Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
Серию обзоров изменений законодательства в 2023 г. начнем с рассмотрения нормативных актов, касающихся особенностей осуществления трансграничной передачи ПДн и обработки биометрических Пдн, разберем проект положения о государственной системе защиты информации в РФ, поговорим о рекомендациях ФСТЭК России по обеспечению безопасности ОС Linux и требованиях по безопасности для средств виртуализации.
В конце 2022 г. официально было опубликовано постановление Правительства РФ от 29.12.2022 № 2526 "Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором РФ, законодательством РФ на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3–6, 8–11 статьи 12 Федерального закона "О персональных данных" [1] . ПП РФ № 2526 вступило в силу с 01 марта 2023 г. Напомним, что указанные статьи ФЗ № 152 устанавливают требования по уведомлению операторами Роскомнадзора о намерении осуществлять трансграничную передачу ПДн и о решении о запрещении или об ограничении трансграничной передачи ПДн в целях защиты нравственности, здоровья, прав и законных интересов граждан.
Постановление Правительства РФ от 10.01.2023 № 6 "Об утверждении Правил принятия решения о запрещении или об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении" [2] официально опубликовано 11 января 2023 г. ПП РФ № 6 вступило в силу 1 марта 2023 г.
Решение о запрещении или об ограничении трансграничной передачи ПДн в целях, определяемых ч. 12 ст. 12 ФЗ № 152, принимается Роскомнадзором на основании поступивших представлений от федеральных органов исполнительной власти. Решение о запрещении, принятое на основании представления, отправляется уполномоченному органу, направившему представление, а также оператору любым доступным способом, позволяющим подтвердить факт его получения адресатом, в том числе по адресу, указанному в уведомлении оператора о намерении осуществлять трансграничную передачу ПДн.
Если решение о запрещении принято в отношении иностранного государства, такое решение дополнительно направляется операторам, осуществляющим трансграничную передачу ПДн на территорию соответствующего иностранного государства, сведения о которых внесены в реестр операторов. Если решение о запрещении принято в отношении оператора, то оно дополнительно направляется оператору, которому трансграничная передача ПДн запрещена или ограничена.
В случае устранения оператором причин, послуживших основанием для принятия решения о запрещении, такой оператор вправе обратиться в уполномоченный орган, вынесший представление, о снятии такого запрета или ограничений на трансграничную передачу ПДн с приложением подтверждающих материалов.
Постановление Правительства РФ от 16.01.2023 № 24 "Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан" [3] официально опубликовано 17 января 2023 г. ПП РФ № 24 вступило в силу 1 марта 2023 г.
По ПП РФ № 24 решение о запрещении принимается Роскомнадзором в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение о запрещении по ПП РФ № 24 принимается по результатам рассмотрения уведомления от оператора, а также сведений, полученных оператором от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача ПДн в соответствии с ч. 5 ст. 12 ФЗ № 152 (при наличии). Установление запретов или ограничений для осуществления трансграничной передачи Пдн происходит в случае, если: органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача, не принимаются меры по защите передаваемых ПДн, а также не определены условия прекращения их обработки; иностранное юридическое лицо, которому планируется трансграничная передача, является организацией, деятельность которой запрещена на территории РФ на основании вступившего в законную силу решения суда; иностранное юридическое лицо, которому планируется трансграничная передача, включено в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ; трансграничная передача и дальнейшая обработка переданных ПДн несовместима с целями сбора ПДн; трансграничная передача ПДн осуществляется в случаях, не предусмотренных ч. 1 ст. 6 ФЗ № 152.
Оператор вправе повторно подать уведомление при устранении причин, повлекших запрещение или ограничение трансграничной передачи, не ранее чем через 10 рабочих дней после первоначального принятия Роскомнадзором решения о запрещении в целях защиты нравственности, здоровья, прав и законных интересов граждан. Решение о запрещении или об ограничении трансграничной передачи может быть обжаловано оператором в судебном порядке или вышестоящему должностному лицу Роскомнадзора.
Для общественного обсуждения 19 января 2023 г. был представлен проект постановления Правительства РФ "Об утверждении правил представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа, а также письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом такого отказа и отзыва такого отказа, форм отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа, а также письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом такого отказа и отзыва такого отказа" [4].
Проект постановления разработан в соответствии с ч. 17 ст. 3 Федерального закона от 29.12.2022 № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ". Указанный федеральный закон регулирует отношения, возникающие при осуществлении идентификации/аутентификации физических лиц с использованием биометрических ПДн с использованием государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных", а также при ее взаимодействии в целях осуществления аутентификации с использованием биометрических ПДн физических лиц с информационными системами аккредитованных государственных органов, Центрального банка РФ в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц.
Проект постановления устанавливает правила представления физическим лицом отказа от сбора и размещения в целях проведения идентификации/аутентификации своих биометрических ПДн или биометрических ПДн несовершеннолетнего, в случае если указанное физическое лицо является законным представителем несовершеннолетнего, а также по отзыву такого отказа. Процедура должна осуществляться при личном присутствии физического лица в многофункциональном центре предоставления государственных и муниципальных услуг.
Проект указа Президента РФ "Об утверждении Положения о государственной системе защиты информации в РФ" [5] был представлен для общественного обсуждения 23 января 2023 г.
Проект указа Президента РФ разработан во исполнение п. 3.3 протокола заседания Совета Безопасности РФ от 20 мая 2022 г. по вопросу "Об обеспечении устойчивости и безопасности функционирования информационной инфраструктуры РФ" (№ Пр-935-Пр от 27 мая 2022 г.). Проект указа Президента РФ предлагает к утверждению Положение о государственной системе защиты информации в РФ.
Как отмечается в пояснительной записке к проекту указа, создаваемая система защиты информации является государственной системой; область действия проекта Положения ограничена информацией, являющейся государственным информационным ресурсом, то есть информацией, обладателями которой являются Российская Федерация, субъект РФ, муниципальное образование. На организации проект положения распространяется только в тех случаях, когда они получили право на обработку информации, являющейся государственным ресурсом, в соответствии с федеральными законами, иными нормативными правовыми актами РФ, по договорам или на иных установленных законом основаниях.
Согласно самому положению о ГСЗИ оно будет обязательным для исполнения федеральными органами исполнительной власти, органами исполнительной власти субъектов РФ, органами местного самоуправления, государственными фондами, государственными компаниями при сборе, хранении, обработке, предоставлении, распространении ими информации с использованием объектов информационной инфраструктуры, а также организациями, осуществляющими на основании федеральных законов, иных нормативных правовых актов РФ, по договорам или на иных установленных законом основаниях обработку информации с использованием объектов информационной инфраструктуры на территории РФ.
В случае организации и обеспечения безопасности информации в органе с использованием шифровальных (криптографических) средств защиты информации положение по организации защиты информации подлежит согласованию с ФСБ России.
Для обеспечения защиты информации должны применяться средства защиты информации, сертифицированные на соответствие требованиям по безопасности информации, установленным уполномоченными федеральными органами исполнительной власти в пределах полномочий. Объекты информатизации должны быть аттестованы на соответствие требованиям о защите информации в порядке, установленном ФСТЭК России. Кроме того, потребуется разработка ежегодного плана мероприятий по защите информации в органе, организации, утверждаемого руководителем или уполномоченным им лицом. Требования к порядку разработки, содержанию и форме плана должны будут быть утверждены ФСТЭК России по согласованию с ФСБ России. Отчет о выполнении плана мероприятий в органе, после его доклада руководителю, должен быть представлен во ФСТЭК России (ее территориальные органы), а в части мероприятий по организации и обеспечению безопасности информации с использованием шифровальных (криптографических) средств защиты информации – в соответствующий территориальный орган ФСБ России.
Информационным сообщением от 30 декабря 2022 г. № 240/22/6933 [6] ФСТЭК России сообщает, что разработаны и утверждены от 25 ноября 2022 г. рекомендации по обеспечению безопасной настройки операционных систем Linux (размещены и на сайте ФСТЭК России [7]).
Рекомендации определяют содержание работ по настройке операционных систем на базе ядра Linux, подлежат реализации в государственных информационных системах и на объектах КИИ РФ, построенных с использованием операционных систем Linux, не сертифицированных по требованиям безопасности информации, до их замены на сертифицированные отечественные операционные системы.
Настройка сертифицированных ОС на базе ядра Linux осуществляется в соответствии с эксплуатационной документацией разработчиков операционных систем.
В режиме опытной эксплуатации ФСТЭК России был опубликован раздел, содержащий результаты тестирования обновлений программного обеспечения [8], ведение которого осуществляется в соответствии с Методикой тестирования обновлений безопасности программных и программно-аппаратных средств [9].
Информационным сообщением ФСТЭК России от 20 января 2023 г. № 240/24/169 [10] сообщается об утверждении приказом ФСТЭК России от 27 октября 2022 г. № 187 требований по безопасности информации к средствам виртуализации, которые включают в себя минимально необходимые требования по безопасности информации, предъявляемые к уровню доверия средства виртуализации, хостовой операционной системе, в среде которой функционирует средство виртуализации, составу функций безопасности средства виртуализации, доверенной загрузке виртуальных машин, контролю целостности в средстве виртуализации, регистрации событий безопасности в средстве виртуализации, управлению доступом в средстве виртуализации, управлению потоками информации в средстве виртуализации, защите памяти, ограничению программной среды, резервному копированию виртуальных машин, идентификации и аутентификации пользователей в средстве виртуализации, централизованному управлению образами виртуальных машин и виртуальными машинами. С 22 декабря 2022 г. сертификация средств виртуализации осуществляется на соответствие этим требованиям.
Для дифференциации требований по безопасности информации к средствам виртуализации устанавливается шесть классов защиты, их соответствие для применения в различных системах приведено в таблице выше. Самый низкий класс – шестой, самый высокий – первый.
В обзоре за февраль 2023 г. рассмотрим нормативные акты, касающиеся операторов персональных данных, субъектов критической информационной инфраструктуры, лиц, осуществляющих обработку гостайны, лицензиатов ФСТЭК России и ФСБ России, а также кредитных и некредитных организаций.
Приказ ФСБ России от 13.02.2023 г. № 77 "Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных" [11] официально опубликован 20 февраля 2023 г. Приказ ФСБ России № 77 вступил в силу 1 марта 2023 г.
Операторы персональных данных, у которых уже организованы каналы информационного взаимодействия с НКЦКИ (например, субъекты критической информационной инфраструктуры), должны направлять информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн, в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в ГосСОПКА. При этом используются уже принятые у оператора каналы информационного взаимодействия, в том числе электронная почтовая связь и техническая инфраструктура НКЦКИ.
Остальные операторы ПДн должны направлять информацию о компьютерных инцидентах путем заполнения уведомления о факте неправомерной передачи ПДн, содержащегося на официальном сайте Роскомнадзора в сети "Интернет". Операторы вправе обратиться в НКЦКИ для оказания им содействия в реагировании на выявленный компьютерный инцидент.
Роскомнадзор получил возможность при согласовании с органами прокуратуры осуществлять внеплановые контрольные (надзорные) мероприятия и внеплановые проверки по фактам утечки ПДн в сеть "Интернет". Постановление Правительства РФ от 04.02.2023 № 161 "О внесении изменений в некоторые акты Правительства РФ" [12] официально опубликовано 6 февраля 2023 г.
ПП РФ № 161 дополнило постановление Правительства РФ от 10 марта 2022 г. № 336 "Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля" нормой о том, что в 2022–2023 гг. внеплановые контрольные (надзорные) мероприятия, внеплановые проверки могут проводиться при условии согласования с органами прокуратуры по решению руководителя, заместителя руководителя Роскомнадзора в рамках федерального государственного контроля (надзора) за обработкой ПДн в отношении операторов, в случае если установлен факт распространения (предоставления) в информационно-телекоммуникационной сети "Интернет" баз данных (или их части), содержащих ПДн.
В феврале 2023 г. подписано постановление Государственной Думы Федерального Собрания РФ от 22.02.2023 № 3124-8 ГД [13]. Постановлением Государственной Думы "Об информации Министра цифрового развития, связи и массовых коммуникаций РФ М.И. Шадаева о ходе цифровой трансформации и обеспечения информационной безопасности РФ" Государственная Дума Федерального Собрания РФ рекомендует следующее:
Для общественного обсуждения 21 февраля 2023 г. был представлен проект приказа ФСТЭК России "О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры РФ и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235" [14].
Проект изменений нацелен на гармонизацию приказа ФСТЭК России от 21 декабря 2017 г. № 235 с ролями, определенными Указом Президента РФ от 1 мая 2022 г. № 250 "О дополнительных мерах по обеспечению информационной безопасности РФ", – ответственное лицо и структурное подразделение по безопасности. Проект изменений предлагает разрешить обеспечивать защиту значимых объектов КИИ специалистам со средним профессиональным образованием по специальности "информационная безопасность".
Для общественного обсуждения 6 февраля 2023 г. был представлен проект приказа Минпромторга России "Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры РФ, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры РФ, и определении состава организаций, привлекаемых к оценке актуальности и достоверности сведений, указанных в пункте 17 Правил категорирования объектов критической информационной инфраструктуры РФ" [15].
Проект приказа разработан в соответствии с пятым абзацем п. 19.3 Правил категорирования объектов КИИ РФ, утвержденных постановлением Правительства РФ от 8 февраля 2018 г № 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры РФ, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры РФ и их значений". Проектом приказа предлагается определить правила проведения в отношении субъектов КИИ, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений о результатах категорирования объектов КИИ.
По проекту установлено, что к оценке актуальности и достоверности сведений привлекается федеральное государственное унитарное предприятие "Научно-производственное предприятие "Гамма", а также организации, привлекаемые отраслевым центром компетенций по информационной безопасности в промышленности. Актуальность и достоверность сведений о категорировании может подтверждаться путем ознакомления с объектами КИИ по месту их нахождения. Кроме того, в проекте устанавливается перечень информации, запрашиваемой об объекте КИИ для проведения оценки.
8 февраля 2023 г. Минпромторг России для общественного обсуждения представил проект приказа "Об утверждении отраслевого плана мероприятий по обеспечению готовности заказчиков, осуществляющих закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры РФ, к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на значимых объектах критической информационной инфраструктуры РФ, которые функционируют в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии" [16].
Проект приказа Минпромторга России разработан в соответствии с восьмым абзацем пп. "а" п. 2 постановления Правительства РФ от 22 августа 2022 № 1478 и п. 2 Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, заказчиками, осуществляющими закупки в соответствии с Федеральным законом "О закупках товаров, работ, услуг отдельными видами юридических лиц" (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах КИИ РФ. Проект отраслевого плана устанавливает целевые отраслевые показатели эффективности и сроки перехода заказчиков на преимущественное использование российского ПО в области горнодобывающей, металлургической, ракетно-космической, оборонной, химической промышленности и использования атомной энергии до 2025 г.
Проект постановления Правительства РФ "Об утверждении Правил осуществления федерального государственного контроля за обеспечением защиты государственной тайны, об изменении и признании утратившими силу некоторых актов Правительства РФ"17 был представлен для общественного обсуждения 8 февраля 2023 г. В форме сводного отчета о проведении оценки регулирующего воздействия к проекту отмечается, что:
Органами государственного контроля являются ФСБ России, СВР России, ФСТЭК России, Минобороны России (в пределах их компетенции). Проектом постановления Правительства РФ предлагается признать утратившим силу постановление Правительства РФ от 22 ноября 2012 г. № 1205 "Об утверждении Правил организации и осуществления федерального государственного контроля за обеспечением защиты государственной тайны".
Информационным сообщением от 16 февраля 2023 г. № 240/13/704 [18] ФСТЭК России сообщает об отмене уплаты государственной пошлины в рамках предоставления лицензий на деятельность по технической защите конфиденциальной информации и лицензий на деятельность по разработке и производству средств защиты конфиденциальной информации в 2023 г.
В феврале 2023 г. официально опубликованы следующие приказы.
Приказ ФСТЭК России от 12 января 2023 г. № 3 "Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. № 134 и внесенных в него изменений" [19].
Приказ ФСТЭК России от 12 января 2023 г. № 4 "Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации, и признании утратившими силу приказа ФСТЭК России от 17 июля 2017 г. № 133 и внесенных в него изменений" [20].
Кроме утверждения форм документов, используемых при лицензировании, приказами были отменены:
Приказом ФСБ России от 1 февраля 2023 г. № 52 "О признании утратившими силу приказов ФСБ России по вопросам предоставления органами федеральной службы безопасности государственных услуг по лицензированию отдельных видов деятельности" [21] признаны утратившими силу:
В соответствии с приказами Росстандарта от 22 декабря 2022 г. № 1548-ст и № 1549-ст с 1 февраля 2023 г. введены в действие ГОСТ Р 57580.3–2022 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения" [22] и ГОСТ Р 57580.4–2022 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер" [23].
Положения стандарта предназначены для использования кредитными организациями, некредитными финансовыми организациями отдельных субъектов национальной платежной системы. Новые стандарты содержат положения по определению политики управления риском, меры по его выявлению, оценке и мониторингу. В стандартах описаны мероприятия по снижению риска, порядку реагирования на киберинциденты и восстановления инфраструктуры после их реализации, правила взаимодействия с поставщиками услуг в сфере информационных технологий, проведения киберучений.