Контакты
Подписка 2024
Статьи по информационной безопасности

Обзор изменений в законодательстве. Январь и февраль 2023 г.

Анастасия Заведенская, 29/03/23

Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности

Январь-2023

Серию обзоров изменений законодательства в 2023 г. начнем с рассмотрения нормативных актов, касающихся особенностей осуществления трансграничной передачи ПДн и обработки биометрических Пдн, разберем проект положения о государственной системе защиты информации в РФ, поговорим о рекомендациях ФСТЭК России по обеспечению безопасности ОС Linux и требованиях по безопасности для средств виртуализации.

Перечень исключений, при которых допускается осуществление трансграничной передачи ПДн без уведомления и ограничений со стороны Роскомнадзора

В конце 2022 г. официально было опубликовано постановление Правительства РФ от 29.12.2022 № 2526 "Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором РФ, законодательством РФ на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3–6, 8–11 статьи 12 Федерального закона "О персональных данных" [1] . ПП РФ № 2526 вступило в силу с 01 марта 2023 г. Напомним, что указанные статьи ФЗ № 152 устанавливают требования по уведомлению операторами Роскомнадзора о намерении осуществлять трансграничную передачу ПДн и о решении о запрещении или об ограничении трансграничной передачи ПДн в целях защиты нравственности, здоровья, прав и законных интересов граждан.

Правила принятия решения о запрещении или об ограничении трансграничной передачи ПДн

Постановление Правительства РФ от 10.01.2023 № 6 "Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении" [2] официально опубликовано 11 января 2023 г. ПП РФ № 6 вступило в силу 1 марта 2023 г.

Решение о запрещении или об ограничении трансграничной передачи ПДн в целях, определяемых ч. 12 ст. 12 ФЗ № 152, принимается Роскомнадзором на основании поступивших представлений от федеральных органов исполнительной власти. Решение о запрещении, принятое на основании представления, отправляется уполномоченному органу, направившему представление, а также оператору любым доступным способом, позволяющим подтвердить факт его получения адресатом, в том числе по адресу, указанному в уведомлении оператора о намерении осуществлять трансграничную передачу ПДн.

Если решение о запрещении принято в отношении иностранного государства, такое решение дополнительно направляется операторам, осуществляющим трансграничную передачу ПДн на территорию соответствующего иностранного государства, сведения о которых внесены в реестр операторов. Если решение о запрещении принято в отношении оператора, то оно дополнительно направляется оператору, которому трансграничная передача ПДн запрещена или ограничена.

В случае устранения оператором причин, послуживших основанием для принятия решения о запрещении, такой оператор вправе обратиться в уполномоченный орган, вынесший представление, о снятии такого запрета или ограничений на трансграничную передачу ПДн с приложением подтверждающих материалов.

Правила принятия решения о запрещении или об ограничении трансграничной передачи ПДн в целях защиты нравственности, здоровья, прав и законных интересов граждан

Постановление Правительства РФ от 16.01.2023 № 24 "Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан" [3] официально опубликовано 17 января 2023 г. ПП РФ № 24 вступило в силу 1 марта 2023 г.

По ПП РФ № 24 решение о запрещении принимается Роскомнадзором в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение о запрещении по ПП РФ № 24 принимается по результатам рассмотрения уведомления от оператора, а также сведений, полученных оператором от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача ПДн в соответствии с ч. 5 ст. 12 ФЗ № 152 (при наличии). Установление запретов или ограничений для осуществления трансграничной передачи Пдн происходит в случае, если: органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача, не принимаются меры по защите передаваемых ПДн, а также не определены условия прекращения их обработки; иностранное юридическое лицо, которому планируется трансграничная передача, является организацией, деятельность которой запрещена на территории РФ на основании вступившего в законную силу решения суда; иностранное юридическое лицо, которому планируется трансграничная передача, включено в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ; трансграничная передача и дальнейшая обработка переданных ПДн несовместима с целями сбора ПДн; трансграничная передача ПДн осуществляется в случаях, не предусмотренных ч. 1 ст. 6 ФЗ № 152.

Оператор вправе повторно подать уведомление при устранении причин, повлекших запрещение или ограничение трансграничной передачи, не ранее чем через 10 рабочих дней после первоначального принятия Роскомнадзором решения о запрещении в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение о запрещении или об ограничении трансграничной передачи может быть обжаловано оператором в судебном порядке или вышестоящему должностному лицу Роскомнадзора.

Правила отказа от сбора и размещения биометрических ПДн в целях проведения идентификации и аутентификации

Для общественного обсуждения 19 января 2023 г. был представлен проект постановления Правительства РФ "Об утверждении правил представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа, а также письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом такого отказа и отзыва такого отказа, форм отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа, а также письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом такого отказа и отзыва такого отказа" [4].

Проект постановления разработан в соответствии с ч. 17 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ". Указанный федеральный закон регулирует отношения, возникающие при осуществлении идентификации/аутентификации физических лиц с использованием биометрических ПДн с использованием государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных", а также при ее взаимодействии в целях осуществления аутентификации с использованием биометрических ПДн физических лиц с информационными системами аккредитованных государственных органов, Центрального банка РФ в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц.

Проект постановления устанавливает правила представления физическим лицом отказа от сбора и размещения в целях проведения идентификации/аутентификации своих биометрических ПДн или биометрических ПДн несовершеннолетнего, в случае если указанное физическое лицо является законным представителем несовершеннолетнего, а также по отзыву такого отказа. Процедура должна осуществляться при личном присутствии физического лица в многофункциональном центре предоставления государственных и муниципальных услуг.

Государственная система защиты информации в РФ

Проект указа Президента РФ "Об утверждении Положения о государственной системе защиты информации в РФ" [5] был представлен для общественного обсуждения 23 января 2023 г.

Проект указа Президента РФ разработан во исполнение п. 3.3 протокола заседания Совета Безопасности РФ от 20 мая 2022 г. по вопросу "Об обеспечении устойчивости и безопасности функционирования информационной инфраструктуры РФ" (№ Пр-935-Пр от 27 мая 2022 г.). Проект указа Президента РФ предлагает к утверждению Положение о государственной системе защиты информации в РФ.

Как отмечается в пояснительной записке к проекту указа, создаваемая система защиты информации является государственной системой; область действия проекта Положения ограничена информацией, являющейся государственным информационным ресурсом, то есть информацией, обладателями которой являются Российская Федерация, субъект РФ, муниципальное образование. На организации проект положения распространяется только в тех случаях, когда они получили право на обработку информации, являющейся государственным ресурсом, в соответствии с федеральными законами, иными нормативными правовыми актами РФ, по договорам или на иных установленных законом основаниях.

Согласно самому положению о ГСЗИ оно будет обязательным для исполнения федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления, государственными фондами, государственными компаниями при сборе, хранении, обработке, предоставлении, распространении ими информации с использованием объектов информационной инфраструктуры, а также организациями, осуществляющими на основании федеральных законов, иных нормативных правовых актов РФ, по договорам или на иных установленных законом основаниях обработку информации с использованием объектов информационной инфраструктуры на территории РФ.

  • К обрабатываемой информации по проекту положения относится информация ограниченного доступа и общедоступная информация, обладателями которой являются Российская Федерация, субъект РФ, муниципальное образование.
  • Объектами информационной инфраструктуры являются информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, иные объекты информатизации органа, организации.
  • Деятельность ГСЗИ осуществляется на федеральном, межрегиональном, региональном, ведомственном и объектовом уровнях.
  • ГСЗИ должна функционировать во взаимодействии с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).
  • Сами органы и организации, попадающие под действие положения о ГСЗИ, должны будут принимать организационные и технические меры по защите информации.
  • Руководитель органа, организации создает систему организации и управления защитой информации и контролирует ее функционирование.
  • Защиту информации в органе организует заместитель руководителя органа, на которого возложены полномочия по обеспечению информационной безопасности в органе в соответствии с Указом Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности РФ".
  • В организации защиту информации организует непосредственно руководитель организации или уполномоченное им лицо.
  • Порядок организации и управления защитой информации в органе, организации определяется в положении по организации защиты информации в органе, организации, утверждаемом руководителем органа, организации или уполномоченным им лицом.
  • Требования к порядку разработки и содержанию положения по организации защиты информации в органе, организации утверждаются ФСТЭК России по согласованию с ФСБ России.
  • Положение по организации защиты информации в органе подлежит согласованию с ФСТЭК России.

В случае организации и обеспечения безопасности информации в органе с использованием шифровальных (криптографических) средств защиты информации положение по организации защиты информации подлежит согласованию с ФСБ России.

Для обеспечения защиты информации должны применяться средства защиты информации, сертифицированные на соответствие требованиям по безопасности информации, установленным уполномоченными федеральными органами исполнительной власти в пределах полномочий. Объекты информатизации должны быть аттестованы на соответствие требованиям о защите информации в порядке, установленном ФСТЭК России. Кроме того, потребуется разработка ежегодного плана мероприятий по защите информации в органе, организации, утверждаемого руководителем или уполномоченным им лицом. Требования к порядку разработки, содержанию и форме плана должны будут быть утверждены ФСТЭК России по согласованию с ФСБ России. Отчет о выполнении плана мероприятий в органе, после его доклада руководителю, должен быть представлен во ФСТЭК России (ее территориальные органы), а в части мероприятий по организации и обеспечению безопасности информации с использованием шифровальных (криптографических) средств защиты информации – в соответствующий территориальный орган ФСБ России.

Рекомендации по обеспечению безопасной настройки ОС Linux

Информационным сообщением от 30 декабря 2022 г. № 240/22/6933 [6] ФСТЭК России сообщает, что разработаны и утверждены от 25 ноября 2022 г. рекомендации по обеспечению безопасной настройки операционных систем Linux (размещены и на сайте ФСТЭК России [7]).

Рекомендации определяют содержание работ по настройке операционных систем на базе ядра Linux, подлежат реализации в государственных информационных системах и на объектах КИИ РФ, построенных с использованием операционных систем Linux, не сертифицированных по требованиям безопасности информации, до их замены на сертифицированные отечественные операционные системы.

Настройка сертифицированных ОС на базе ядра Linux осуществляется в соответствии с эксплуатационной документацией разработчиков операционных систем.

Тестирование обновлений ПО от ФСТЭК России

В режиме опытной эксплуатации ФСТЭК России был опубликован раздел, содержащий результаты тестирования обновлений программного обеспечения [8], ведение которого осуществляется в соответствии с Методикой тестирования обновлений безопасности программных и программно-аппаратных средств [9].

Требования по безопасности информации к средствам виртуализации

Информационным сообщением ФСТЭК России от 20 января 2023 г. № 240/24/169 [10] сообщается об утверждении приказом ФСТЭК России от 27 октября 2022 г. № 187 требований по безопасности информации к средствам виртуализации, которые включают в себя минимально необходимые требования по безопасности информации, предъявляемые к уровню доверия средства виртуализации, хостовой операционной системе, в среде которой функционирует средство виртуализации, составу функций безопасности средства виртуализации, доверенной загрузке виртуальных машин, контролю целостности в средстве виртуализации, регистрации событий безопасности в средстве виртуализации, управлению доступом в средстве виртуализации, управлению потоками информации в средстве виртуализации, защите памяти, ограничению программной среды, резервному копированию виртуальных машин, идентификации и аутентификации пользователей в средстве виртуализации, централизованному управлению образами виртуальных машин и виртуальными машинами. С 22 декабря 2022 г. сертификация средств виртуализации осуществляется на соответствие этим требованиям.

Для дифференциации требований по безопасности информации к средствам виртуализации устанавливается шесть классов защиты, их соответствие для применения в различных системах приведено в таблице выше. Самый низкий класс – шестой, самый высокий – первый.

ris1-Mar-29-2023-02-39-52-9984-PM

Февраль-2023

В обзоре за февраль 2023 г. рассмотрим нормативные акты, касающиеся операторов персональных данных, субъектов критической информационной инфраструктуры, лиц, осуществляющих обработку гостайны, лицензиатов ФСТЭК России и ФСБ России, а также кредитных и некредитных организаций.

Порядок взаимодействия операторов ПДн с ГосСОПКА

Приказ ФСБ России от 13.02.2023 г. № 77 "Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных" [11] официально опубликован 20 февраля 2023 г. Приказ ФСБ России № 77 вступил в силу 1 марта 2023 г.

Операторы персональных данных, у которых уже организованы каналы информационного взаимодействия с НКЦКИ (например, субъекты критической информационной инфраструктуры), должны направлять информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн, в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в ГосСОПКА. При этом используются уже принятые у оператора каналы информационного взаимодействия, в том числе электронная почтовая связь и техническая инфраструктура НКЦКИ.

Остальные операторы ПДн должны направлять информацию о компьютерных инцидентах путем заполнения уведомления о факте неправомерной передачи ПДн, содержащегося на официальном сайте Роскомнадзора в сети "Интернет". Операторы вправе обратиться в НКЦКИ для оказания им содействия в реагировании на выявленный компьютерный инцидент.

Внеплановые проверки операторов ПДн

Роскомнадзор получил возможность при согласовании с органами прокуратуры осуществлять внеплановые контрольные (надзорные) мероприятия и внеплановые проверки по фактам утечки ПДн в сеть "Интернет". Постановление Правительства РФ от 04.02.2023 № 161 "О внесении изменений в некоторые акты Правительства РФ" [12] официально опубликовано 6 февраля 2023 г.

ПП РФ № 161 дополнило постановление Правительства РФ от 10 марта 2022 г. № 336 "Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля" нормой о том, что в 2022–2023 гг. внеплановые контрольные (надзорные) мероприятия, внеплановые проверки могут проводиться при условии согласования с органами прокуратуры по решению руководителя, заместителя руководителя Роскомнадзора в рамках федерального государственного контроля (надзора) за обработкой ПДн в отношении операторов, в случае если установлен факт распространения (предоставления) в информационно-телекоммуникационной сети "Интернет" баз данных (или их части), содержащих ПДн.

Административная и уголовная ответственность, связанная с обработкой ПДн

В феврале 2023 г. подписано постановление Государственной Думы Федерального Собрания РФ от 22.02.2023 № 3124-8 ГД [13]. Постановлением Государственной Думы "Об информации Министра цифрового развития, связи и массовых коммуникаций РФ М.И. Шадаева о ходе цифровой трансформации и обеспечения информационной безопасности РФ" Государственная Дума Федерального Собрания РФ рекомендует следующее:

  • Правительству РФ разработать и в начале 2023 г. внести в Государственную Думу проекты федеральных законов, предусматривающие внесение изменений в Кодекс РФ об административных правонарушениях в части введения для лиц, совершивших нарушения законодательства РФ в сфере обработки ПДн, биометрических ПДн (включая сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изменение, извлечение, использование, передачу, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение биометрических ПДн), оборотных административных штрафов, а также внесение изменений в Уголовный кодекс РФ в части введения уголовной ответственности за незаконную обработку биометрических ПДн в случае возникновения соответствующих общественно опасных последствий;
  • Минцифры России рассмотреть вопрос о подготовке проекта федерального закона, предусматривающего компенсацию вреда физическим лицам со стороны операторов ПДн, допустивших утечку ПДн, в том числе в досудебном (добровольном) порядке.

Изменения в приказ ФСТЭК России № 235

Для общественного обсуждения 21 февраля 2023 г. был представлен проект приказа ФСТЭК России "О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235" [14].

Проект изменений нацелен на гармонизацию приказа ФСТЭК России от 21 декабря 2017 г. № 235 с ролями, определенными Указом Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности РФ", – ответственное лицо и структурное подразделение по безопасности. Проект изменений предлагает разрешить обеспечивать защиту значимых объектов КИИ специалистам со средним профессиональным образованием по специальности "информационная безопасность".

Минпромторг России и отраслевой мониторинг в отношении субъектов КИИ

Для общественного обсуждения 6 февраля 2023 г. был представлен проект приказа Минпромторга России "Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры РФ, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры РФ, и определении состава организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры РФ" [15].

Проект приказа разработан в соответствии с пятым абзацем п. 19.3 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 8 февраля 2018 г № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений". Проектом приказа предлагается определить правила проведения в отношении субъектов КИИ, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений о результатах категорирования объектов КИИ.

По проекту установлено, что к оценке актуальности и достоверности сведений привлекается федеральное государственное унитарное предприятие "Научно-производственное предприятие "Гамма", а также организации, привлекаемые отраслевым центром компетенций по информационной безопасности в промышленности. Актуальность и достоверность сведений о категорировании может подтверждаться путем ознакомления с объектами КИИ по месту их нахождения. Кроме того, в проекте устанавливается перечень информации, запрашиваемой об объекте КИИ для проведения оценки.

Отраслевой план Минпромторга России по переходу на преимущественное использование российского ПО

8 февраля 2023 г. Минпромторг России для общественного обсуждения представил проект приказа "Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры РФ, к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на значимых объектах критической информационной инфраструктуры РФ, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии" [16].

Проект приказа Минпромторга России разработан в соответствии с восьмым абзацем пп. "а" п. 2 постановления Правительства РФ от 22 августа 2022 № 1478 и п. 2 Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах КИИ РФ. Проект отраслевого плана устанавливает целевые отраслевые показатели эффективности и сроки перехода заказчиков на преимущественное использование российского ПО в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии до 2025 г.

Госконтроль за обеспечением защиты гостайны

Проект постановления Правительства РФ "Об утверждении Правил осуществления федерального государственного контроля за обеспечением защиты государственной тайны, об изменении и признании утратившими силу некоторых актов Правительства РФ"17 был представлен для общественного обсуждения 8 февраля 2023 г. В форме сводного отчета о проведении оценки регулирующего воздействия к проекту отмечается, что:

  • проект направлен на установление правил осуществления уполномоченными федеральными органами исполнительной власти федерального государственного контроля за обеспечением защиты гостайны, в связи с признанием утратившей силу с 1 июля 2021 г. нормы о применении при осуществлении такого контроля положений Федерального закона от 26 декабря 2008 г. № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного и муниципального контроля";
  • проект нормативного правового акта содержит положения, предусматривающие возможность изменения ранее установленной законодательством РФ периодичности проведения плановых проверок юридических лиц (не чаще одного раза в три года) в связи с наделением руководителей органов государственного контроля полномочиями определять порядок планирования проверок.

Органами государственного контроля являются ФСБ России, СВР России, ФСТЭК России, Минобороны России (в пределах их компетенции). Проектом постановления Правительства РФ предлагается признать утратившим силу постановление Правительства РФ от 22 ноября 2012 г. № 1205 "Об утверждении Правил организации и осуществления федерального государственного контроля за обеспечением защиты государственной тайны".

Отмена госпошлины в рамках лицензирования ФСТЭК России

Информационным сообщением от 16 февраля 2023 г. № 240/13/704 [18] ФСТЭК России сообщает об отмене уплаты государственной пошлины в рамках предоставления лицензий на деятельность по технической защите конфиденциальной информации и лицензий на деятельность по разработке и производству средств защиты конфиденциальной информации в 2023 г.

Формы документов при лицензировании деятельности ФСТЭК России

В феврале 2023 г. официально опубликованы следующие приказы.

Приказ ФСТЭК России от 12 января 2023 г. № 3 "Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. № 134 и внесенных в него изменений" [19].

Приказ ФСТЭК России от 12 января 2023 г. № 4 "Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. № 133 и внесенных в него изменений" [20].

Кроме утверждения форм документов, используемых при лицензировании, приказами были отменены:

  • приказ ФСТЭК России от 17 июля 2017 г. № 134 "Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации";
  • приказ ФСТЭК России от 17 июля 2017 г. № 133 "Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации".

Отмена административных регламентов ФСБ России

Приказом ФСБ России от 1 февраля 2023 г. № 52 "О признании утратившими силу приказов ФСБ России по вопросам предоставления органами федеральной службы безопасности государственных услуг по лицензированию отдельных видов деятельности" [21] признаны утратившими силу:

  • приказ ФСБ России от 11 апреля 2014 г. № 202 "Об утверждении Административного регламента Федеральной службы безопасности РФ по предоставлению государственной услуги по лицензированию деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны"; * приказ ФСБ России от 29 декабря 2020 г. № 639 "Об утверждении Административного регламента Федеральной службы безопасности РФ по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации";
  • приказ ФСБ России от 29 декабря 2020 г. № 640 "Об утверждении Административного регламента Федеральной службы безопасности РФ по предоставлению государственной услуги по лицензированию деятельности по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)";
  • приказ ФСБ России от 29 декабря 2020 г. № 641 "Об утверждении Административного регламента Федеральной службы безопасности РФ по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)";
  • приказ ФСБ России от 29 декабря 2020 г. № 642 "Об утверждении Административного регламента Федеральной службы безопасности РФ по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации.

Новые ГОСТ Р 57580

В соответствии с приказами Росстандарта от 22 декабря 2022 г. № 1548-ст и № 1549-ст с 1 февраля 2023 г. введены в действие ГОСТ Р 57580.3–2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" [22] и ГОСТ Р 57580.4–2022 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер" [23].

Положения стандарта предназначены для использования кредитными организациями, некредитными финансовыми организациями отдельных субъектов национальной платежной системы. Новые стандарты содержат положения по определению политики управления риском, меры по его выявлению, оценке и мониторингу. В стандартах описаны мероприятия по снижению риска, порядку реагирования на киберинциденты и восстановления инфраструктуры после их реализации, правила взаимодействия с поставщиками услуг в сфере информационных технологий, проведения киберучений.

  1. http://publication.pravo.gov.ru/Document/View/0001202212310018 
  2. http://publication.pravo.gov.ru/Document/View/0001202301110015 
  3. http://publication.pravo.gov.ru/Document/View/0001202301170011 
  4. https://regulation.gov.ru/projects#npa=135168 
  5. https://regulation.gov.ru/projects#npa=135259 
  6. https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2590  
  7. https://fstec.ru/component/attachments/download/3557 
  8. https://bdu.fstec.ru/software-section/updates 
  9. https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-nomativnye-dokumenty/2527  
  10. https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2595 
  11. http://publication.pravo.gov.ru/Document/View/0001202302200021 
  12. http://publication.pravo.gov.ru/Document/View/0001202302060028 
  13. https://sozd.duma.gov.ru/bill/297029-8 
  14. https://regulation.gov.ru/projects#npa=136178 
  15. https://regulation.gov.ru/projects#npa=135739 
  16. https://regulation.gov.ru/projects#npa=135801 
  17. https://regulation.gov.ru/projects#npa=135810 
  18. https://fstec.ru/nomotvorcheskaya/litsenzirovanie/76-inye/2610  
  19. http://publication.pravo.gov.ru/Document/View/0001202302030006 
  20. http://publication.pravo.gov.ru/Document/View/0001202302030009 
  21. http://publication.pravo.gov.ru/Document/View/0001202302150003 
  22. https://protect.gost.ru/document1.aspx?control=31&id=249146 
  23. https://protect.gost.ru/v.aspx?control=8&id=238034 
Темы:МинпромторгПерсональные данныеФСБLinuxВиртуализацияПраво и нормативыФСТЭКГосСОПКАКИИМинцифрыНКЦКИЖурнал "Информационная безопасность" №1, 2023

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"