Обзор изменений в законодательстве за февраль 2022

В февральском обзоре за 2022 г. поговорим о нормативных документах, определяющих основные направления госконтроля регуляторов, начиная с лицензирования деятельности по защите информации, заканчивая обработкой персональных данных. Рассмотрим требования к отчетности по ИБ финансового сектора, а также вопросы стандартизации защиты.

Оценка соискателей лицензии (лицензиатов) на соответствие лицензионным требованиям

Приказ ФСБ России от 31.01.2022 № 35 «Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-Ф3 «О лицензировании отдельных видов деятельности» (далее – Приказ ФСБ России) официально опубликован 16 февраля 2022 г. Приказ ФСБ России вступил в силу с 1 марта 2022 г.

Приказ ФСБ России устанавливает ряд форм документов, используемых регулятором в процессах лицензирования, а также определяет содержание оценочных листов, применяемых при оценке соискателя лицензии (лицензиата) лицензионным требованиям. Так оценочные листы разработаны для проверки соответствия требованиям:

• Постановления Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных(криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
• Постановления Правительства РФ от 12.04.2012 № 287 «Об утверждении Положения о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации».
• Постановления Правительства РФ от 16.04.2012 № 314 «Об утверждении Положения о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
• Постановления Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» (далее – ПП РФ № 171) в части, касающейся полномочий ФСБ России.

Позднее, 28 февраля 2022 г., были официально опубликованы аналогичные приказы ФСТЭК России по определению форм оценочных листов:

• Приказ ФСТЭК России от 28.12.2021 № 206 «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации».
• Приказ ФСТЭК России от 28.12.2021 № 207 «Об утверждении формы оценочного листа, в соответствии с которым ФСТЭК России проводит оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации».

Приказы направлены на проверку соответствия требованиям Постановления Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» и ПП РФ № 171 в части, касающейся полномочий ФСТЭК России, и вступили в силу с 1 марта 2022 г.

Индикаторы риска нарушения требований от Минцифры России

Приказ Минцифры России от 06.12.2021 № 1308 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации» (далее – Приказ Минцифры России № 1308) официально опубликован 18 февраля 2022 г. Приказ Минцифры России № 1308 вступил в силу 1 марта 2022 г.

Приказом Минцифры России № 1308 устанавливаются признаки возможных нарушений требований при осуществлении аккредитованными организациями идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц.

Приказ Минцифры России от 07.12.2021 № 1312 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи» (далее – Приказ Минцифры России № 1312) официально опубликован 18 февраля 2022 г.  Приказ Минцифры России № 1312 также вступил в силу с 1 марта 2022 г.

Приказом Минцифры России № 1312 определяются признаки потенциальных нарушений требований в сфере электронной подписи аккредитованными удостоверяющими центрами.

Индикаторы из Приказов Минцифры России № 1308 и № 1312 нужны для принятия решения о проведении и выборе вида внепланового контрольного (надзорного) мероприятия.

Госконтроль в области обработки персональных данных

Приказ Роскомнадзора от 24.12.2021 № 253 «Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами» (далее – Приказ Роскомнадзора № 253) официально опубликован 28 февраля 2022 г. Приказ Роскомнадзора № 253 вступает в силу с 11 марта 2022 г.

Приказ Роскомнадзора № 253 устанавливает контрольные вопросы, определяющие соблюдение контролируемым лицом требований в области обработки персональных данных. В форму проверочного листа включены контрольные вопросы по выполнению требований:

• Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
• Приказа Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения».
• Постановления Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
• Постановления Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
• пункта 8 ст. 86, ст. 87, 88 Трудового кодекса Российской Федерации.
• пунктов 3-6 ч. 1 с. 42 Федерального закона от 27.07.2004 № 79-ФЗ «О государственной гражданской службе Российской Федерации».

Отчетность ЦБ РФ по защите информации

Центральный Банк России в феврале 2022 г. опубликовал ряд проектов указаний по формам отчетности регулятору, включающие в т.ч. и отчетности по защите информации:

• «О формах, сроках и порядке составления и представления в Банк России отчетности страховщиков». Содержит форму 0420175 «Сведения об оценке выполнения требования к обеспечению защиты информации страховой организацией».
• «Об объеме, формах, сроках и порядке составления и представления в Банк России отчетности профессиональных участников рынка ценных бумаг, организаторов торговли и клиринговых организаций, а также другой информации». Включает форму  0420433 Сведения об оценке выполнения требований к обеспечению защиты информации профессиональными участниками рынка ценных бумаг, организаторами торговли, клиринговыми организациями».
• «О формах, сроках и порядке составления и представления в Банк России отчетности негосударственных пенсионных фондов». Содержит форму 0420266 «Сведения об оценке выполнения требований к обеспечению защиты информации негосударственным пенсионным фондом».
• «О составе, формах, сроках и порядке составления и представления отчетов операторами инвестиционных платформ и отчетности и иной информации операторами финансовых платформ, операторами информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и операторами обмена цифровых финансовых активов в Банк России». Включает форму 0420722 «Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов».
• «О формах, порядке и сроках составления и представления в Банк России отчетности бюро кредитных историй». Содержит формы отчетности 0420764 «Сведения об оценке выполнения требований к обеспечению защиты информации бюро кредитных историй» и 0420753 «Сведения о программно-технических средствах и сетевых коммуникациях бюро кредитных историй, средствах защиты информации, применяемых бюро кредитных историй, и лицах, допущенных к работе с программно-техническими средствами и сетевыми коммуникациями».

В феврале 2022 г. Банк России официально опубликовал Указание от 08.11.2021 №5986-У«О внесении изменений в Указание Банка России от 8 октября 2018 года N 4927-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации», которое в том числе вводит формы отчетности:

• 0409071 «Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации».
• 0409106 «Отчет по управлению операционным риском в кредитной организации».

Стандарты по защите информации

Приказом Росстандарта от 13.01.2022  N 2-ст утвержден и введен в действие с 1 февраля 2022 г. ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации».

В феврале 2022 г. на сайте ФСТЭК России было опубликовано Решение председателя технического комитета по стандартизации «Защита информации» (ТК 362) от 18 января 2022 г. № 97 «О реорганизации рабочей группы, назначении руководителя и утверждении состава рабочей группы» ( далее –  Решение ТК 362).

Решением ТК 362 определены приоритеты по проведению работ по разработке классификации средств защиты информации и пересмотру следующих национальных стандартов:

• ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества».
• ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения».
• ГОСТ Р 53113.2-2009 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов».