В обзоре изменений российского законодательства по информационной безопасности за июль 2020 г. рассмотрим, как регуляторы приводят законодательные нормы к действующей системе сертификации ФСТЭК России, поговорим об ИБ в сфере связи и в финансовом секторе, защите персональных данных.
Автор: Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности
10 июля 2020 г. официально опубликован приказ ФСТЭК России от 14.05.2020 г. № 68 "О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21"1.
Согласно этому приказу с 1 января 2021 г. при использовании в информационных системах персональных данных (ИСПДн), сертифицированных по требованиям безопасности информации средств защиты информации (СрЗИ), такие СрЗИ должны быть сертифицированы по требованиям к уровням доверия.
Требования безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131.
Соответствие между уровнями защищенности ИСПДн и сертификацией СрЗИ по требованиям к уровням доверия приведено в таблице.
СрЗИ, соответствующие уровню доверия | Уровень защищенности персональных данных в ИСПДн |
6-й уровень доверия | ИСПДн при 3-м и 4-м уровне защищенности персональных данных |
5-й уровень доверия | ИСПДн при 2-м уровне защищенности персональных данных |
4-й уровень доверия | ИСПДн при 1-м уровне защищенности персональных данных |
Минкомсвязь России 13 июля 2020 г. опубликовала проект приказа Минкомсвязи России "Об утверждении Требований к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи"2.
Требования проекта приказа Минкомсвязи России направлены на регулирование деятельности операторов связи при эксплуатации и управлении сетями электросвязи, составляющими единую сеть электросвязи РФ, входящими в сеть связи общего пользования (ССОП), за исключением сетей связи специального назначения, выделенных и технологических сетей связи, если они не присоединены к ССОП, а также сетей связи для распространения программ телевизионного вещания и радиовещания.
При этом в проект приказа Минкомсвязи России также включены требования к подсистеме безопасности сетей связи, которая, в частности, должна включать:
При создании подсистемы безопасности сети связи должны использовать СрЗИ, имеющие сертификат ФСТЭК России, и средства криптографической защиты информации, имеющие подтверждение соответствия требованиям, утвержденным ФСБ России. Также при эксплуатации сетей связи, взаимодействующих со значимыми объектами КИИ, должны применяться СрЗИ, имеющие сертификат ФСТЭК России. Проект приказа Минкомсвязи имеет отсылки к приказам ФСТЭК России по обеспечению безопасности значимых объектов критической информационной инфраструктуры (КИИ), которые операторам связи необходимо выполнять, а именно:
В проекте приказа Минкомсвязи в том числе установлены требования к структурным подразделениям и должностным лицам оператора связи, занимающимся обеспечением информационной безопасности сети. По проекту приказа Минкомсвязи оператор также должен будет разработать паспорт ИБ в соответствии с ГОСТ Р 53109–2008, который необходимо актуализировать не реже чем один раз в три года.
В информационном письме о применении стандартов Банка России от 16.07.2020 г. № ИН-014-56/1133 регулятор сообщает следующее:
16 июля 2020 г. Банк России представил для публичного обсуждения проект указания о внесении изменений в Положение Банка России от 17 апреля 2019 г. № 683-П4 "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".
Приведем перечень основных изменений в 683-П, предлагаемых проектом указания Банка России:
При этом Банк России информационным письмом от 08.07.2020 г. № ИН014-56/1105 рекомендует при анализе уязвимостей ПО по требованиям к ОУД применять методический документ "Профиль защиты прикладного программного обеспечения и автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций", одобренный подкомитетом № 1 "Безопасность финансовых (банковских) операций" Технического комитета по стандартизации № 122 "Стандарты финансовых операций"
"Профиль защиты"6 официально опубликован 10 июля 2020 г. и содержит требования не только из ОУД 4, но и усиления и расширения компонентами из более высоких ОУД.
Следом, 17 июля 2020 г., Банк России опубликовал проект указания о внесении изменений в Положение Банка России от 9 января 2019 г. № 672-П7 "О требованиях к защите информации в платежной системе Банка России".
Согласно проекту указания Банка России, требования 672-П планируется распространить на участников сервиса быстрых платежей (СБП) – операторов услуг информационного обмена – при предоставлении участникам СБП услуг информационного обмена при осуществлении переводов денежных средств с использованием СБП (ОУИО СБП)
При этом перечень обязательных мер по противодействию осуществлению переводов денежных средств без согласия клиента с использованием СБП планируется определить как для участников СБП, являющихся банком плательщика, так и для участников СБП, являющихся банком получателя.
Для объектов информационной инфраструктуры ОУИО СБП по проекту указа Банка России с 1 января 2022 г. необходимо будет применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1–2017.
17 июля 2020 г. опубликован также проект о внесении изменений в указание Банка России от 9 июня 2012 г. № 2831-У8 "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств"
Указание № 2831-У определяет формы и методики составления отчетности для операторов платежных систем, операторов услуг платежной инфраструктуры и операторов по переводу денежных средств. Предлагаемые изменения несущественны, в своей основе только немного корректируют процедуру предоставления отчетности.
Минэкономразвития России 17 июля 2020 г. опубликовало проект федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации"9.
Проект федерального закона подразумевает, что давно устоявшиеся нормы обработки персональных данных (ПДн) можно не применять, если такое будет установлено программой экспериментального правового режима (в части развития технологий искусственного интеллекта и больших данных). Таким образом, проект федерального закона предлагает не применять следующие положения:
Данный проект федерального закона эксперты считают направленным на разрушение базовых принципов обработки ПДн.
21 июля 2020 г. Минкомсвязь России опубликовала уведомление о подготовке проекта федерального закона "О внесении изменений в статью 13 Федерального закона "О персональных данных" (в части уточнения принципов обработки персональных данных в государственных информационных системах)"10.
Сам проект федерального закона был опубликован для общественного обсуждения 5 августа 2020 г. Согласно пояснительной записке к проекту федерального закона, с целью повышения информационной безопасности государственных или муниципальных информационных систем (ГИС, МИС) и защищенности ПДн граждан РФ законопроектом предусмотрено дополнение ст. 13 ФЗ-152 следующими принципами:
В июле 2020 г. в Государственную Думу внесен законопроект № 992331-7 "О внесении изменений в Федеральный закон "О персональных данных"11, в части уточнения порядка обработки ПДн.
Законопроект предполагает возможность:
При этом по законопроекту для уничтожения ПДн необходимо применять СрЗИ, в составе которых реализована функция уничтожения информации, прошедшие в установленном порядке процедуру оценки соответствия, проведенную ФСБ России или ФСТЭК России.
Предлагается наделить Роскомнадзор полномочиями по установлению требований к обезличиванию ПДн и методам обезличивания Пдн.
В обзоре изменений российского законодательства за август 2020 г. представлены: введение нового понятия “центра хранения и обработки данных", приказ Минтруда России об утверждении перечня актуальных угроз безопасности персональных данных, стандартизация терминологии в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, проект стандарта в области мониторинга информационной безопасности, методические рекомендации Минздрава России по категорированию объектов критической информационной инфраструктуры (КИИ), а также изменения в области лицензирования видов деятельности – новые перечни документации для лицензиатов ФСТЭК России, изменения в Положение о ФСТЭК России.
Автор: Татьяна Пермякова, аналитик Аналитического центра Уральского центра систем безопасности
Недавно был опубликован проект федерального закона "О внесении изменений в Федеральный закон "О связи" и Федеральный закон "Об информации, информационных технологиях и о защите информации"12.
В соответствии с пояснительной запиской к законопроекту документ упорядочивает обязанности операторов связи по предоставлению информации в органы власти в области связи. Законопроект позволит использовать информацию, получаемую от операторов связи, а также центров хранения и обработки данных, для наполнения баз и банков данных государственных информационных систем, для их эксплуатации и для иных целей, предусмотренных законодательством.
Законопроект вводит новые понятия, такие как:
На данный момент для общественного обсуждения представлен проект приказа Министерства труда и социальной защиты Российской Федерации "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством труда и социальной защиты Российской Федерации"13.
Согласно справке к проекту, перечень актуальных угроз определен экспертным путем, в том числе по результатам обобщения и анализа моделей угроз безопасности информации информационных систем, сформированных и утвержденных руководителями операторов информационных систем, а также нормативных правовых актов органов государственной власти субъектов Российской Федерации.
В начале августа на сайте ФСТЭК России опубликована первая редакция проекта национального стандарта ГОСТ Р "Защита информации. Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирование на компьютерные инциденты"14.
Стандарт дополняет уже существующий ГОСТ Р 50922, а также основывается на многих других стандартах, содержащих термины и определения. Схема ниже отображает структуру разделов ГОСТа и классификационную схему понятий, входящих в область действия стандарта.
Проект предназначен для стандартизации терминологии в указанной области для ее дальнейшего использования при разработке национальных стандартов, нормативных правовых актов и методических документов. Согласно пояснительной записке15 к опубликованному проекту, документ необходим для установления единой терминологии в целях взаимопонимания между заказчиками, исполнителями и организаторами. Авторами стандарта предполагается, что реализация проекта приведет к повышению эффективности мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты.
Опубликован проект ГОСТ Р "Защита информации. Мониторинг информационной безопасности. Общие положения"16.
Положения проекта применимы к мероприятиям по мониторингу информационной безопасности, осуществляемым операторами по отношению к эксплуатируемым ими информационным (автоматизированным) системам, а также к мероприятиям, осуществляемым в рамках деятельности по оказанию услуг мониторинга ИБ.
Стандарт не устанавливает требования к средствам мониторинга ИБ и к мероприятиям, связанным с выявлением компьютерных инцидентов и реагированием на них.
В проекте документа определены:
Министерство здравоохранения Российской Федерации разработало и отправило на согласование во ФСТЭК России Методические рекомендации по категорированию объектов КИИ сферы здравоохранения. В настоящий момент проект документа17 опубликован для общественных обсуждений.
Рекомендации содержат:
Документ содержит также справочную информацию, в частности:
В приложениях к методическим рекомендациям разработчики приводят формы промежуточной отчетности, разрабатываемой комиссией по категорированию, а именно:
Документ содержит описание процессов в рамках категорирования объектов КИИ как в словесной форме, так и в формате наглядных блок-схем.
Кроме описания процесса категорирования, методические рекомендации содержат состав и указание последовательности работ по обеспечению безопасности значимых объектов КИИ.
12 августа директором ФСТЭК России утверждены перечни технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации и Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации. Изменения в перечнях обусловлены публикацией новых нормативно-правовых актов, а также внесением изменений в существующие.
Новый перечень для лицензиатов ФСТЭК России в области технической защиты информации19 содержит 108 наименований документов. Ранее опубликованный перечень (от 24.07.2017 г.) содержал 117 наименований.
Опубликован и новый перечень для лицензиатов в области разработки и производства средств защиты конфиденциальной информации20.
Лицензиатам ФСТЭК России необходимо привести в соответствие базу нормативно-методической документации до 1 января 2021 г.
Опубликован Указ Президента Российской Федерации от 31.08.2020 г. № 535 "О внесении изменения в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16.08.2004 г. № 1085"21.
Указ вносит одну поправку в Положение, в частности дополняет полномочия регулятора возможностью устанавливать порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации в рамках своих полномочий.
Опубликован ряд проектов постановлений правительства.
В частности, внесены изменения в Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
В актуальной редакции Положения при намерении лицензиата осуществлять лицензируемую деятельность по адресу места ее осуществления, не указанному в лицензии, в ряде случаев требовалось переоформление такой лицензии. Согласно предлагаемым изменениям, переоформление лицензии в данном случае не требуется при выполнении следующих работ:
Предлагаемые изменения также содержат уточнения в части взаимодействия с лицензирующим органом: взимание платы за предоставление лицензирующим органом выписки из реестра лицензий на бумажном носителе в размере и порядке, установленных в соответствии с Федеральным законом "О лицензировании отдельных видов деятельности".
Предлагаемые изменения также содержат уточнения по уплате госпошлины за предоставление лицензирующим органом лицензии, а также переоформление лицензии в размере и порядке, которые установлены законодательством Российской Федерации о налогах и сборах.
Проект предлагает аналогичные уточнения в части взимания платы за предоставление лицензирующим органом выписки из реестра лицензий на бумажном носителе.
Проект предполагает аналогичные изменения в части уплаты госпошлины за предоставление лицензирующим органом лицензии или переоформление лицензии, а также порядке взимания платы за предоставление лицензирующим органом выписки из реестра лицензий на бумажном носителе.