Обзор изменений законодательства. Январь, февраль 2021 г.
Анастасия Заведенская, 01/04/21
Январь-2021
В январском обзоре изменений законодательства 2021 г. рассмотрим изменения от регуляторов, которые были опубликованы как в канун нового года, так и в его начале. Поговорим о процессах обработки персональных данных, о нормотворческой деятельности ФСБ России и требованиях по безопасности для финансовых платформ.
Автор: Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности
Изменения в законе о персональных данных
В преддверии нового года был опубликован Федеральный закон "О внесении изменений в Федеральный закон "О персональных данных" от 30.12.2020 № 519-ФЗ [1] (далее – ФЗ № 519), меняющий понятийный аппарат Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ (далее – ФЗ № 152).
С 1 марта 2021 г. утрачивает силу дефиниция "персональные данные (далее – ПДн), сделанные общедоступными субъектом ПДн". Вместо упомянутых ранее ПДн вводится понятие "ПДн, разрешенные субъектом ПДн для распространения". ПДн, разрешенные субъектом ПДн для распространения, – это ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи соответствующего согласия.
При этом в ФЗ № 152 все еще присутствует норма об общедоступных источниках ПДн, которые, в частности, упоминаются в постановлении Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Вопрос, как классифицировать (определять уровень защищенности) информационные системы, обрабатывающие ПДн, разрешенные субъектом ПДн для распространения, пока остается открытым.
К основным особенностям обработки ПДн, разрешенных субъектом ПДн для распространения, вводимых ФЗ № 519, относятся:
- Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Требования к содержанию согласия будут определены Роскомнадзором. Согласие на обработку ПДн, разрешенных для распространения, может быть предоставлено непосредственно оператору, а с 01.07.2021 также с использованием специализированной информационной системы Роскомнадзора.
- Установлено явное требование по "активному" предоставлению согласия на обработку ПДн субъектом ПДн, то есть молчание или бездействие субъекта ПДн ни при каких обстоятельствах не может считаться согласием на обработку ПДн, разрешенных субъектом ПДн для распространения.
- Субъект ПДн вправе определить в согласии категории и перечень ПДн, для обработки которых устанавливаются условия и запреты, а также перечень устанавливаемых условий и запретов.
Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению ПДн неограниченному или определенному кругу лиц соответственно.
Изменения, вводимые ФЗ № 519, как отмечается экспертным сообществом, могут повлечь за собой неоднозначность трактования требований, а также появление возможных противоречий в исполнении требований. В частности, если из согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, не следует, что субъект ПДн не определил запреты и условия на обработку ПДн, такие ПДн обрабатываются оператором, которому они предоставлены субъектом ПДн, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с ПДн неограниченному кругу лиц. То есть некорректно составленное согласие, направленное на разрешение субъектом распространения ПДн, может это распространение и ограничить.
Согласие на обработку ПДн, разрешенных для распространения
Как и следовало ожидать, 27 января 2021 г. Роскомнадзор представил проект приказа "Об установлении требований к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения" [2] (далее – проект приказа).
Согласно проекту приказа упомянутое ранее согласие должно включать в себя:
- фамилию, имя, отчество субъекта ПДн и его контактную информацию;
- наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;
- цель (цели) обработки ПДн;
- категории и перечень ПДн, на обработку которых дается согласие;
- категории и перечень ПДн, для обработки которых субъект ПДн устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов;
- срок, в течение которого действует согласие;
- сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с ПДн субъекта ПДн.
Стоит обратить внимание на то, что проект приказа вводит некоторую детализацию понятия – категории ПДн, а также уточняет, какие ПДн относятся к той или иной категории. По проекту приказа выделяются следующие категории ПДн: общие ПДн, специальные категории ПДн и биометрические ПДн. Таким образом, по проекту приказа:
- общие ПДн: фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту ПДн;
- специальные категории ПДн: расовая, национальная принадлежность, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости;
- биометрические ПДн: ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения.
Интересно, что ранее в нормативно-правовых актах по обработке ПДн категория "общие ПДн" не применялась, а перечень биометрических ПДн содержит упоминание цифровых фотографий изображения лица, без каких-либо дополнительных атрибутов отнесения их к биометрическим ПДн. Стоит также отметить, что сам ФЗ № 519, вводящий необходимость согласия из проекта приказа, вступил в силу 1 марта 2021 г., однако требования к содержанию согласия к указанной дате все еще находились в проекте.
Обработка инцидентов информационной безопасности в ИСПДн
Кроме того, изменения в ФЗ № 152 были внесены и опубликованным 30 декабря 2020 г. Федеральным законом от 30.12.2020 № 515-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности" [3].
Теперь в ФЗ № 152 в меры по обеспечению безопасности ПДн при их обработке, кроме обнаружения фактов несанкционированного доступа к ПДн, включены и меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПДн и по реагированию на компьютерные инциденты в них.
ФСБ России и электронная подпись
В конце 2020 г., 31 декабря, официально были опубликованы приказы ФСБ России, регулирующие вопросы, связанные с электронной подписью (далее – ЭП) и вступающие в силу в январе 2021 г.:
- Приказ ФСБ России от 04.12.2020 №554 "Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи" [4].
- Приказ ФСБ России от 04.12.2020 № 555 "О внесении изменений в приложения № 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. № 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" [5].
- Приказ ФСБ России от 04.12.2020 № 556 "Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи" [6].
А уже в январе 2021 г. ФСБ России представила для публичного обсуждения проекты ведомственных актов также из области ЭП:
- о внесении изменения в п. 2 приказа ФСБ России от 4 декабря 2020 г. № 554 "Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи" [7];
- о внесении изменения в приказ ФСБ России от 4 декабря 2020 г. № 555 "О внесении изменений в приложения № 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. № 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" [8];
- о внесении изменения в п. 2 приказа ФСБ России от 4 декабря 2020 г. № 556 "Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи" [9].
- об утверждении правил подтверждения владения ключом электронной подписи [10].
Лицензирование деятельности по разработке СКЗИ
25 января 2021 г. официально опубликован приказ ФСБ России от 29.12.2020 № 641 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" [11] (далее – приказ ФСБ России № 641).
Приказ ФСБ России № 641 определяет новый административный регламент лицензирования деятельности по разработке, производству, распространению средств криптографической защиты информации (далее – СКЗИ).
Также утрачивает силу приказ ФСБ России от 30 августа 2012 г. № 440, утверждающий предыдущий административный регламент оказания государственной услуги. Заявителям на лицензируемые виды деятельности стоит обратить внимание на изменения в формы заявлений в ФСБ России, требования к которым предъявляются в зависимости от оказываемой государственной услуги.
Обеспечение безопасности операторами финансовых платформ
28 января 2021 г. официально опубликовано положение Банка России от 03.12.2020 № 742-П "О требованиях по защите информации, которые должно выполнять юридическое лицо, намеревающееся получить статус оператора финансовой платформы, о ведении Банком России реестра операторов финансовых платформ и о требованиях к порядку регистрации Банком России изменений в правила финансовой платформы" [12] (далее – положение Банка России № 742-П).
Стоит отметить, что о проекте положения Банка России № 742-П мы уже писали ранее в октябре 2020 г. [13], но на тот момент оно было указанием "О ведении Банком России реестра операторов финансовых платформ, о требованиях к юридическому лицу, намеревающемуся получить статус оператора финансовой платформы, по защите информации, и о требованиях к порядку регистрации Банком России изменений в правила финансовых платформ" [14].
В целом основной подход к требованиям по защите информации, которые должны выполнять юридические лица, намеревающиеся получить статус оператора финансовой платформы (далее – соискатель), по сравнению с проектом не изменился, но теперь это конкретные указания для выполнения определенных норм по ИБ для конкретных объектов защиты. Так, по положению Банка России № 742-П:
- Защита информации должна осуществляться в отношении эксплуатируемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р 57580.1–2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер"(далее – ГОСТ Р 57580.1–2017);
- Требования ГОСТ Р 57580.1–2017 должны применяться по результатам определения применимого к соискателю уровня защиты информации, предусмотренного ГОСТ Р 57580.1–2017.
- Соискатель должен обеспечить уровень соответствия не ниже третьего согласно национальному стандарту Российской Федерации ГОСТ Р 57580.2–2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия".
Как и было в проекте положения Банка России № 742-П, оценка соответствия по направлению "Безопасность информационной инфраструктуры" должна осуществляться с привлечением сторонних организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации.
Февраль-2021
Второй месяц 2021 г. оказался плодотворным на нормотворческую деятельность в области защиты информации. В февральском обзоре рассмотрим и новые методики от ФСТЭК России, и очередные усилия Минцифры России в сфере импортозамещения в КИИ, а также изменения в административных штрафах в области обработки ПДн и изменения в положениях о защите информации Банка России.
Методика оценки угроз безопасности информации
Информационным сообщением [15] от 15 февраля 2021 г. N 240/22/690 ФСТЭК России проинформировала об утверждении Методики оценки угроз безопасности информации [16] (далее – Методика).
В связи с утверждением Методики для оценки угроз безопасности информации больше не применяются Методика определения актуальных угроз безопасности персональных данных (далее – ПДн) при их обработке в информационных системах ПДн (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).
Обязательно применение Методики к системам и сетям, отнесенным к государственным и муниципальным информационным системам, информационным системам ПДн, значимым объектам критической информационной инфраструктуры (далее – КИИ), информационным системам управления производством, используемым организациями оборонно-промышленного комплекса, автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Модели угроз безопасности информации систем и сетей, разработанные и утвержденные до утверждения Методики, продолжают действовать и подлежат изменению при развитии (модернизации) соответствующих систем и сетей.
Импортозамещение в критической информационной инфраструктуре (и не только)
2 февраля 2021 г. Минцифры России в очередной раз представило к общественному обсуждению проект постановления Правительства РФ "Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции" (далее – проект ПП РФ). К проекту ПП РФ для публичного обсуждения также приложен порядок перехода на преимущественное использование российского программного обеспечения (далее – ПО), телекоммуникационного оборудования и радиоэлектронной продукции (далее при совместном упоминании – ПО и оборудование).
Напомним, что первые варианты проектов нормативно-правовых актов, направленных на импортозамещение в КИИ, были опубликованы еще в мае 2020 г. [17]. Октябрьские проекты 2020 г. [18] получили отрицательную оценку регулирующего воздействия.
В новой версии проекта ПП РФ отказались от термина "оборудование, используемое на объектах КИИ", уточнив область действия импортозамещения – телекоммуникационное оборудование и радиоэлектронная продукция.
Чтобы ПО и оборудование, используемые на объектах КИИ, соответствовали требованиям новой редакции проекта ПП РФ, они должны быть включены в единый реестр российских программ для электронных вычислительных машин и баз данных (далее – РПО) или единый реестр программ для электронных вычислительных машин и баз данных из государств – членов Евразийского экономического союза (далее – РЕП) и (или) в единый реестр российской радиоэлектронной продукции (далее – РРП). Если же ПО и оборудование не включены в РПО (или РЕП) и (или) в РРП, субъект КИИ обязан предусмотреть для них:
- возможность модернизации российскими организациями;
- возможность гарантийного обслуживания и технической поддержки российскими организациями.
Таким образом, субъект КИИ для всех объектов КИИ (независимо от присвоения им категории значимости) будет обязан:
- Провести аудит существующего и (или) проектируемого объекта КИИ.
- Провести анализ требований, вводимых проектом ПП РФ, и наличия аналогов используемого (планируемого для использования) иностранного ПО и оборудования, включенных в РПО, РЕП и (или) РРП.
- Провести анализ текущих сроков амортизации телекоммуникационного оборудования и радиоэлектронной продукции и срока действия прав на использование ПО для не включенных в РПО, РЕП и (или) РРП.
- По результатам проведенного анализа направить на согласование перечень используемых и (или) планируемых для использования иностранных ПО и оборудования с кратким обоснованием предъявляемых требований, в части ПО – в Минцифры России, в части телекоммуникационного оборудования и радиоэлектронной продукции в – Минпромторг России.
- С учетом проведенного анализа и при наличии (в случае необходимости) согласования Минцифры России и (или) Минпромторга России определить перечень потенциального российского ПО, оборудования и радиоэлектронной продукции для дальнейшего перехода на его использование.
- По итогам реализованных мероприятий, с учетом сроков перехода на преимущественное использование отечественного ПО и оборудования, подготовить и до 1 июля 2021 г. утвердить план перехода на преимущественное использование российского ПО и оборудования (далее – план).
- В течение 30 рабочих дней с момента утверждения плана направить его копию в Минцифры России и Минпромторг России.
P.S. В качестве дополнения к теме импортозамещения стоит отметить интересный факт, что опубликованная в феврале Роскомнадзором пирамида цифровых угроз [19] также упоминает как источник угроз оборудование, импортированное из-за рубежа. Пирамида цифровых угроз приведена на рисунке.
Экономическая значимость объектов критической информационной инфраструктуры
ФСТЭК России в феврале 2021 г. был опубликован проект методических рекомендаций по оценке показателей критериев экономической значимости объектов КИИ [20] (далее – проект рекомендаций).
Проект рекомендаций определяет методические подходы к оценке показателей критериев экономической значимости объектов КИИ, проводимой в соответствии с Правилами категорирования объектов КИИ, утвержденными постановлением Правительства РФ от 8 февраля 2018 г. № 127.
Следует отметить, что по постановлению Правительства РФ от 13.04.2019 № 452 "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. №127" субъекты КИИ, являющиеся государственными органами или учреждениями, должны были закончить процесс категорирования до 1 сентября 2020 г. Однако проект рекомендаций публикуется впервые. Исходя из проекта рекомендаций, регулятор также считает, что показатель ущерба бюджетам Российской Федерации применим ко всем субъектам КИИ.
Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении
Информационным сообщением [21] от 10 февраля 2021 г. N 240/24/647 ФСТЭК России сообщает о разработке новой редакции Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении (далее – Методика выявления уязвимостей и НДВ).
Методика выявления уязвимостей и НДВ предназначена для организаций, осуществляющих создание специализированных средств защиты информации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств. Методика выявления уязвимостей и НДВ носит ограничительную пометку "ДСП" и предоставляется ФСТЭК России по мотивированному запросу.
Изменения в приказ ФСТЭК России от 14.03.2014 № 31
20 февраля 2021 г. ФСТЭК России опубликовала проект приказа "О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31" [22].
Как и следовало ожидать, изменения направлены на приведение требований по сертификации средств защиты информации в соответствие к действующим в настоящее время в системе сертификации ФСТЭК России требованиям к уровням доверия (Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным приказом ФСТЭК России от 2 июня 2020 г. № 76).
Административная ответственность за нарушение требований по обработке персональных данных
Федеральным законом от 24 февраля 2021 г. № 19-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" [23] (далее – ФЗ № 19). С 27 марта 2021 г.
увеличивается размер штрафов по большинству составов нарушений законодательства Российской Федерации в области ПДн, а также появилась ответственность за повторное нарушение по ряду оснований. Перечень изменений в административные штрафы приведен в таблице 1.
Требования к защите информации в платежной системе Банка России
15 февраля 2021 г. официально опубликовано положение Банка России от 23.12.2020 № 747-П "О требованиях к защите информации в платежной системе Банка России" [24] (далее – 747-П).
747-П официально вступило в силу 26 февраля 2021 г. (за исключением положений, для которых установлены иные сроки вступления в силу) и признает утратившим силу положение Банка России от 09.01.2019 № 672-П.
Положения практически совпадают по содержанию, однако есть изменения, связанные с внесением изменений в Федеральный закон от 27.06.2011 № 161-ФЗ "О национальной платежной системе", выходом нового положения от 24.09.2020 № 732-П "О платежной системе Банка России", изменениями в подходе Банка России к управлению рисками.
- https://rg.ru/2021/01/11/personalnie-dannie-dok.htm
- https://regulation.gov.ru/Projects/List#npa=112660
- http://publication.pravo.gov.ru/Document/View/0001202012300041
- http://publication.pravo.gov.ru/Document/View/0001202012310004?index=1&rangeSize=1
- http://publication.pravo.gov.ru/Document/View/0001202012310003?index=1&rangeSize=1
- http://publication.pravo.gov.ru/Document/View/0001202012310012
- https://regulation.gov.ru/Projects/List#npa=112637
- https://regulation.gov.ru/Projects/List#npa=112640
- https://regulation.gov.ru/Projects/List#npa=112641
- https://regulation.gov.ru/Projects/List#npa=112563
- http://publication.pravo.gov.ru/Document/View/0001202101250027?index=0&rangeSize=1
- https://cbr.ru/Queries/UniDbQuery/File/90134/1224
- См. Заведенская А.А. Обзор изменений законодательства в сентябре и октябре 2020 года // Information Security/ Информационная безопасность. 2020. № 5. С. 4–8.
- https://regulation.gov.ru/projects#npa=109072
- https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2169-informatsionnoe-soobshchenie-fstek-rossii-ot-15-fevralya-2021-g-n-240-22-69
- https://fstec.ru/component/attachments/download/2919
- https://regulation.gov.ru/projects#npa=102172
- https://regulation.gov.ru/Projects/List#npa=109874
- https://rkn.gov.ru/news/rsoc/news73380.htm
- https://fstec.ru/component/attachments/download/2917
- https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2171-informatsionnoe-soobshchenie-fstek-rossii-ot-10-fevralya-2021-g-n-240-24-647
- https://regulation.gov.ru/Projects/List#npa=113431
- http://publication.pravo.gov.ru/Document/View/0001202102240010? index=0&range-Size=1
- https://cbr.ru/Queries/UniDbQuery/File/90134/1243