Обзор изменений в законодательстве за декабрь 2023 года

Автор:

Лобачева Любовь, аналитик

В обзоре изменений за декабрь 2023 года рассмотрим: административную и уголовную ответственность за нарушение законодательства по ПДн, внеплановые проверки Роскомнадзора, ответственность за утечки ПДн, отраслевые приказы по обезличиванию данных, требования по защите информации при взаимодействии с платформой цифрового рубля, стратегию развития отрасли связи, требования к провайдерам хостинга по защите информации, расширение критериев запрещенной к распространению информации, деятельность ФСТЭК России и иное.

Персональные данные

Ответственность за обработку ПДн без письменного согласия и нарушения при обработке биометрических ПДн

12 декабря 2023 года официально опубликован Федеральный закон от 12.12.2023 № 589-ФЗ «О внесении изменений в Кодекс РФ об административных правонарушениях». Изменения увеличивают штрафы за обработку ПДн без письменного согласия субъекта, за обработку ПДн с нарушением требований к составу сведений, включаемых в письменное согласие, а также за повторные нарушения (статья 13.11). Согласно изменениям предусмотрены следующие штрафы:

Также в Кодекс РФ об административных правонарушениях вносится новая статья 13.11.3, предусматривающая административную ответственность для банков, многофункциональных центров предоставления государственных и муниципальных услуг и иных организаций (в соответствии с Федеральным законом от 29.12.2022 № 572-ФЗ) за нарушение требований в области размещения биометрических ПДн:

• для должностных лиц – от 100 до 300 тысяч рублей;
• для юридических лиц – от 500 тысяч до 1 миллиона рублей.

Законопроекты об уголовной и административной ответственности за нарушение законодательства по ПДн

В Государственную думу на рассмотрение внесены проекты Федеральных законов:

• «О внесении изменений в Уголовный кодекс РФ»;-
• «О внесении изменений в Кодекс РФ об административных правонарушениях».

Первый законопроект предлагает дополнить Уголовный кодекс РФ статьей, предусматривающей наказание за незаконное использование, передачу, сбор или хранение компьютерной информации, содержащей ПДн. В качестве наказания предлагается предусмотреть штраф в размере до 300 тысяч рублей, либо принудительные работы на срок до четырех лет, либо лишение свободы на тот же срок.

Более строгое наказание предусмотрено при наличии следующих отягощающих обстоятельств:

• ПДн относятся к специальным или биометрическим;
• причинение крупного ущерба;
• использование служебного положения;
• совершение преступления организованной группой;
• трансграничная передача ПДн или носителей с ПДн.

Также законопроект предусматривает наказание за создание или обеспечение функционирования сайтов, информационных систем (далее – ИС) или программного обеспечения (далее – ПО), предназначенных для незаконного хранения или передачи компьютерной информации, содержащей ПДн.

Второй законопроект устанавливает ответственность за нарушение операторами ПДн порядка обработки ПДн. Предусматривается штраф за нарушение следующих обязательств оператора ПДн по уведомлению Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор):

• о намерении осуществлять обработку ПДн;
• об установлении факта неправомерной передачи ПДн субъектов (об инциденте информационной безопасности (далее – ИБ).

Также законопроектом устанавливается ответственность операторов ПДн за утечку ПДн субъектов в зависимости от их количества, так при утечке информации, содержащей ПДн:

• от 1 тысячи до 10 тысяч субъектов ПДн или от 10 тысяч до 100 тысяч уникальных обозначений сведений о субъектах ПДн (далее – идентификаторы) предлагается предусмотреть штраф до 5 миллионов рублей;
• от 10 тысяч до 100 тысяч субъектов ПДн или от 100 тысяч до 1 миллиона идентификаторов – до 10 миллионов рублей;
• более 100 тысяч субъектов ПДн или более 1 миллиона идентификаторов – до 15 миллионов рублей.

За утечку специальных категорий ПДн предусмотрена повышенная административная ответственность, а за повторные серьезные нарушения для организаций предусмотрены оборотные штрафы.

Предварительное рассмотрение законопроектов советом Государственной Думы завершилось 13 декабря 2023 года.

Внеплановые проверки Роскомнадзора при непредоставлении информации о применении рекомендательных технологий

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) опубликовало проект приказа «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15.11.2021 № 1187», согласно которому предлагается дополнить Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн (далее – Перечень) четвертым индикатором риска.

Роскомнадзор сможет инициировать проведение внеплановых контрольных (надзорных) мероприятий оператора ПДн, если в течение календарного года оператор ПДн, являющийся владельцем сайта или ПО, на которых применяются рекомендательные технологии, два и более раза не предоставит Роскомнадзору:

• информацию, связанную с применением рекомендательных технологий;
• доступ к программно-техническим средствам рекомендательных технологий (по запросу Роскомнадзора).

Роскомнадзор уведомляет оператора ПДн о проведении выездной проверки за 24 часа до ее начала путем направления копии соответствующего решения.

Общественное обсуждение проекта приказа завершилось 5 января 2024 года.

Напомним, что в ноябре 2023 года Роскомнадзор уже дополнял Перечень новым индикатором риска. Аналитический центр УЦСБ ранее публиковал обзор изменений.

Внеплановые проверки Роскомнадзора при утечках персональных данных

В Государственную думу на рассмотрение внесен законопроект «О внесении изменений в статью 27 Федерального закона «О связи» и Федеральный закон «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», согласно которому Роскомнадзор сможет осуществлять внеплановые выездные проверки операторов ПДн в случае поступления в Роскомнадзор информации об утечке ПДн.

Порядок такой проверки определен в разделах III и IV Правил организации и осуществления государственного контроля и надзора за обработкой ПДн, утвержденных постановлением Правительства РФ от 13.02.2019 № 146.

Обезличивание персональных данных при проведении медико-социальной экспертизы

1 января 2024 года вступил в силу приказ Министерства труда и социальной защиты РФ от 08.11.2023 № 792н «Об утверждении порядка и условий обеспечения проведения медико-социальной экспертизы без доступа к персональным данным гражданина и его законного или уполномоченного представителя и их состава, а также особенностей и условий проведения медико-социальной экспертизы без доступа к персональным данным гражданина и его законного или уполномоченного представителя».

Согласно приказу проведение медико-социальной экспертизы, которая осуществляется в случаях, установленных постановлением Правительства РФ от 05.04.2022 № 588 «О признании лица инвалидом», без личного присутствия субъекта ПДн осуществляется без доступа к его ПДн. Доступ ограничивается к следующим ПДн, размещенным в Единой централизованной цифровой платформе в социальной сфере:

• фамилия, имя, отчество;
• адрес места жительства (места пребывания, фактического проживания);
• контактная информация;
• cтраховой номер индивидуального лицевого счета;
• номер полиса обязательного медицинского страхования;
• данные документа, удостоверяющего личность;сведения о законном представителе;сведения о подписях членов врачебной комиссии, подписавших направление на медико-социальную экспертизу;
• сведения о специалистах, которые проводили предыдущую медико-социальной экспертизы (при наличии).

Ограничение доступа к ПДн осуществляется в соответствии с требованиями и методами по обезличиванию ПДн, в частности методом введения идентификаторов по данным. ПДн будут отражены только в справке об инвалидности и в индивидуальной программе реабилитации или абилитации инвалида.

Критическая информационная инфраструктура

Стратегия развития отрасли связи до 2035 года

4 декабря 2023 года официально опубликована Стратегия развития отрасли связи РФ на период до 2035 года, утвержденная распоряжением Правительства РФ от 24.11.2023 № 3339-р.

Реализация Стратегии планируется в рамках двух этапов – с 2023 по 2030 годы и с 2030 по 2035 годы. В рамках первого этапа реализации Стратегии предусматривается:

разработка и эксплуатация российского оборудования стандартов 5G и 6G-Ready с учетом требований по использованию сертифицированных СКЗИ;

использование российских СКЗИ для защиты сетей связи;

• перевод критической информационной инфраструктуры (далее – КИИ) на доверенные решения, в том числе операционные системы;
• создание платформы управления мобильными устройствами, используемыми на объектах КИИ государственного сектора и корпораций;
• поэтапный переход на использование SIM-карт, функционирующих с применением российских криптографических алгоритмов;
• поэтапное замещение иностранных СрЗИ, в том числе криптографических, на сертифицированные доверенные средства;
• внедрение систем фильтрации компьютерных атак в сетевом трафике при оказании услуг связи;
• развитие отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА);
• разработка и закрепление в международных стандартах российских криптографических алгоритмов для защиты информации в сетях связи;создание и последующее развитие единой централизованной системы защиты от DDoS-атак;внедрение технологии квантового распределения ключей на основе российского оборудования в интересах государственного сектора, а также апробация и внедрение постквантовых методов криптографической защиты информации в сетях связи.

В рамках второго этапа предусматривается:

• полная замена оборудования стандарта LTE и более ранних поколений на российское телекоммуникационное оборудование;
• развертывание сетей связи 5G на российском оборудовании во всех городах с населением от 100 тысяч человек с возможностью создания выделенных сегментов сети для взаимодействия объектов КИИ и служб безопасности;
• массовый переход на технологию сетевой виртуализации и программно-конфигурируемых сетей с возможностью встраивания сетевых приложений, а также массовое внедрение технологий искусственного интеллекта для управления сетями связи;
• иное.

Стратегия содержит:

• исследования и разработки в отрасли связи;
• технологическое обеспечение развития сетей связи и мировые тенденции;вызовы в области обеспечения ИБ в отрасли связи;
  
• целевые значения показателей развития отрасли связи на 2022, 2030 и 2035 годы, среди которых доля урегулированных инцидентов ИБ и мошеннических действий от общего количества зарегистрированных инцидентов в отраслевом центре ГосСОПКА;
• прогнозные социально-экономические показатели развития отрасли связи;
• меры по управлению рисками реализации Стратегии и иное.

 

Приостановление полномочий Минцифры России по закупке ПО

Официально опубликовано постановление Правительства РФ от 29.12.2023 № 2381 «О приостановлении действия отдельных положений постановления Правительства Российской Федерации от 08.06.2018 № 658», согласно которому действие «Правил взаимодействия Минцифры России с федеральными органами исполнительной власти, руководство деятельностью которых осуществляет Правительство РФ, при планировании и осуществлении централизованных закупок офисного ПО и ПО в сфере ИБ, а также взаимодействия Федерального казначейства с федеральными органами исполнительной власти, руководство деятельностью которых осуществляет Правительство РФ, и подведомственными им федеральными казенными учреждениями при планировании и осуществлении централизованных закупок ПО для ведения бюджетного учета» и полномочий Минцифры России в части централизованных закупок офисного ПО и ПО в сфере ИБ приостанавливается до 31 декабря 2024 года.

Центральный банк России

Рекомендации по расчету уровня риска, связанного с осуществлением перевода денежных средств без согласия клиента

Центральный банк РФ опубликовал документ от 30.11.2023 №17-МР «Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска информационной безопасности».

Методические рекомендации разработаны для кредитных организаций в целях обеспечения единства подходов по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска ИБ, связанных с осуществлением перевода денежных средств без согласия клиента, а также установлению пороговых значений и расчету фактических значений количественных показателей, направленных на измерение и контроль уровня риска ИБ в определенный момент времени.

Документ включает в себя рекомендации по установлению и расчету, группы типов операций по переводу денежных средств, а также все необходимые формулы расчета.

Требования к защите информации для участников платформы цифрового рубля

Центральный банк РФ опубликовал Положение от 07.12.2023 № 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля».

Согласно Положению с 1 января 2024 года участники платформы цифрового рубля должны соблюдать требования к обеспечению защиты информации, которые распространяются на автоматизированные системы, ПО, средства вычислительной техники и телекоммуникационное оборудование, эксплуатация которых осуществляется участниками платформы и которые используются при обработке, передаче и хранении следующей защищаемой информации:

• содержащейся в документах, составленных при осуществлении операций с цифровыми рублями;
• необходимой для идентификации, аутентификации и авторизации пользователей платформы цифрового рубля;
• о предоставлении, приостановлении, возобновлении или прекращении доступа к платформе цифрового рубля, о счете цифрового рубля, об остатке цифровых рублей на счете цифрового рубля, а также о совершенных операциях с цифровыми рублями;ключевой информации средств криптографической защиты информации (далее – СКЗИ);
• о конфигурации, определяющей параметры работы объектов информационной инфраструктуры, а также информации о конфигурации, определяющей параметры работы технических средств защиты информации (далее – СрЗИ).

Помимо этого, Положение устанавливает требования к шифрованию электронных сообщений при их передаче между участником платформы и оператором платформы цифрового рубля, размещению объектов информационной инфраструктуры, обеспечению защиты клиентского приложения.

Требования к защите информации в автоматизированной информационной системе страхования

Центральный банк РФ опубликовал Положение от 30.08.2023 № 822-П «О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования», согласно которому оператор автоматизированной информационной системы страхования (далее – АИС страхования)  должен защищать информацию, содержащуюся в АИС страхования.

Если в АИС страхования размещены ПДн, то оператор должен руководствоваться требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и пpикaза ФCTЭК Poссии от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных (далее – ИСПДн)».

Оператор АИС страхования должен определить во внутренних документах состав и порядок применения следующих организационных и технических мер:

• защиты информации при управлении доступом;
• защиты вычислительных сетей;
• защиты целостности и защищенности;
• защиты объектов информационной инфраструктуры от воздействия вредоносного кода;
• предотвращения утечек защищаемой информации;
• управления событиями, которые привели или могут привести к инцидентам ИБ;
• защиты среды виртуализации;защиты информации при осуществлении удаленного доступа с использованием мобильных устройств.

Оператор АИС страхования должен осуществлять не реже 1 раза в 2 года:

• тестирование объектов информационной инфраструктуры на предмет возможности несанкционированного доступа к обрабатываемой защищаемой информации;
• анализ уязвимостей объектов информационной инфраструктуры.

Положение вступает в силу 1 апреля 2024 года. 

Иное

Переходный период в авторизации пользователей информационных ресурсов

12 декабря 2023 года вступил в силу Федеральный закон от 12.12.2023 № 588-ФЗ «О внесении изменения в статью 8 Федерального закона «Об информации, информационных технологиях и о защите информации».

Федеральный закон устанавливает переходный период до 1 января 2025 года, в течение которого владелец ИС, ПО или ресурсов в сети «Интернет» (далее – информационные ресурсы), осуществляющий свою деятельность на территории РФ и являющийся российским юридическим лицом или гражданином РФ, может проводить авторизацию пользователей на информационном ресурсе с использованием ИС для осуществления авторизации, если:

• ИС соответствует требованиям Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – 149-ФЗ);
• владельцем ИС является либо владелец информационного ресурса, либо юридическое лицо, находящееся под контролем или контролирующее владельца информационного ресурса, российское хозяйственное общество, признанное экономически значимой организацией, его дочернее общество и другие юридические лица, предусмотренные положениями Федерального закона.

По истечении переходного периода использовать ИС, обеспечивающие авторизацию пользователей информационных ресурсов, можно будет только при условии, что ее владельцем является:

• гражданин РФ, не имеющий гражданства другого государства;
• юридическое лицо, находящееся под контролем РФ, субъекта РФ, муниципального образования, гражданина РФ, не имеющего гражданства другого государства.

Требования по защите информации к провайдерам хостинга

Официально опубликован приказ Минцифры России от 01.11.2023 № 936 «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети «Интернет».

Приказ устанавливает требования по защите информации для провайдеров хостинга при предоставлении ими вычислительных мощностей для размещения информации в сети «Интернет», среди которых:

• назначение структурного подразделения или должностного лица, ответственного за защиту информации;
• взаимодействие с ГосСОПКА;
• направление сведений об инцидентах в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ) в течение 24 часов с момента обнаружения;
• отключение информационных ресурсов, участвующих в компьютерных атаках, по требованию НКЦКИ;
• сбор и хранение информации о взаимодействии лиц, которым провайдер предоставляет вычислительные мощности, с пользователями сети «Интернет»;
• принятие мер по обнаружению и предотвращению вторжений, DDoS-атак c вычислительных ресурсов своих пользователей;осуществление фильтрации сетевого трафика в соответствии с требованиями 149-ФЗ и другие требования.

Расширение критериев запрещенной к распространению информации

Официально опубликован приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 08.11.2023 № 168 «О внесении изменений в Критерии оценки материалов и (или) информации, необходимых для принятия Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций решений, являющихся основаниями для включения доменных имен и (или) указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет», а также сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», в единую автоматизированную информационную систему «Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено», утвержденные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 27.02.2023 № 25».

Согласно приказу к запрещенной к распространению на территории РФ относится информация:

• содержащая описание действий, способов и методов доступа к информационным ресурсам, доступ к которым ограничен на территории РФ;
• побуждающая к использованию этих способов и методов;
  
• содержащая предложения о приобретении доступа;
  
• предоставляющая возможность получения доступа путем загрузки ПО.

Указанные требования не применяются в отношении научной, научно-технической и статистической информации о способах, методах обеспечения доступа к информационным ресурсам, доступ к которым ограничен на территории РФ.

Приказ вступает в силу с 1 марта 2024 года и будет действовать до 1 сентября 2029 года.

Обезличивание данных в системе мониторинга движения лекарственных препаратов

12 декабря 2023 года вступил в силу приказ Министерства здравоохранения РФ от 24.11.2023 № 630н «Об утверждении требований к обезличиванию информации ограниченного доступа, содержащейся в системе мониторинга движения лекарственных препаратов для медицинского применения, и методов обезличивания такой информации».

Приказ устанавливает перечень сведений о субъекте обращения лекарственных средств и иных сведений, содержащихся в системе мониторинга движения лекарственных препаратов для медицинского применения, которые подлежат обезличиванию.

В качестве методов обезличивания применяются метод, предусматривающий замену части сведений на идентификаторы, и метод изменения состава или семантики данных. Приказ содержит подробный алгоритм обезличивания указанных данных, а также способ формирования обезличенных результатов.

 

Новый индикатор риска нарушения требований при осуществлении контроля в сфере электронной подписи

Приказом Минцифры России от 13.11.2023 № 979 «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 07.12.2021 № 1312» дополнен Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи. Пятым индикатором риска является увеличение по сравнению с предыдущим годом более чем в 10 раз, но не менее чем на 10 тысяч, количества выданных квалифицированных сертификатов, сведения о которых направлены аккредитованным удостоверяющим центром в единую систему идентификации и аутентификации.

Продление эксперимента по осуществлению идентификации и аутентификации на информационных ресурсах

Опубликовано постановление Правительства РФ от 16.12.2023 № 2178 «О внесении изменения в пункт 1 постановления Правительства Российской Федерации от 27.03.2021 № 453», согласно которому срок проведения эксперимента по осуществлению идентификации и аутентификации на информационных ресурсах в сети «Интернет» с использованием Единой системы идентификации и аутентификации, продлевается до 31 декабря 2024 года.

Деятельность ФСТЭК России

План проверок ФСТЭК России по вопросам лицензионного контроля

Федеральная служба по техническому и экспортному контролю (далее – ФСТЭК России) опубликовала План проведения плановых проверок юридических лиц и индивидуальных предпринимателей по вопросам лицензионного контроля на 2024 год. Проверки проводятся с целью предупреждения, выявления и пресечения нарушений лицензионных требований и условий и будут носить выездной и документарный характер.

Планы ФСТЭК России по разработке нормативных правовых актов на 2024 год

ФСТЭК России опубликовала Выписку из плана разработки нормативных правовых актов на 2024 год.

В 2024 году ФСТЭК России планирует подготовить проекты о внесении изменений в следующие постановления Правительства РФ:

• от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации»;
  
• от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»;
• от 15.09.2008 № 691 «Об утверждении Положения о лицензировании внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль» и другие.

А также разработать ряд приказов ФСТЭК России, среди которых:

‒           «Об определении территориальных органов и структурных подразделений ФСТЭК России, должностных лиц, уполномоченных на осуществление федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России, а также должностных лиц, уполномоченных совершать действия (принимать решения) при осуществлении федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России»;

‒           «Об утверждении Перечня подлежащих проверке вопросов при осуществлении ФСТЭК России и ее территориальными органами федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России»;

‒           «Об утверждении Требований по обеспечению защищенности государственных информационных систем и значимых объектов критической информационной инфраструктуры Российской Федерации от несанкционированного воздействия типа «отказ в обслуживании»;

‒           «Об утверждении Требований о защите информации, содержащейся в государственных и иных информационных системах, обладателями которых является Российская Федерация, субъект Российской Федерации, муниципальное образование» и другие.

Требования по безопасности к системам управления базами данных

На сайте ФСТЭК России опубликована Выписка из Требований по безопасности информации к системам управления базами данных (далее – СУБД), утверждённых приказом ФСТЭК России от 14.04.2023 № 64.

Для СУБД устанавливается 6 классов защиты:

‒           СУБД 6 класса защиты применяются в:

1. значимых объектах КИИ 3 категории значимости;

2. государственных ИС (далее – ГИС) 3 класса защищенности;

3. автоматизированных системах управления производственными и технологическими процессами (далее – АСУ ТП) 3 класса защищенности;

4. ИСПДн при необходимости обеспечения 3 и 4 уровня ПДн;

‒           СУБД 5 класса защиты применяются в:

o значимых объектах КИИ 2 категории значимости;

1. ГИС 2 класса защищенности;

2. АСУ ТП 2 класса защищенности;

3. ИСПДн при необходимости обеспечения 2 уровня защищенности ПДн;

‒           СУБД 4 класса защиты применяются в:

значимых объектах КИИ 1 категории значимости;

1. ГИС 1 класса защищенности;

2. АСУ ТП 1 класса защищенности;

3. ИСПДн при необходимости обеспечения 1 уровня защищенности ПДн, в ИС общего пользования II класса.

Выписка включает требования по безопасности СУБД, предъявляемые к:

• уровню доверия;
• операционной системе, в среде которой функционирует СУБД;
• управлению доступом;
• идентификации и аутентификации пользователей;
• контролю целостности;
• регистрации событий безопасности;
• резервному копированию и восстановлению;
• обеспечению доступности;
• очистке памяти;
• производительности;
• ограничению программной среды.

Также согласно Выписке устанавливается следующее соответствие классов защиты СУБД уровням доверия:

• СУБД 6 класса защиты должны соответствовать 6 уровню доверия;
• СУБД 5 класса защиты должны соответствовать 5 уровню доверия;
• СУБД 4 класса защиты должны соответствовать 4 уровню доверия.

Проект стандарта «Защита информации. Разработка безопасного программного обеспечения. Общие требования»

ФСТЭК России опубликовал проект национального стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».

Проект стандарта разработан с целью установления общих требований к разработке безопасного ПО и формированию среды оперативного устранения ошибок и уязвимостей в ПО.

Проект стандарта описывает общие требования к разработке безопасного ПО, а также детализирует описание процессов, реализация которых направлена на достижение результатов по разработке безопасного ПО, и критерии положительного заключения о реализации требований к процессу. Проект включает следующие процессы разработки безопасного ПО:

• планирование процессов разработки;
• обучение сотрудников;формирование и предъявление требований безопасности к ПО;
• управление конфигурацией ПО;управление недостатками и запросами на изменение ПО;
• разработка, уточнение и анализ архитектуры ПО;
• моделирование угроз и разработка описания поверхности атаки;
• формирование и поддержание в актуальном состоянии правил кодирования;
• экспертиза исходного кода;
• статический и динамический анализ исходного кода;
• использование безопасной системы сборки ПО;
• обеспечение безопасности сборочной среды, целостности кода и используемых секретов при разработке ПО;
• использование инструментов композиционного анализа;требования к реализации;
• функциональное и нефункциональное тестирование;
• обеспечение безопасности при выпуске готовой к эксплуатации версии ПО;
• безопасная доставка ПО пользователям;
• обеспечение поддержки ПО на этапе эксплуатации пользователями;
• обеспечение реагирования на информацию об уязвимостях;
• поиск уязвимостей в ПО при эксплуатации;
• обеспечение безопасности при выводе ПО из эксплуатации.

Также с целью обеспечения преемственности проекта стандарта и редакции ГОСТ Р 56939-2016 в проекте представлено сопоставление требований к процессам разработки безопасного ПО с мерами из ГОСТ Р 56939-2016.