Обзор изменений в законодательстве за август 2021

Порядок организации и проведения работ по аттестации объектов информатизации

Приказ ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (далее – Приказ ФСТЭК России № 77) официально опубликован 10 августа 2021 г. Приказ ФСТЭК России № 77 вступил в силу 1 сентября 2021 г.

Порядок, установленный Приказом ФСТЭК России № 77, распространяется на аттестацию следующих объектов информатизации:
• государственных и муниципальных информационных систем (далее – ИС), в том числе государственных, муниципальных ИС персональных данных (далее – ПДн);
• ИС управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированных систем станков с числовым программным управлением;
• защищаемых помещений;
• значимых объектов критической информационной инфраструктуры (далее – КИИ);
• ИСПДн;
• автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

По решению руководителя федерального органа государственной власти, органа государственной власти субъекта РФ, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации может проводиться структурным подразделением (работниками) этого органа, ответственными за защиту информации, после информирования ФСТЭК России о принятом решении и при выполнение требований, установленных Приказом ФСТЭК России № 77 для проведения работ по аттестации.

Приказом ФСТЭК России № 77 определен минимальный состав аттестационной комиссии: руководитель комиссии и не менее двух экспертов; установлен максимальный срок проведения работ по аттестации – 4 месяца. При этом не допускается назначение экспертов органов по аттестации из числа работников, участвующих в разработке и (или) внедрении системы защиты информации объекта информатизации.

Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия должен представить в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:
• аттестата соответствия объекта информатизации;
• технического паспорта на объект информатизации;
• акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта КИИ;
• программы и методик аттестационных испытаний объекта информатизации;
• заключения и протоколов.

Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации. При этом владелец аттестованного объекта информатизации должен проводить периодический контроль уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте. Протоколы контроля защиты информации не реже одного раза в два года должны представляться владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России). Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в ФСТЭК России сведения об аттестованных им объектах информатизации.

В случае развития (модернизации) объекта информатизации, приводящей к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация. В случае развития (модернизации) объекта информатизации, не приводящей к указанным выше изменениям, проводятся дополнительные аттестационные испытания. Сведения об изменениях аттестованного объекта информатизации и проведенных при этом аттестационных испытаниях включаются владельцем объекта информатизации в технический паспорт. Действие аттестата соответствия не прекращается.

Изменение порядка информирования ФСБ России о компьютерных инцидентах

ФСБ России 26 августа 2021 г. был опубликован проект Приказа «О внесении изменений в Порядок информирования ФСБ России ‎о компьютерных инцидентах, реагирования на них, принятия мер ‎по ликвидации последствий компьютерных атак, проведенных ‎в отношении значимых объектов критической информационной инфраструктуры Российской Федерации», утвержденный приказом ФСБ России от 19 июня 2019 г. № 282 .

Предлагаемые изменения:
• разработанный план реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак утверждается руководством субъекта КИИ;
• копия утвержденного плана в срок до 7 календарных дней направляется в Национальный координационный центр по компьютерным инцидентам (далее – НКЦКИ);
• проект плана реагирования, содержащий положения о привлечении подразделений и должностных лиц ФСБ России к проведению мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак, должен разрабатываться при методическом обеспечении НКЦКИ до его утверждения.

Защита информации, обладателями которой являются государственные органы

ФСТЭК России 4 августа 2021 г. опубликовала проект Федерального закона «О внесении изменений в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации» (далее – Проект ФЗ).

Проектом ФЗ предлагает явно закрепить применение единых требований о защите информации, обладателями которой являются государственные органы, любыми операторами ИС, не зависимо от отраслевой и ведомственной принадлежности, обрабатывающими такую информацию.

Изменения в перечне государств, обеспечивающих адекватную защиту ПДн

Роскомнадзор представил проект Приказа «О внесении изменений в перечень иностранных государств, ‎не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утвержденный приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274» 19 августа 2021 г.

Из перечня предлагается исключить: Аргентинскую Республику, Королевство Марокко, Республику Чили, Тунисскую Республику. Включить предлагается: Народную Республику Бангладеш, Республику Беларусь, Республику Замбию, Республику Нигер, Новую Зеландию, Республику Таджикистан, Республику Узбекистан, Республику Чад, Социалистическую Республику Вьетнам, Тоголезскую Республику, Федеративную Республику Бразилию, Федеративную Республику Нигерию.

Правила использования информационной системы Роскомнадзора

Приказ Роскомнадзора от 21.06.2021 № 106 «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором» (далее – Приказ Роскомнадзора № 106) официально опубликован 11 августа 2021 г.

Приказ Роскомнадзора № 106 утверждает правила использования ИС Роскомнадзора, предназначенной для обеспечения получения оператором согласия на обработку ПДн, разрешенных субъектом ПДн для распространения (далее – согласие). Приказ Роскомнадзора № 106 вступит в силу с 1 марта 2022 г. и будет действовать до 1 марта 2028 г.

В соответствии с Приказом Роскомнадзора № 106 согласие предоставляется и отзывается субъектом ПДн на информационном ресурсе оператора в соответствии с порядком, установленным для Единой системы идентификации и аутентификации (ЕСИА) постановлением Правительства Российской Федерации от 28 ноября 2011 г. № 977. Подписание субъектом ПДн согласия осуществляется с использованием электронной подписи.

После подписания субъектом ПДн согласия с использованием ИС Роскомнадзора обеспечивается получение следующей обезличенной информации:
• о факте предоставления согласия;
• о цели (целях) обработки ПДн;
• об информационных ресурсах оператора, посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с ПДн субъекта ПДн;
• о категориях и перечне ПДн, на обработку которых дается согласие;
• о категориях и перечне ПДн, для обработки которых субъектом ПДн установлены условия и запреты;
• перечень устанавливаемых в отношении ПДн условий и запретов.