В обзоре за ноябрь 2020 г. рассмотрим нормотворческую деятельность в области обеспечения безопасности критической информационной инфраструктуры, государственных информационных систем, персональных данных и финансового сектора.
Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности
В ноябре 2020 г. в Государственную Думу внесен законопроект "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации"1.
Процесс введения административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры (КИИ) начался еще в апреле 2019 г.2 Составы административных правонарушений в части обеспечения безопасности КИИ также были включены и в общий проект нового КоАП РФ в мае 2020 г.3
Законопроект, внесенный в Государственную Думу, будет рассмотрен в первом чтении в январе 2021 г. При этом законопроектом предлагается наделить полномочиями по рассмотрению дел об административных правонарушениях ФСТЭК России и ФСБ России. Перечень предлагаемых к внесению в КоАП статей за нарушение обеспечения безопасности КИИ представлен в таблице.
ФСТЭК России информирует4 о размещении выписки из Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 2 июня 2020 г. No 76, для 6, 5 и 4 уровней доверия5 (далее – Требования к уровням доверия).
Напомним, что в октябре ФСТЭК России сообщила об утверждении новой редакции Требований к уровням доверия. С 1 января 2021 г. признается утратившей силу предыдущая версия Требований к уровням доверия, установленных приказом ФСТЭК России от 30.07.2018 г. No 131. Новая версия Требований к уровням доверия утверждена приказом ФСТЭК России от 02.06.2020 г. No 76 и вступает в силу с 1 января 2021 г., за исключением некоторых положений, вступающих в силу с 1 января 2022 г., 2024 г. и 2028 г.
23 ноября 2020 г. ФСБ России опубликовала для общественного обсуждения проект приказа "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации" 6.
Проект приказа предлагает регламентировать требования к обеспечению защиты информации, не содержащей сведения, составляющие государственную тайну (далее – информация), при ее обработке в государственных информационных системах (ГИС) с использованием средств криптографической защиты информации (СКЗИ). Проект приказа в целом использует уже привычные в нормативном поле требования по использованию СКЗИ, установленные как положением ПКЗ–2005, приказом ФАПСИ от 13.06.2001 г. No 152, так и приказом ФСБ России от 10.07.2014 г. No 378.
По проекту приказа информация, содержащаяся в ГИС, подлежит защите с использованием СКЗИ в случаях:
Необходимость использования СКЗИ подлежит обоснованию в модели угроз безопасности информации и техническом задании на создание ГИС. При этом указанные документы, по проекту приказа, будет необходимо согласовать с ФСБ России и использовать можно только СКЗИ, сертифицированные ФСБ России.
Определение класса СКЗИ для использования в ГИС, по проекту приказа, должно быть сделано на основании уровня значимости информации, обрабатываемой в ГИС, и масштаба ГИС (см. табл).
В ноябре 2020 г. в Государственную Думу внесен законопроект "О внесении изменений в Федеральный закон "О персональных данных" в части установления особенностей обработки общедоступных персональных данных"7 (далее – законопроект).
Законопроектом предлагается полностью переписать ст. 8 Федерального закона от 27.07.2006 г. No 152-ФЗ "О персональных данных" (далее – ФЗ-152), заменив ее положениями об особенностях обработки общедоступных персональных данных (ПДн).
Основные изменения, описанные законопроектом:
В ноябре 2020 г. Банк России представил проект положения "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее – проект положения)8.
Проект положения направлен на замену действующего сейчас положения Банка России от 17.04.2019 г. No 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее – 684-П). Основными отличиями проекта положения от действующего 684-П являются:
При этом, как отмечается экспертным сообществом9, формулировки проекта положения имеют неоднозначную трактовку. Так, первый абзац п. 1.9 положения предусматривает возможность выбора между сертификацией в системе сертификации ФСТЭК России и оценкой соответствия по ОУД. В дальнейшем же абзацы пятый и шестой п. 1.9 устанавливают обязанность проведения только сертификации.
В декабрьском обзоре изменений законодательства рассмотрим изменения в процедуре лицензирования отдельных видов деятельности, проект приказа ФСТЭК России о порядке организации и проведении работ по аттестации, внесение изменений в 152-ФЗ и некоторые другие важные изменения.
Ксения Кузнецова, помощник аналитика Аналитического центра УЦСБ
С 1 января 2021 г. вступят в силу приказ ФСТЭК России от 02.12.2020 г. No 141 "О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 No 133"10 (далее – приказ No 141) и приказ ФСТЭК России от 02.12.2020 г. No 142 "О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 No 134"11 (далее – приказ No 142).
Приказ No 141 и приказ No 142 вносят изменения в процедуру лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации и по технической защите конфиденциальной информации, соответственно.
Основные изменения коснулись форм заявления о предоставлении, переоформлении и прекращении действия лицензии на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации (по технической защите конфиденциальной информации) юридическому лицу и индивидуальному предпринимателю. Изменились и формы заявлений о предоставлении сведений о лицензии и об исправлении опечаток и ошибок.
Определен новый порядок информирования заявителя: уведомление о предоставлении, переоформлении или прекращении действия лицензии подписывается начальником управления ФСТЭК России, регистрируется и отправляется заявителю в форме электронного документа, подписанного усиленной квалифицированной электронной подписью, либо на бумажном носителе заказным почтовым отправлением с уведомлением о вручении. Одновременно с уведомлением заявителю могут направить выписку из реестра лицензий.
Изменения отменили предоставление дубликата или копии лицензии.
23 декабря 2020 г. ФСТЭК России представила проект приказа "Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям по защите информации, не составляющей государственную тайну"12 (далее – проект приказа), который должен вступить в силу 1 июня 2021 г.
Проект приказа содержит порядок определения состава и содержания работ по аттестации объектов информатизации (далее – ОИ) на соответствие требованиям по защите информации ограниченного доступа, не составляющей государственную тайну, а также требования к форме и содержанию разрабатываемых при проведении таких работ документов.
Проект приказа распространяется на следующие ОИ: государственные и муниципальные информационные системы, информационные системы управления производством, используемые организациями оборонно-промышленного комплекса, защищаемые помещения (далее – ЗП), а также значимые объекты критической информационной инфраструктуры и автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, для которых при их создании установлены требования к оценке соответствия требованиям по защите информации в форме аттестации.
Наряду с аттестацией ОИ в проекте приказа описывается процедура аттестации распределенных ИС/АС, имеющих клиент-серверную архитектуру.
В проекте приказа представлен перечень документов, необходимых для проведения работ по аттестации, а также приведены формы технического паспорта для ИС/АС и ЗП, форма акта классификации ИС/АС, форма аттестата соответствия требованиям по защите информации.
Проект приказа предусматривает выдачу аттестата соответствия на весь срок эксплуатации ОИ, если иное не установлено требованиями по защите информации, на соответствие которым проводилась аттестация ОИ. Действие аттестата соответствия может быть прекращено по обращению владельца ОИ, а в случае выявления нарушений по защите информации на ОИ предусмотрена новая процедура в отношении аттестатов соответствия – приостановление их действия. При прекращении или приостановлении действия аттестата соответствия владелец ОИ обязан прекратить его эксплуатацию. Напомним, что на настоящий момент для всех ОИ, за исключением ГИС/МИС, аттестаты соответствия действительны в течение трех лет (максимальный срок).
В соответствии с новым порядком орган по аттестации в течение пяти рабочих дней со дня подписания аттестата соответствия должен направить в электронном виде копии аттестационных документов во ФСТЭК России (территориальный орган).
Проектом приказа предусмотрены случаи несогласия владельца ОИ с выявленными несоответствиями системы защиты информации ОИ при проведении аттестационных испытаний органом по аттестации. В описанном случае владелец ОИ направляет письменное обращение во ФСТЭК России, по результатам которого ФСТЭК России может провести контрольные испытания на объекте ОИ.
Данный проект приказа не ссылается на ГОСТ РО 0043-003 и ГОСТ РО 0043004, но прослеживается схожий подход к проведению аттестационных испытаний.
В декабре 2020 г. в Государственную Думу внесен законопроект "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности"13 (далее – законопроект).
Законопроект дополняет меры по обеспечению безопасности персональных данных, установленных Федеральным законом от 27.07.2006 г. No 152-ФЗ "О персональных данных", и включает в них меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
В декабре был опубликован ГОСТ Р ИСО/МЭК 19086-4–2020 "Информационные технологии. Облачные вычисления. Структура соглашения об уровне обслуживания (SLA). Часть 4. Компоненты информационной безопасности и защиты персональных данных"14 (далее – стандарт), который вступит в силу 1 июня 2021 г.
Стандарт идентичен международному стандарту ISO/IEC 19086-4:2019 "Cloud computing – Service level agreement (SLA) framework – Part 4: Components of security and of protection of PII" и описывает компоненты обеспечения информационной безопасности и защиты персональных данных, а также целевые параметры уровня и качества обслуживания в соглашениях об уровне обслуживания облачных служб (облачное SLA), включая соответствующие требования и рекомендации.
Стандарт предназначен для использования как поставщиками, так и потребителями облачных служб.
С 1 января 2021 г. вступит в силу приказ Минцифры России от 26.11.2020 г. No 624 "Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя – физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре"15 (далее – приказ No 624).
Приказ No 624 вводит перечень актуальных угроз безопасности при идентификации заявителя в аккредитованном удостоверяющем центре; выдаче квалифицированного сертификата без личного присутствия заявителя; хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре.
С 1 января 2021 г. вступит в силу приказ Минцифры России от 30.11.2020 г. No 643 "Об утверждении требований к форме указанного в пункте 1 части 2.2 статьи 15 Федерального закона от 6 апреля 2011 года No 63-ФЗ"16 "Об электронной подписи" поручения владельца квалифицированного сертификата, порядку передачи поручения владельца квалифицированного сертификата аккредитованному удостоверяющему центру, а также к правилам хранения указанного поручения" (далее – приказ No 643)17.
Приказ No 643 определяет требования к поручению владельца квалифицированного сертификата, а именно: требования к форме поручения, порядку передачи поручения аккредитованному удостоверяющему центру и правилам хранения поручения.
Вспомним постановление Правительства Российской Федерации от 19.06.2020 г. No 890 "О порядке предоставления доступа к минимальному набору функций интеллектуальных систем учета электрической энергии (мощности)" (далее – приказ No 890)18, которое содержит в себе требования по защите информации, размещенной в интеллектуальной системе учета:
На основании определений терминов из Федерального закона от 27.12.2018 г. No 522 и постановления Правительства Российской Федерации от 04.05.2012 г. No 44221 можно сделать вывод, что интеллектуальная система учета электроэнергии – это комплекс, состоящий из приборов учета, устройств удаленной передачи данных с таких приборов учета и устройств сбора таких данных (сервер или компьютер). Иными словами, это автоматизированная система коммерческого учета электроэнергии (АСКУЭ)/автоматизированная информационно-измерительная система коммерческого учета электроэнергии (АИИСКУЭ). Следовательно, описанные выше требования должны быть реализованы на АСКУЭ/АИИСКУЭ.