Обзор изменений в законодательстве за июль 2021

Изменения в правилах категорирования объектов КИИ

Проект Постановления Правительства Российской Федерации «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127» (далее – Проект Постановления) опубликован 22 июля 2021 г.

Проектом Постановления предлагается:
• наделение государственных органов и российских юридических лиц, выполняющих функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, полномочиями по осуществлению ведомственного и (или) отраслевого мониторинга состояния работ по категорированию объектов критической информационной инфраструктур (далее – КИИ);
• установление требований о направлении в ФСТЭК России скорректированных сведений о значимом объекте КИИ в случае их изменения в течение 10 рабочих дней со дня внесения изменений;
• внести уточнение, что за непредставление или нарушение сроков представления сведений субъекты КИИ несут административную ответственность.

Изменения в порядке ведения реестра значимых объектов КИИ

Следом 29 июля 2021 г. ФСТЭК России опубликовала Проект приказа «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227» (далее – Проект Приказа).

Проектом Приказа предлагаются следующие изменения:
• разделение сфер энергетики и топливно-энергетического комплекса при обозначении для значимого объекта КИИ сферы (области) деятельности, в которой он функционирует;
• введение аналогичной Проекту Постановления нормы по направлению сведений субъектами КИИ в ФСТЭК России об изменениях в значимом объекте КИИ;
• дополнение случаев предоставления информации из реестра значимых объектов КИИ государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сфере функционирования значимого объекта КИИ.

Порядок маркирования сертифицированных средств защиты информации

Информационным сообщением «О порядке маркирования сертифицированных средств защиты информации в системе сертификации ФСТЭК России» от 22 июля 2021 г. N 240/24/3487 ФСТЭК России сообщает о подготовке проекта изменений в Положение о системе сертификации средств защиты информации (далее – СрЗИ), утвержденное приказом ФСТЭК России от 3 апреля 2018 г. № 55, предусматривающем, в том числе изменение порядка маркирования сертифицированных СрЗИ.

Сообщение поясняет новый порядок маркирования СрЗИ идентификатором, состоящим из прописных букв и групп цифр. Описанный порядок маркирования должен применяться с момента опубликования информационного сообщения. Специальные защитные знаки для маркирования сертифицированных средств СрЗИ больше выдаваться не будут.

Организации, имеющие запас специальных защитных знаков, могут продолжить маркирование производимых ими сертифицированных СрЗИ специальными защитными знаками до израсходования имеющихся знаков. При этом изготовители СрЗИ должны вести журнал, в котором будут регистрироваться промаркированные образцы СрЗИ с указанием идентификаторов, а также ежегодно не позднее 1 февраля, представлять в ФСТЭК России отчёт о количестве произведённых СрЗИ за год.

Защита информации в АСУ

Приказ ФСТЭК России от 15.03.2021 № 46 «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом ФСТЭК России 14 марта 2014 г. № 31» опубликован 1 июля 2021 года.

Изменения направлены на нормализацию требований по использованию сертифицированных СрЗИ в автоматизированных системах управления (далее – АСУ) действующей системе сертификации ФСТЭК России. Т.е. регламентировано использования СрЗИ, соответствующих тому или иному уровню доверия, в зависимости от класса защищённости АСУ.

Государственные информационные системы

Проект Федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «О техническом регулировании» (далее – Проект ФЗ) опубликован 26 июля 2021 г.

Проектом ФЗ предлагается наконец регламентировать дефиницию государственной информационной системы (далее – ГИС), а также жизненный цикл информационной системы. В классификации информационных систем вводится деление на федеральные ГИС, региональные ГИС, муниципальные и иные информационные системы.

Лицензирование отдельных видов деятельности

Проект Постановления Правительства Российской Федерации «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности» был опубликован 27 июля 2021 г.

Основное предлагаемое изменение – запрет на осуществление лицензируемой деятельности иностранными юридическими лицами в области разработки криптографических СрЗИ и средств негласного получения информации. Предполагается вступление изменений в силу с 1 марта 2022 г.

Лицензирование деятельности ‎по технической защите конфиденциальной информации

Проект Постановления Правительства Российской Федерации «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79» опубликован 14 июля 2021 г.

Основные предлагаемые к внесению изменения:
• нельзя вести лицензируемый вид деятельности иностранным юридическим лицам;
• местом осуществления лицензируемого вида деятельности не могут являться помещения, здания, сооружения жилого назначения;
• соискатель лицензии может отозвать заявление о предоставлении лицензии до принятия лицензирующим органом решения о предоставлении лицензии или об отказе в ее предоставлении.

Государственный контроль в сфере электронной подписи

Постановление Правительства Российской Федерации от 29.06.2021 № 1044 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере электронной подписи» официально опубликовано и вступило в силу 1 июля 2021 г.

Государственный контроль (надзор) осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации. Государственный контроль (надзор) осуществляется без проведения плановых контрольных (надзорных) мероприятий, только посредством проведения внеплановых мероприятий: инспекционный визит; документарная проверка; выездная проверка.

Стандарт Банка России

Принят и введен в действие приказом Банка России от 23 июля 2021 г. № ОД-1536 Стандарт Банка России «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования» СТО БР ФАПИ.ПАОК-1.0-2021 (далее – Стандарт).

Стандарт рекомендован к использованию при создании и оценке соответствия программных средств, предназначенных для безопасного обмена финансовыми сообщениями в среде открытых банковских интерфейсов. Стандарт носит рекомендательный характер и предназначен для:
• участников получения информации о банковском счете (банки и их клиенты, а также сторонние поставщики);
• участников перевода денежных средств (банки и их клиенты, а также сторонние поставщики);
• разработчиков информационного и программного обеспечения, информационных систем.

Проекты ГОСТ

В июле 2021 г. ФСТЭК России представила сведения о национальных стандартах, разработанных в результате деятельности технического комитета по стандартизации «Защита информации» (ТК 362), а именно проекты трех ГОСТ:
• Проект национального стандарта ГОСТ Р. Управление инцидентами, связанными с безопасностью информации. Принципы менеджмента инцидентов;
• Проект национального стандарта ГОСТ Р. Управление инцидентами, связанными с безопасностью информации. Руководство по планированию и подготовке к реагированию на инциденты;
• Проект национального стандарта ГОСТ Р. Управление инцидентами, связанными с безопасностью информации. Руководство по реагированию на инциденты в сфере информационных и компьютерных технологий.