В январском обзоре изменений законодательства 2021 г. рассмотрим изменения от регуляторов, которые были опубликованы как в канун нового года, так и в его начале. Поговорим о процессах обработки персональных данных, о нормотворческой деятельности ФСБ России и требованиях по безопасности для финансовых платформ.
Автор: Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности
В преддверии нового года был опубликован Федеральный закон "О внесении изменений в Федеральный закон "О персональных данных" от 30.12.2020 № 519-ФЗ [1] (далее – ФЗ № 519), меняющий понятийный аппарат Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ (далее – ФЗ № 152).
С 1 марта 2021 г. утрачивает силу дефиниция "персональные данные (далее – ПДн), сделанные общедоступными субъектом ПДн". Вместо упомянутых ранее ПДн вводится понятие "ПДн, разрешенные субъектом ПДн для распространения". ПДн, разрешенные субъектом ПДн для распространения, – это ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи соответствующего согласия.
При этом в ФЗ № 152 все еще присутствует норма об общедоступных источниках ПДн, которые, в частности, упоминаются в постановлении Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных". Вопрос, как классифицировать (определять уровень защищенности) информационные системы, обрабатывающие ПДн, разрешенные субъектом ПДн для распространения, пока остается открытым.
К основным особенностям обработки ПДн, разрешенных субъектом ПДн для распространения, вводимых ФЗ № 519, относятся:
Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению ПДн неограниченному или определенному кругу лиц соответственно.
Изменения, вводимые ФЗ № 519, как отмечается экспертным сообществом, могут повлечь за собой неоднозначность трактования требований, а также появление возможных противоречий в исполнении требований. В частности, если из согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, не следует, что субъект ПДн не определил запреты и условия на обработку ПДн, такие ПДн обрабатываются оператором, которому они предоставлены субъектом ПДн, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с ПДн неограниченному кругу лиц. То есть некорректно составленное согласие, направленное на разрешение субъектом распространения ПДн, может это распространение и ограничить.
Как и следовало ожидать, 27 января 2021 г. Роскомнадзор представил проект приказа "Об установлении требований к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения" [2] (далее – проект приказа).
Согласно проекту приказа упомянутое ранее согласие должно включать в себя:
Стоит обратить внимание на то, что проект приказа вводит некоторую детализацию понятия – категории ПДн, а также уточняет, какие ПДн относятся к той или иной категории. По проекту приказа выделяются следующие категории ПДн: общие ПДн, специальные категории ПДн и биометрические ПДн. Таким образом, по проекту приказа:
Интересно, что ранее в нормативно-правовых актах по обработке ПДн категория "общие ПДн" не применялась, а перечень биометрических ПДн содержит упоминание цифровых фотографий изображения лица, без каких-либо дополнительных атрибутов отнесения их к биометрическим ПДн. Стоит также отметить, что сам ФЗ № 519, вводящий необходимость согласия из проекта приказа, вступил в силу 1 марта 2021 г., однако требования к содержанию согласия к указанной дате все еще находились в проекте.
Кроме того, изменения в ФЗ № 152 были внесены и опубликованным 30 декабря 2020 г. Федеральным законом от 30.12.2020 № 515-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности" [3].
Теперь в ФЗ № 152 в меры по обеспечению безопасности ПДн при их обработке, кроме обнаружения фактов несанкционированного доступа к ПДн, включены и меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы ПДн и по реагированию на компьютерные инциденты в них.
В конце 2020 г., 31 декабря, официально были опубликованы приказы ФСБ России, регулирующие вопросы, связанные с электронной подписью (далее – ЭП) и вступающие в силу в январе 2021 г.:
А уже в январе 2021 г. ФСБ России представила для публичного обсуждения проекты ведомственных актов также из области ЭП:
25 января 2021 г. официально опубликован приказ ФСБ России от 29.12.2020 № 641 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)" [11] (далее – приказ ФСБ России № 641).
Приказ ФСБ России № 641 определяет новый административный регламент лицензирования деятельности по разработке, производству, распространению средств криптографической защиты информации (далее – СКЗИ).
Также утрачивает силу приказ ФСБ России от 30 августа 2012 г. № 440, утверждающий предыдущий административный регламент оказания государственной услуги. Заявителям на лицензируемые виды деятельности стоит обратить внимание на изменения в формы заявлений в ФСБ России, требования к которым предъявляются в зависимости от оказываемой государственной услуги.
28 января 2021 г. официально опубликовано положение Банка России от 03.12.2020 № 742-П "О требованиях по защите информации, которые должно выполнять юридическое лицо, намеревающееся получить статус оператора финансовой платформы, о ведении Банком России реестра операторов финансовых платформ и о требованиях к порядку регистрации Банком России изменений в правила финансовой платформы" [12] (далее – положение Банка России № 742-П).
Стоит отметить, что о проекте положения Банка России № 742-П мы уже писали ранее в октябре 2020 г. [13], но на тот момент оно было указанием "О ведении Банком России реестра операторов финансовых платформ, о требованиях к юридическому лицу, намеревающемуся получить статус оператора финансовой платформы, по защите информации, и о требованиях к порядку регистрации Банком России изменений в правила финансовых платформ" [14].
В целом основной подход к требованиям по защите информации, которые должны выполнять юридические лица, намеревающиеся получить статус оператора финансовой платформы (далее – соискатель), по сравнению с проектом не изменился, но теперь это конкретные указания для выполнения определенных норм по ИБ для конкретных объектов защиты. Так, по положению Банка России № 742-П:
Как и было в проекте положения Банка России № 742-П, оценка соответствия по направлению "Безопасность информационной инфраструктуры" должна осуществляться с привлечением сторонних организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации.
Второй месяц 2021 г. оказался плодотворным на нормотворческую деятельность в области защиты информации. В февральском обзоре рассмотрим и новые методики от ФСТЭК России, и очередные усилия Минцифры России в сфере импортозамещения в КИИ, а также изменения в административных штрафах в области обработки ПДн и изменения в положениях о защите информации Банка России.
Информационным сообщением [15] от 15 февраля 2021 г. N 240/22/690 ФСТЭК России проинформировала об утверждении Методики оценки угроз безопасности информации [16] (далее – Методика).
В связи с утверждением Методики для оценки угроз безопасности информации больше не применяются Методика определения актуальных угроз безопасности персональных данных (далее – ПДн) при их обработке в информационных системах ПДн (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).
Обязательно применение Методики к системам и сетям, отнесенным к государственным и муниципальным информационным системам, информационным системам ПДн, значимым объектам критической информационной инфраструктуры (далее – КИИ), информационным системам управления производством, используемым организациями оборонно-промышленного комплекса, автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Модели угроз безопасности информации систем и сетей, разработанные и утвержденные до утверждения Методики, продолжают действовать и подлежат изменению при развитии (модернизации) соответствующих систем и сетей.
2 февраля 2021 г. Минцифры России в очередной раз представило к общественному обсуждению проект постановления Правительства РФ "Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции" (далее – проект ПП РФ). К проекту ПП РФ для публичного обсуждения также приложен порядок перехода на преимущественное использование российского программного обеспечения (далее – ПО), телекоммуникационного оборудования и радиоэлектронной продукции (далее при совместном упоминании – ПО и оборудование).
Напомним, что первые варианты проектов нормативно-правовых актов, направленных на импортозамещение в КИИ, были опубликованы еще в мае 2020 г. [17]. Октябрьские проекты 2020 г. [18] получили отрицательную оценку регулирующего воздействия.
В новой версии проекта ПП РФ отказались от термина "оборудование, используемое на объектах КИИ", уточнив область действия импортозамещения – телекоммуникационное оборудование и радиоэлектронная продукция.
Чтобы ПО и оборудование, используемые на объектах КИИ, соответствовали требованиям новой редакции проекта ПП РФ, они должны быть включены в единый реестр российских программ для электронных вычислительных машин и баз данных (далее – РПО) или единый реестр программ для электронных вычислительных машин и баз данных из государств – членов Евразийского экономического союза (далее – РЕП) и (или) в единый реестр российской радиоэлектронной продукции (далее – РРП). Если же ПО и оборудование не включены в РПО (или РЕП) и (или) в РРП, субъект КИИ обязан предусмотреть для них:
Таким образом, субъект КИИ для всех объектов КИИ (независимо от присвоения им категории значимости) будет обязан:
P.S. В качестве дополнения к теме импортозамещения стоит отметить интересный факт, что опубликованная в феврале Роскомнадзором пирамида цифровых угроз [19] также упоминает как источник угроз оборудование, импортированное из-за рубежа. Пирамида цифровых угроз приведена на рисунке.
ФСТЭК России в феврале 2021 г. был опубликован проект методических рекомендаций по оценке показателей критериев экономической значимости объектов КИИ [20] (далее – проект рекомендаций).
Проект рекомендаций определяет методические подходы к оценке показателей критериев экономической значимости объектов КИИ, проводимой в соответствии с Правилами категорирования объектов КИИ, утвержденными постановлением Правительства РФ от 8 февраля 2018 г. № 127.
Следует отметить, что по постановлению Правительства РФ от 13.04.2019 № 452 "О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. №127" субъекты КИИ, являющиеся государственными органами или учреждениями, должны были закончить процесс категорирования до 1 сентября 2020 г. Однако проект рекомендаций публикуется впервые. Исходя из проекта рекомендаций, регулятор также считает, что показатель ущерба бюджетам Российской Федерации применим ко всем субъектам КИИ.
Информационным сообщением [21] от 10 февраля 2021 г. N 240/24/647 ФСТЭК России сообщает о разработке новой редакции Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении (далее – Методика выявления уязвимостей и НДВ).
Методика выявления уязвимостей и НДВ предназначена для организаций, осуществляющих создание специализированных средств защиты информации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств. Методика выявления уязвимостей и НДВ носит ограничительную пометку "ДСП" и предоставляется ФСТЭК России по мотивированному запросу.
20 февраля 2021 г. ФСТЭК России опубликовала проект приказа "О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31" [22].
Как и следовало ожидать, изменения направлены на приведение требований по сертификации средств защиты информации в соответствие к действующим в настоящее время в системе сертификации ФСТЭК России требованиям к уровням доверия (Требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным приказом ФСТЭК России от 2 июня 2020 г. № 76).
Федеральным законом от 24 февраля 2021 г. № 19-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях" [23] (далее – ФЗ № 19). С 27 марта 2021 г.
увеличивается размер штрафов по большинству составов нарушений законодательства Российской Федерации в области ПДн, а также появилась ответственность за повторное нарушение по ряду оснований. Перечень изменений в административные штрафы приведен в таблице 1.
15 февраля 2021 г. официально опубликовано положение Банка России от 23.12.2020 № 747-П "О требованиях к защите информации в платежной системе Банка России" [24] (далее – 747-П).
747-П официально вступило в силу 26 февраля 2021 г. (за исключением положений, для которых установлены иные сроки вступления в силу) и признает утратившим силу положение Банка России от 09.01.2019 № 672-П.
Положения практически совпадают по содержанию, однако есть изменения, связанные с внесением изменений в Федеральный закон от 27.06.2011 № 161-ФЗ "О национальной платежной системе", выходом нового положения от 24.09.2020 № 732-П "О платежной системе Банка России", изменениями в подходе Банка России к управлению рисками.