Июль-2020

В обзоре изменений российского законодательства по информационной безопасности за июль 2020 г. рассмотрим, как регуляторы приводят законодательные нормы к действующей системе сертификации ФСТЭК России, поговорим об ИБ в сфере связи и в финансовом секторе, защите персональных данных.

Автор: Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности

Требования доверия в ИСПДн

10 июля 2020 г. официально опубликован приказ ФСТЭК России от 14.05.2020 г. № 68 "О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21"¹. 

Согласно этому приказу с 1 января 2021 г. при использовании в информационных системах персональных данных (ИСПДн), сертифицированных по требованиям безопасности информации средств защиты информации (СрЗИ), такие СрЗИ должны быть сертифицированы по требованиям к уровням доверия.

Требования безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131. 

Соответствие между уровнями защищенности ИСПДн и сертификацией СрЗИ по требованиям к уровням доверия приведено в таблице. 

Информационная безопасность сетей связи

Минкомсвязь России 13 июля 2020 г. опубликовала проект приказа Минкомсвязи России "Об утверждении Требований к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи"².

Требования проекта приказа Минкомсвязи России направлены на регулирование деятельности операторов связи при эксплуатации и управлении сетями электросвязи, составляющими единую сеть электросвязи РФ, входящими в сеть связи общего пользования (ССОП), за исключением сетей связи специального назначения, выделенных и технологических сетей связи, если они не присоединены к ССОП, а также сетей связи для распространения программ телевизионного вещания и радиовещания.

При этом в проект приказа Минкомсвязи России также включены требования к подсистеме безопасности сетей связи, которая, в частности, должна включать:

• архитектуру построения и принципы взаимодействия подсистем безопасности, используемых в сети связи; перечень защищаемых компонентов;
• описание возможных нарушений целостности, устойчивости функционирования и безопасности сети связи;
• частную модель угроз и модель нарушителя;
• описание подсистемы безопасности, включая комплекс мер по защите информации и систему антивирусной защиты программных средств, описание целевых функций, механизмов и используемых средств защиты;
• правила разграничения доступа;
• порядок действий в нештатной ситуации.

При создании подсистемы безопасности сети связи должны использовать СрЗИ, имеющие сертификат ФСТЭК России, и средства криптографической защиты информации, имеющие подтверждение соответствия требованиям, утвержденным ФСБ России. Также при эксплуатации сетей связи, взаимодействующих со значимыми объектами КИИ, должны применяться СрЗИ, имеющие сертификат ФСТЭК России. Проект приказа Минкомсвязи имеет отсылки к приказам ФСТЭК России по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ), которые операторам связи необходимо выполнять, а именно:

• при включении в состав подсистемы безопасности сети связи значимых объектов КИИ;
• при эксплуатации сетей связи, взаимодействующих со значимыми объектами КИИ;
• при наличии принадлежащих оператору связи значимых объектов КИИ.

В проекте приказа Минкомсвязи в том числе установлены требования к структурным подразделениям и должностным лицам оператора связи, занимающимся обеспечением информационной безопасности сети. По проекту приказа Минкомсвязи оператор также должен будет разработать паспорт ИБ в соответствии с ГОСТ Р 53109–2008, который необходимо актуализировать не реже чем один раз в три года. 

Требования по информационной безопасности от Банка России

В информационном письме о применении стандартов Банка России от 16.07.2020 г. № ИН-014-56/113³ регулятор сообщает следующее:

• стандарт Банка России СТО БР ИББС1.0–2014 и стандарт Банка России СТО БР ИББС-1.2–2014 носят рекомендательный характер и могут применяться как методические документы;
• кредитные организации, которые ранее присоединились к упомянутым выше стандартам, вправе направить в Банк России в свободной форме уведомления о неприменении стандартов в качестве обязательных в случае принятия такого решения. 

16 июля 2020 г. Банк России представил для публичного обсуждения проект указания о внесении изменений в Положение Банка России от 17 апреля 2019 г. № 683-П⁴ "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента". 

Приведем перечень основных изменений в 683-П, предлагаемых проектом указания Банка России:

1. В случае принятия решения о сертификации прикладного программного обеспечения автоматизированных систем (АС) и приложений такую сертификацию необходимо будет проводить в действующей системе сертификации ФСТЭК России, а именно на соответствие требованиям к уровням доверия.
2. Установленное требование по получении от клиента подтверждения совершенной банковской операции будет скорректировано на "подтверждение совершаемой банковской операции".
3. При осуществлении подтверждения совершения банковских операций с использованием электронной почты, в том числе при представлении клиентам справок (выписок) по банковским операциям и банковским счетам, кредитным организациям будет необходимо реализовывать механизмы подтверждения принадлежности клиенту адреса электронной почты, на который кредитной организацией направляются уведомления о совершенных банковских операциях.
4. Анализ уязвимостей прикладного ПО АС и приложений по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4, будет заменен на оценку соответствия по требованиям к ОУД. Если до этого ГОСТ Р ИСО/МЭК 15408-3–2013, определяющий требования к ОУД, необходимо было выполнять только в части анализа уязвимостей, то теперь нужно будет применять все процедуры упомянутого выше ГОСТа.
5. По решению кредитной организации оценка соответствия прикладного ПО АС и приложений может проводиться самостоятельно или с привлечением проверяющей организации-лицензиата. 

При этом Банк России информационным письмом от 08.07.2020 г. № ИН014-56/110⁵ рекомендует при анализе уязвимостей ПО по требованиям к ОУД применять методический документ "Профиль защиты прикладного программного обеспечения и автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций", одобренный подкомитетом № 1 "Безопасность финансовых (банковских) операций" Технического комитета по стандартизации № 122 "Стандарты финансовых операций"

"Профиль защиты"⁶ официально опубликован 10 июля 2020 г. и содержит требования не только из ОУД 4, но и усиления и расширения компонентами из более высоких ОУД. 

Следом, 17 июля 2020 г., Банк России опубликовал проект указания о внесении изменений в Положение Банка России от 9 января 2019 г. № 672-П⁷ "О требованиях к защите информации в платежной системе Банка России".

Согласно проекту указания Банка России, требования 672-П планируется распространить на участников сервиса быстрых платежей (СБП) – операторов услуг информационного обмена – при предоставлении участникам СБП услуг информационного обмена при осуществлении переводов денежных средств с использованием СБП (ОУИО СБП)

При этом перечень обязательных мер по противодействию осуществлению переводов денежных средств без согласия клиента с использованием СБП планируется определить как для участников СБП, являющихся банком плательщика, так и для участников СБП, являющихся банком получателя. 

Для объектов информационной инфраструктуры ОУИО СБП по проекту указа Банка России с 1 января 2022 г. необходимо будет применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1–2017.

17 июля 2020 г. опубликован также проект о внесении изменений в указание Банка России от 9 июня 2012 г. № 2831-У⁸ "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств"

Указание № 2831-У определяет формы и методики составления отчетности для операторов платежных систем, операторов услуг платежной инфраструктуры и операторов по переводу денежных средств. Предлагаемые изменения несущественны, в своей основе только немного корректируют процедуру предоставления отчетности.

Нормотворчество в области защиты персональных данных

Минэкономразвития России 17 июля 2020 г. опубликовало проект федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации"⁹.

Проект федерального закона подразумевает, что давно устоявшиеся нормы обработки персональных данных (ПДн) можно не применять, если такое будет установлено программой экспериментального правового режима (в части развития технологий искусственного интеллекта и больших данных). Таким образом, проект федерального закона предлагает не применять следующие положения:

• об обработке ПДн только в рамках конкретных, заранее определенных и законных целей;
• о невозможности объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, не совместимых между собой;
• об осуществлении обработки ПДн с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных", в том числе случаев, установленных ч. 1 ст. 6 ФЗ-152;
• о требованиях к поручению обработки ПДн третьему лицу;
• о требованиях к обработке специальных категорий ПДн и биометрических ПДн;
• об исключающих случаях освобождения оператора от обязанности предоставить субъекту ПДн сведения.

Данный проект федерального закона эксперты считают направленным на разрушение базовых принципов обработки ПДн. 

21 июля 2020 г. Минкомсвязь России опубликовала уведомление о подготовке проекта федерального закона "О внесении изменений в статью 13 Федерального закона "О персональных данных" (в части уточнения принципов обработки персональных данных в государственных информационных системах)"¹⁰. 

Сам проект федерального закона был опубликован для общественного обсуждения 5 августа 2020 г. Согласно пояснительной записке к проекту федерального закона, с целью повышения информационной безопасности государственных или муниципальных информационных систем (ГИС, МИС) и защищенности ПДн граждан РФ законопроектом предусмотрено дополнение ст. 13 ФЗ-152 следующими принципами:

• минимизация состава обрабатываемых ПДн;
• обязательность учета и регистрации всех действий и идентификации всех участников, связанных с обработкой ПДн в ГИС, МИС;
• декларирование и согласование порядка обработки ПДн с целями их обработки;
• хранение ПДн в электронном виде в ГИС, МИС по месту возникновения таких данных;
• определение межведомственного запроса как преимущественного способа получения ПДн, обрабатываемых в ГИС, МИС, для исполнения полномочий государственных или муниципальных органов

В июле 2020 г. в Государственную Думу внесен законопроект № 992331-7 "О внесении изменений в Федеральный закон "О персональных данных"¹¹, в части уточнения порядка обработки ПДн.

Законопроект предполагает возможность:

• использовать в согласии на обработку ПДн не только основной документ, удостоверяющий личность субъекта ПДн, но и иной уникальный идентификатор субъекта ПДн, устанавливаемый в соответствии с федеральными законами или соглашением сторон, позволяющий достоверно определить субъекта ПДн и установить его волеизъявление;
• указывать в согласии на обработку ПДн несколько целей обработки ПДн и несколько лиц, осуществляющих обработку ПДн по поручению оператора;
• осуществлять обработку ПДн в дополнительных целях в случае наличия согласия субъекта ПДн, содержащего информацию об указанных дополнительных целях.

При этом по законопроекту для уничтожения ПДн необходимо применять СрЗИ, в составе которых реализована функция уничтожения информации, прошедшие в установленном порядке процедуру оценки соответствия, проведенную ФСБ России или ФСТЭК России.

Предлагается наделить Роскомнадзор полномочиями по установлению требований к обезличиванию ПДн и методам обезличивания Пдн.

Август-2020

В обзоре изменений российского законодательства за август 2020 г. представлены: введение нового понятия “центра хранения и обработки данных", приказ Минтруда России об утверждении перечня актуальных угроз безопасности персональных данных, стандартизация терминологии в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, проект стандарта в области мониторинга информационной безопасности, методические рекомендации Минздрава России по категорированию объектов критической информационной инфраструктуры (КИИ), а также изменения в области лицензирования видов деятельности – новые перечни документации для лицензиатов ФСТЭК России, изменения в Положение о ФСТЭК России.

Автор: Татьяна Пермякова, аналитик Аналитического центра Уральского центра систем безопасности

Новое понятие "центр хранения и обработки данных"

Недавно был опубликован проект федерального закона "О внесении изменений в Федеральный закон "О связи" и Федеральный закон "Об информации, информационных технологиях и о защите информации"¹².

В соответствии с пояснительной запиской к законопроекту документ упорядочивает обязанности операторов связи по предоставлению информации в органы власти в области связи. Законопроект позволит использовать информацию, получаемую от операторов связи, а также центров хранения и обработки данных, для наполнения баз и банков данных государственных информационных систем, для их эксплуатации и для иных целей, предусмотренных законодательством.

Законопроект вводит новые понятия, такие как:

1. Центр хранения и обработки данных (ЦХОД) – это специализированный объект с собственными инженерными системами для размещения оборудования, обеспечивающего хранение, обработку и доступ к данным, с гарантированными уровнями доступности, безопасности и управляемости.
2. Оператор центра хранения и обработки данных – это организация, эксплуатирующая центр хранения и обработки данных и обеспечивающая его функционирование в качестве основного вида деятельности.

Об определении угроз безопасности персональных данных

На данный момент для общественного обсуждения представлен проект приказа Министерства труда и социальной защиты Российской Федерации "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством труда и социальной защиты Российской Федерации"¹³.

Согласно справке к проекту, перечень актуальных угроз определен экспертным путем, в том числе по результатам обобщения и анализа моделей угроз безопасности информации информационных систем, сформированных и утвержденных руководителями операторов информационных систем, а также нормативных правовых актов органов государственной власти субъектов Российской Федерации.

Стандартизация терминологии в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты

В начале августа на сайте ФСТЭК России опубликована первая редакция проекта национального стандарта ГОСТ Р "Защита информации. Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты"¹⁴.

Стандарт дополняет уже существующий ГОСТ Р 50922, а также основывается на многих других стандартах, содержащих термины и определения. Схема ниже отображает структуру разделов ГОСТа и классификационную схему понятий, входящих в область действия стандарта.

Проект предназначен для стандартизации терминологии в указанной области для ее дальнейшего использования при разработке национальных стандартов, нормативных правовых актов и методических документов. Согласно пояснительной записке¹⁵ к опубликованному проекту, документ необходим для установления единой терминологии в целях взаимопонимания между заказчиками, исполнителями и организаторами. Авторами стандарта предполагается, что реализация проекта приведет к повышению эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.

Мониторинг информационной безопасности

Опубликован проект ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения"¹⁶.

Положения проекта применимы к мероприятиям по мониторингу информационной безопасности, осуществляемым операторами по отношению к эксплуатируемым ими информационным (автоматизированным) системам, а также к мероприятиям, осуществляемым в рамках деятельности по оказанию услуг мониторинга ИБ.

Стандарт не устанавливает требования к средствам мониторинга ИБ и к мероприятиям, связанным с выявлением компьютерных инцидентов и реагированием на них.

В проекте документа определены:

1. Требования к уровням мониторинга информационной безопасности:
   • к источникам данных мониторинга;
   • к сбору данных мониторинга;
   • хранению, агрегации и обработке данных мониторинга;
   • к представлению данных о результатах мониторинга.
2. Порядок осуществления мониторинга информационной безопасности при реализации мер защиты информации.
3. Требования к защите данных мониторинга.

Методические рекомендации для категорирования объектов КИИ в сфере здравоохранения

Министерство здравоохранения Российской Федерации разработало и отправило на согласование во ФСТЭК России Методические рекомендации по категорированию объектов КИИ сферы здравоохранения. В настоящий момент проект документа¹⁷ опубликован для общественных обсуждений.

Рекомендации содержат:

1. Подробный перечень организаций сферы здравоохранения, на которые распространяются методические рекомендации:
   • органы управления системой здравоохранения;
   • лечебные организации;
   • медицинские организации особого типа (медицинские центры, воинские формирования, лаборатории и т.д.);
   • медицинские организации по надзору в сфере защиты прав потребителей и благополучия человека;
   • организации, осуществляющие фармацевтическую деятельность;
   • частные организации в сфере здравоохранения;
2. Примеры объектов КИИ, на которые распространяются методические рекомендации.
3. Рекомендации для формирования комиссии по категорированию (а также для формы приказа о создании комиссии и пример положения о комиссии). 

Документ содержит также справочную информацию, в частности:

• справочные материалы по оценке критичности бизнес-процессов (примеры и разъяснения для оценки критичности применимых к сфере здравоохранения показателей и примеры обоснования неприменимости показателей из Правил категорирования¹⁸ для сферы здравоохранения);
• состав возможных событий (инцидентов), которые могут возникнуть в результате реализации компьютерных атак (на основании перечня критериев значимости объектов КИИ);
• варианты обоснования неприменимости критериев значимости, установленных постановлением Правительства РФ от 08.02.2018 г. № 127;
• справочные материалы по подготовке документов для отправки во ФСТЭК России (содержащие формы писем и документов для отправки регулятору и указания по их заполнению).

В приложениях к методическим рекомендациям разработчики приводят формы промежуточной отчетности, разрабатываемой комиссией по категорированию, а именно:

• форму и пример заполнения реестра бизнес-процессов организации сферы здравоохранения, выделяемых для определения перечня критических процессов;
• форму и пример заполнения перечня критических процессов;
• реестр систем и информационно-телекоммуникационных сетей, принадлежащих на законном основании организации в сфере здравоохранения;
• форму перечня объектов КИИ, подлежащих категорированию (направляемую во ФСТЭК России);
• форму и пример заполнения протокола расчетов значений критериев значимости объектов КИИ.

Документ содержит описание процессов в рамках категорирования объектов КИИ как в словесной форме, так и в формате наглядных блок-схем.

Кроме описания процесса категорирования, методические рекомендации содержат состав и указание последовательности работ по обеспечению безопасности значимых объектов КИИ.

Новый перечень документов для лицензиатов ФСТЭК России

12 августа директором ФСТЭК России утверждены перечни технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации и Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации. Изменения в перечнях обусловлены публикацией новых нормативно-правовых актов, а также внесением изменений в существующие.

Новый перечень для лицензиатов ФСТЭК России в области технической защиты информации¹⁹ содержит 108 наименований документов. Ранее опубликованный перечень (от 24.07.2017 г.) содержал 117 наименований.

Опубликован и новый перечень для лицензиатов в области разработки и производства средств защиты конфиденциальной информации²⁰.

Лицензиатам ФСТЭК России необходимо привести в соответствие базу нормативно-методической документации до 1 января 2021 г.

Изменения в Положение о ФСТЭК России

Опубликован Указ Президента Российской Федерации от 31.08.2020 г. № 535 "О внесении изменения в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16.08.2004 г. № 1085"²¹.

Указ вносит одну поправку в Положение, в частности дополняет полномочия регулятора возможностью устанавливать порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации в рамках своих полномочий.

Изменения в нормативные правовые акты о лицензировании

Опубликован ряд проектов постановлений правительства.

О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности²²

В частности, внесены изменения в Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).

В актуальной редакции Положения при намерении лицензиата осуществлять лицензируемую деятельность по адресу места ее осуществления, не указанному в лицензии, в ряде случаев требовалось переоформление такой лицензии. Согласно предлагаемым изменениям, переоформление лицензии в данном случае не требуется при выполнении следующих работ:

• монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств (СКЗИ), за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных ФСБ России;
• монтаж, установка (инсталляция), наладка защищенных с использованием СКЗИ информационных или телекоммуникационных систем, а также средств изготовления ключевых документов;
• ремонт, сервисное обслуживание защищенных с использованием СКЗИ информационных или телекоммуникационных систем;
• работы по обслуживанию СКЗИ, предусмотренные технической и эксплуатационной документацией на эти средства;
• передача СКЗИ, за исключением средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации;
• передача защищенных с использованием СКЗИ информационных или телекоммуникационных систем;
• передача средств изготовления ключевых документов.

Предлагаемые изменения также содержат уточнения в части взаимодействия с лицензирующим органом: взимание платы за предоставление лицензирующим органом выписки из реестра лицензий на бумажном носителе в размере и порядке, установленных в соответствии с Федеральным законом "О лицензировании отдельных видов деятельности".

О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации²³

Предлагаемые изменения также содержат уточнения по уплате госпошлины за предоставление лицензирующим органом лицензии, а также переоформление лицензии в размере и порядке, которые установлены законодательством Российской Федерации о налогах и сборах.

Проект предлагает аналогичные уточнения в части взимания платы за предоставление лицензирующим органом выписки из реестра лицензий на бумажном носителе.

О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации²⁴

Проект предполагает аналогичные изменения в части уплаты госпошлины за предоставление лицензирующим органом лицензии или переоформление лицензии, а также порядке взимания платы за предоставление лицензирующим органом выписки из реестра лицензий на бумажном носителе.

1. http://publication.pravo.gov.ru/Document/View/0001202007100002 
2. https://regulation.gov.ru/projects#npa=105879
3. http://www.cbr.ru/StaticHtml/File/59420/20200716_in_014_56-113.pdf
4. https://regulation.gov.ru/projects#npa=106069
5. https://cbr.ru/StaticHtml/File/59420/20200708_in-014-56_110.pdf
6. https://cbr.ru/information_security/acts/
7. https://regulation.gov.ru/projects#npa=106115
8. https://regulation.gov.ru/projects#npa=106113
9. https://regulation.gov.ru/projects#npa=106119
10. https://regulation.gov.ru/projects#npa=106181
11. https://sozd.duma.gov.ru/bill/992331-7
12. https://regulation.gov.ru/projects#npa=107649 
13. https://regulation.gov.ru/projects#npa=106656
14. https://fstec.ru/component/attachments/download/2770
15. https://fstec.ru/component/attachments/download/2772
16. https://fstec.ru/component/attachments/download/2774
17. http://portal.egisz.rosminzdrav.ru/files/%D0%9C%D0%A0%20%D0%9A%D0%98%D0%98.pdf
18. http://publication.pravo.gov.ru/Document/View/0001201802130006
19. https://fstec.ru/component/attachments/download/2784
20. https://fstec.ru/component/attachments/download/2786
21. http://publication.pravo.gov.ru/Document/View/0001202008310008
22. https://regulation.gov.ru/projects/List/AdvancedSearch#npa=107041
23. https://regulation.gov.ru/projects/List/AdvancedSearch#npa=106890
24. https://regulation.gov.ru/projects/List/AdvancedSearch#npa=106833