрава России, а также формы подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических ПДн.

Доверенные ПАК

В январе 2024 г. был опубликован ПНСТ 905-2023 "Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Термины и определения" [1], который вводится в действие 01.04.2024, срок его действия до 01.04.2027.

Стандарт устанавливает термины и определения основных понятий, относящихся к доверенным программно-аппаратным комплексам, применяемым на объектах критической информационной инфраструктуры. Термины, установленные стандартом, рекомендуются для применения во всех видах документации и литературы в области проектирования, разработки и изготовления доверенных программно-аппаратных комплексов и их компонентов, используемых в составе программно-аппаратных комплексов, а также при разработке нормативных документов в указанной области.

Так, например, согласно опубликованному предварительному национальному стандарту, доверенный программно-аппаратный комплексом (ДПАК) – это программно-аппаратный комплекс, соответствующий требованиям обеспечения технологической независимости критической информационной инфраструктуры, функциональности, надежности и защищенности.

Перечни типовых объектов КИИ

Минпромторгом России были опубликованы следующие перечни [2] типовых КИИ, согласованные со ФСТЭК России:

• Перечень типовых объектов КИИ, функционирующих в области химической промышленности.
• Перечень типовых объектов КИИ, функционирующих в области горнодобывающей промышленности (в части руд, камней).
• Перечень типовых объектов КИИ, функционирующих в области металлургической промышленности.
• Перечень типовых объектов КИИ, функционирующих в области оборонной промышленности.

На сайте Минпромторга России также доступна Инструкция по выполнению требований законодательства РФ о защите КИИ организациями, осуществляющими деятельность в сфере оборонной, металлургической и химической промышленности [3]. Стоит отметить, что указанной инструкцией предусмотрено, что результаты выполнения работ, в том числе по процессу категорирования, необходимо направить в ФГУП "НПП "ГАММА".

Минздрав России также по согласованию с ФСТЭК России утвердил Перечень типовых отраслевых объектов КИИ, функционирующих в сфере здравоохранения [4].

Формы подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических ПДн

Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 29.11.2023 № 1024 "О формах подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, требованиям, определенным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 Федерального закона от 29 декабря 2022 г. № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации", и о внесении изменений в приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 12 мая 2023 г. № 453" [5] официально опубликован 12 января 2024 г., вступил в силу с 23 января 2024 г.

Приказом Минцифры России от 29.11.2023 № 1024 по согласованию с ФСБ России и Банком России утверждены:

• форма подтверждения соответствия информационных технологий, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы;
• форма подтверждения соответствия технических средств, предназначенных для обработки биометрических ПДн, векторов единой биометрической системы.

Формы включают информацию о наименовании, типе, версии, модальности информационных технологий, модели и типе технических средств, а также об их разработчиках и производителях

Февраль-2024

В обзоре изменений законодательства за февраль 2024 г. поговорим о проекте Методики оценки показателя состояния защиты информации и обеспечения безопасности объектов КИИ от ФСТЭК России, проектах ведомственных приказов ФСТЭК России по части организации государственного контроля за обеспечением защиты государственной тайны, о новых стандартах в области безопасной разработки ПО, а также об изменениях в требованиях к форме квалифицированного сертификата ключа проверки электронной подписи (ЭП).

Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов КИИ

Информационным сообщением ФСТЭК России от 12 февраля 2024 г. № 240/91/688 сообщается о разработке методического документа ФСТЭК России "Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры Российской Федерации" [6].

Документ определяет порядок оценки текущего состояния технической защиты информации, не содержащей сведений, составляющих государственную тайну, и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации в органах государственной власти и организациях, в том числе являющихся субъектами КИИ.

Целью применения указанного методического документа является оценка степени достижения органами государственной власти и организациями минимально необходимого (базового) уровня защиты информации, не составляющей государственную тайну, и уровня обеспечения безопасности значимых объектов КИИ от наиболее распространенных угроз безопасности информации. Предложения по совершенствованию проекта методического документа принимались ФСТЭК России до 15 марта 2024 г.

Проект Методики оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации также был размещен на официальном сайте ФСТЭК России [7].

Методика разработана в целях реализации ФСТЭК России новых полномочий по осуществлению в пределах своей компетенции централизованного учета информационных систем и иных объектов КИИ по отраслям экономики, а также мониторинга текущего состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ.

Методика будет применяться:

• ФСТЭК России – для мониторинга;
• органом (организацией) – для оценки текущего состояния технической защиты информации и (или) обеспечения безопасности значимых объектов КИИ, а также оценки деятельности заместителя руководителя органа (организации), на которого возложены полномочия по обеспечению информационной безопасности, и (или) структурного подразделения, осуществляющего функции обеспечения информационной безопасности органа.

При реализации методики должен быть рассчитан показатель защищенности – уровень КЗИ. Оценка уровня КЗИ включает:

• сбор и анализ исходных данных, необходимых для оценки уровня КЗИ;
• определение значений частных показателей безопасности КЗИ;
• расчет значения уровня КЗИ и его сравнение с нормированным значением.

Информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети, иные объекты информатизации и содержащаяся в них информация органа (организации) имеют минимально необходимый уровень защищенности от актуальных угроз безопасности информации, если значение уровня КЗИ соответствует нормированному значению: КЗИ = 1. Расчет уровня КЗИ проводится не реже чем один раз в квартал.

Государственный контроль за обеспечением защиты государственной тайны

В феврале 2024 г. ФСТЭК России представила для общественного обсуждения ряд проектов ведомственных приказов в части организации государственного контроля за обеспечение защиты государственной тайны:

• "Об определении территориальных органов и структурных подразделений ФСТЭК России, должностных лиц ФСТЭК России и ее территориальных органов, уполномоченных на осуществление федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России, а также должностных лиц ФСТЭК России и ее территориальных органов, уполномоченных совершать действия (принимать решения) при осуществлении федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России" [8].
• "Об определении перечня подлежащих проверке вопросов при осуществлении ФСТЭК России и ее территориальными органами федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России" [9].
• "Об утверждении порядка подготовки планов проведения ФСТЭК России и ее территориальными органами плановых проверок при осуществлении федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России и оформления результатов проверки (в том числе требований к содержанию акта проверки)" [10].
• "Об утверждении форм документов, используемых ФСТЭК России и ее территориальными органами при осуществлении и по результатам федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России" [11].

Стандарты по безопасной разработке

В феврале 2024 г. были также официально опубликованы следующие национальные стандарты:

• ГОСТ Р 712060–2024 "Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования" [12].
• ГОСТ Р 71207–2024 "Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования" [13].

ГОСТ Р 71206–2024 устанавливает общие требования к безопасному компилятору программ на языках С и С++. Целью работы безопасного компилятора является исключение внесения в бинарный код программы ошибок, которых не было в исходном коде программы и которые могут появиться в ходе компиляции, в том числе в ходе выполнения оптимизаций кода программы. Стандарт задает требования к динамической компоновке и загрузке программ, выполнение которых необходимо для поддержки ряда возможностей безопасного компилятора.

Стандарт уточняет требования к мерам по разработке безопасного программного обеспечения, реализуемым при выполнении конструирования и комплексирования программного обеспечения, в части требований к используемым инструментальным средствам (безопасному компилятору).

ГОСТ Р 71207–2024 описывает порядок внедрения и выполнения статического анализа, устанавливает требования к его выполнению, классификацию ошибок, находимых статическими анализаторами, а также требования к методам анализа, к инструментам статического анализа, к специалистам, участвующим в выполнении анализа, а также к методике проверки статических анализаторов на соответствие требованиям данного стандарта. Подразумевается, что стандарт предназначен:

• для разработчиков статических анализаторов;
• для разработчиков средств защиты информации, средств обеспечения безопасности информационных технологий; l для разработчиков программного обеспечения.

Квалифицированный сертификат ключа проверки ЭП

Приказ ФСБ России от 02.02.2024 № 50 "О внесении изменений в Требования к форме квалифицированного сертификата ключа проверки электронной подписи, утвержденные приказом ФСБ России от 27 декабря 2011 г. № 795" [14] официально опубликован 5 февраля 2024 г. Приказ ФСБ России от 02.02.2024 № 50 вступает в силу с 1 сентября 2024 г. и действует до 1 сентября 2027 г.

Приказом ФСБ России от 02.02.2024 № 50, в частности, будут внесены следующие изменения и дополнения:

• квалифицированный сертификат также должен будет содержать информацию о сроке действия ключа электронной подписи, соответствующего уникальному ключу проверки ЭП, содержащемуся в данном квалифицированном сертификате;
• определен общий вид квалифицированного сертификата на бумажном носителе для владельца – лица, замещающего государственные должности, государственные должности субъектов РФ, должностного лица государственных органов, органов местного самоуправления, их подведомственных учреждений, Центрального банка РФ;
• определен общий вид квалифицированного сертификата на бумажном носителе для владельца – филиала (представительства) иностранного юридического лица.

1. https://protect.gost.ru/document1.aspx?control=31&baseC=6&page=8&month=1&year=2024&search=&id=257135 
2. https://minpromtorg.gov.ru/activities/vgpp/vgpp4/perechni-tipovyh-obektov-kii 
3. https://minpromtorg.gov.ru/activities/vgpp/vgpp4/npa?pdfModalID=1891be71-c6fe-42fd-a23d-f52d98c8b96a&fileModalID=40c02104d5df-452f-bec3-a935c3b40752 
4. https://portal.egisz.rosminzdrav.ru/news/937 
5. http://publication.pravo.gov.ru/document/0001202401120014 
6. https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossiiot-12-fevralya-2024-g-n-240-91-688 
7. https://fstec.ru/dokumenty/vse-dokumenty/proekty/proekt-metodicheskogo-dokumenta-3 
8. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=145358 
9. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=145359 
10. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=145361 
11. https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=145362 
12. https://protect.gost.ru/document.aspx?control=7&id=257755 
13. https://protect.gost.ru/document.aspx?control=7&id=257752 
14. http://publication.pravo.gov.ru/document/0001202402050048