Автор: Анастасия Заведенская, аналитик
Порядок аттестации объектов информатизации
В апреле 2021 года опубликован доработанный по итогам обсуждения проект Приказа ФСТЭК России «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (далее – проект Приказа ФСТЭК России).
Напомним, что первая версия проекта Приказа ФСТЭК России была опубликована в декабре 2020 года. В новой версии проекта Приказа ФСТЭК России исключены требования к аттестационным испытаниям распределенных систем, имеющих клиент-серверную архитектуру, в том числе функционирующих на базе информационно-телекоммуникационной инфраструктуры центров обработки данных. С исключением данного требования также ушли и описания требований к выборке типовых аттестуемых клиентских автоматизированных рабочих мест. Следует отметить, что в целом проект Приказа ФСТЭК России также не описывает порядок организации и проведения работ по аттестации выделенного набора сегментов объектов информатизации (далее – ОИ), реализующих полную технологию обработки информации.
Требования проекта Приказа ФСТЭК России в обязательном порядке предполагается применять при аттестации:
- государственных и муниципальных информационных систем (далее – ИС), в том числе государственных, муниципальных ИС персональных данных (далее – ПДн);
- ИС управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем (далее – АС) станков с числовым программным управлением;
- помещений, предназначенных для ведения конфиденциальных переговоров (защищаемых помещений).
В случае принятия владельцами решения по проведению оценки соответствия систем защиты информации в форме аттестации, требованиями проекта Приказа ФСТЭК России необходимо будет также руководствоваться для:
- значимых объектов критической информационной инфраструктуры (далее – КИИ);
- ИСПДн (за исключением государственных, муниципальных ИСПДн);
- АС управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Также отметим несколько основных изменений, предлагаемых проектом Приказа ФСТЭК России:
- По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу ОИ может проводиться структурным подразделением (работниками), ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при выполнении требований, установленных в проекте Приказа ФСТЭК России.
- Владелец ОИ в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащимися в заключении и протоколах, может направить во ФСТЭК России письменное обращение с обоснованием такого несогласия (далее – обращение). ФСТЭК России в течение 10 календарных дней с даты получения обращения проводит оценку документов и выводов, содержащихся в заключении.
- Органы по аттестации после завершения аттестации ОИ должны будут представлять во ФСТЭК России копии аттестационных документов. Также органы по аттестации ежегодно должны будут представлять в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных ими объектах информатизации.
- Владельцы аттестованных ОИ будут должны не реже одного раза в два года представлять во ФСТЭК России протоколы контроля защищенности информации, оформляемые по результатам периодического контроля уровня защищенности информации в аттестованном ОИ.
- ФСТЭК России может приостановить действие аттестата соответствия в случаях: установления факта несоответствия аттестованного ОИ требованиям по защите информации; неустранения недостатков, выявленных ФСТЭК России; непредставления протоколов контроля уровня защищенности информации в аттестованном ОИ; изменений архитектуры системы защиты информации аттестованного ОИ, которые приводят к несоответствию этого объекта аттестату соответствия; обращения владельца ОИ о приостановлении действия аттестата соответствия. Если замечания, повлекшие приостановление аттестата соответствия, не будут устранены, то действие аттестата соответствия может быть прекращено.
Требования проекта Приказа ФСТЭК России предлагается применять с 1 сентября 2021 г.
Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения
В апреле 2021 г. официально опубликован приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» (далее – Приказ Роскомнадзора). Приказ Роскомнадзора вступает в силу с 1 сентября 2021 г. и действует до 1 сентября 2027 г.
Следует отметить, что Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», вводящий необходимость согласия из Приказа Роскомнадзора, вступил в силу 1 марта 2021 г., однако требования к содержанию согласия к указанной дате все еще находились в проекте. В отличии от своего проекта утвержденная версия Приказа Роскомнадзора носит более лаконичный характер и содержит только требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения. Так, например, исключены примеры биометрических ПДн.
Импортозамещение в КИИ
В апреле 2021 г. было опубликовано заключение об оценке регулирующего воздействия и очередные изменения к проекту постановления Правительства РФ «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции» (далее – Проект ПП РФ). К Проекту ПП РФ также приложен порядок перехода на преимущественное использование российского программного обеспечения (далее – ПО), телекоммуникационного оборудования и радиоэлектронной продукции (далее при совместном упоминании – ПО и оборудование).
По итогам оценки регулирующего воздействия было получено отрицательное заключение. Так в заключении отмечаются следующие основные риски введения такого регуляторного механизма:
- Отсутствие анализа имеющегося иностранного оборудования у субъектов КИИ, что не позволяет сделать вывод о сроках реализуемости предлагаемого регулирования. Учитывая значительное количество объектов КИИ, необходимо проработать поэтапное внедрение проектируемого регулирования, в том числе в разрезе категорий объектов КИИ, с разделением сроков реализации по категориям объектов КИИ, а проектируемое регулирование не должно распространяться на объекты КИИ, не отнесенные к значимым.
- Из Проекта ПП РФ не представляется возможным однозначно определить, каким действием заканчивается переход на отечественное ПО и оборудование для выполнения требований. Например, достаточно ли утверждения плана по переходу на преимущественное использование российского ПО и оборудования с определенным временным горизонтом.
- Разработчиком в сводном отчете отмечается, что расходов средств бюджетов бюджетной системы Российской Федерации и субъектов предпринимательской деятельности при реализации предлагаемого регулирования не потребуется. Однако, например, объем затрат одной только банковской сферы составит, по экспертной оценке Ассоциации банков России, более 700 млрд рублей (без учета затрат на покупку дополнительного серверного оборудования и параллельную поддержку работоспособности двух систем до момента перехода на целевое ПО, затрат на наем и обучение персонала, обучение сотрудников кредитных организаций работе с новым ПО).
- Критерии анализ наличия аналогов используемого (планируемого к использованию) иностранного ПО и оборудования представляются недостаточно определенными.
- Проектом акта не регламентированы вопросы внесения изменений в план перехода на преимущественное использование российского ПО и оборудования, которые могут быть необходимы по независящим от субъектов КИИ причинам.
Неприменение Банком России мер в отношении некредитных финансовых организаций
Информационным письмом от 27.04.2021 № ИН-017-56/28 Банк России сообщает о неприменении в период до 31 декабря 2021 г. мер в случае нарушения некредитными финансовыми организациями требований Положения Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – Положение №684-П). Напомним, что ранее Банк России уведомлял о неприменении мер до 01.07.2021 в случае нарушения требований Положения №684-П.
P.S. Категорирование в сфере здравоохранения
Министерство здравоохранения Российской Федерации 21 апреля 2021 года опубликовало «Методические рекомендации по категорированию объектов критической информационной инфраструктуры сферы здравоохранения». Указанные методические рекомендации согласованы ФСТЭК России.
Обзор операций, совершенных без согласия клиентов финансовых организаций за 2020 г.
В апреле 2021 г. Банк России опубликовал «Обзор операций, совершенных без согласия клиентов финансовых организаций за 2020 год». Так согласно отчету доля социальной инженерии в общем объеме несанкционированных операций снизилась по итогам 2020 года до 61,8% (с 68,6% в 2019 году).