Обзор изменений в законодательстве за июнь 2021

ФСТЭК России

Средства безопасной дистанционной работы

Информационным сообщением от 23 июня 2021 г. № 240/24/3057 ФСТЭК России сообщает об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах (далее – Требования). Требования утверждены Приказом ФСТЭК России от 16 февраля 2021 г. № 32.

К средствам обеспечения безопасной дистанционной работы в информационных системах (ИС)/автоматизированных системах (АC) (далее – средства дистанционной работы) относятся средства защиты информации, использующие средства вычислительной техники, не входящие в состав указанных ИС/АС. Требования носят ограничительную пометку «Для служебного пользования» и согласно информационному письму предназначены для организаций, осуществляющих работы по созданию средств дистанционной работы, а также для испытательных лабораторий и органов по сертификации. Обеспечение федеральных органов исполнительной власти, органов государственной власти субъектов РФ, органов местного самоуправления и организаций Требованиями производится в соответствии с Порядком обеспечения, размещенном на официальном сайте ФСТЭК России. Стоит также отметить, что в июне 2021 г. ФСТЭК России разместили на своем сайте обновленный методический материал об обеспечение методическими документами.

Средства дистанционной работы не имеют дифференциации и должны иметь единообразную конфигурацию вне зависимости от категории значимости объектов критической информационной инфраструктуры (далее – КИИ), класса государственных информационных систем, класса защищенности автоматизированных систем управления производственными и/или технологическими процессами, уровня защищенности информационных систем персональных данных (далее – ПДн).

Субъекты КИИ в сфере здравоохранения

Информационным сообщением от 18 июня 2021 г. N 240/82/1037 ФСТЭК России рекомендует порядок представления субъектами КИИ, осуществляющих деятельность в сфере здравоохранения, перечней объектов КИИ, подлежащих категорированию (далее – перечни), сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий (далее – сведения).

Согласно информационному письму рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России для субъектов КИИ, являющихся федеральными органами исполнительной власти, а также федеральными учреждениями здравоохранения. Управления ФСТЭК России по федеральному округу, на территории которых расположены соответствующие субъекты КИИ, осуществляют рассмотрение документов субъектов КИИ, являющихся органами власти субъектов РФ, учреждениями здравоохранения, подведомственными органам власти субъектов РФ, а также самостоятельными юридическими лицами.

Постановление Правительства Российской Федерации от 31.05.2021 № 837 «О внесении изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» (далее – ПП РФ № 837) официально опубликовано 1 июня 2021 г.

ПП РФ № 837 увеличивает срок рассмотрения Минцифры России, ФСБ России и ФСТЭК России технических заданий на создание государственных информационных систем, а также срок рассмотрения ФСБ России и ФСТЭК России моделей угроз безопасности информации с 10 до 20 рабочих дней.

Государственный контроль (надзор)

Федеральный закон от 11.06.2021 № 170-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации"» (далее – ФЗ № 170) официально опубликован 11 июня 2021 г. и вступает в силу 1 июля 2021 г., за исключением отдельных положений, вступающих в силу в иные сроки.

ФЗ № 170 в том числе вносит изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152), в частности, дополняя его статьей 23.1. «Федеральный государственный контроль (надзор) за обработкой ПД». В статье также дается ссылка на положение о федеральном государственном контроле (надзоре) за обработкой ПДн, о котором мы поговорим далее.

Постановление Правительства Российской Федерации от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» (далее – ПП РФ № 1046) официально опубликовано 30 июня 2021 г.

ПП РФ № 1046 вступает в силу с 1 июля 2021 г. и утверждает Положение, устанавливающее порядок организации и осуществления государственного контроля (надзора) за обработкой ПДн. Как и ранее, реализация полномочий контрольно-надзорного органа осуществляется Роскомнадзором. Ранее действующее постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» признано утратившим силу.

Федеральный государственный контроль (надзор) осуществляется посредством проведения следующих контрольных (надзорных) мероприятий:

• инспекционный визит;
• документарная проверка;
• выездная проверка.

При этом согласно ПП РФ № 1046 Роскомнадзор может осуществлять мероприятия по контролю без взаимодействия с контролируемым лицом в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.

Для осуществления контроля (надзора) за обработкой вводится система оценки и управления рисками. При осуществлении контроля (надзора) поднадзорные объекты классифицируются по одной из следующих категорий риска причинения вреда (ущерба) (далее – категории риска): высокий риск; значительный риск; средний риск; умеренный риск; низкий риск.

Отнесение деятельности контролируемого лица к определенной категории риска основывается на соотнесении группы тяжести и группы вероятности согласно таблице:

При этом определение групп тяжести и вероятности осуществляется на основании факторов, приведенных в таблице ниже:

Единая биометрическая система

ФСБ России представила к общественному обсуждению Проект постановления Правительства Российской Федерации «О порядке осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями, нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ, организационных и технических мер по обеспечению безопасности персональных данных с использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ» (далее – Проект ПП РФ). Общественные обсуждения пройдут до 15 июля 2021 г.

Проект ПП РФ направлен на определение порядка осуществления ФСБ России и ФСТЭК России мероприятий по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн и использованием СрЗИ в единой биометрической системе (ЕБС). Контроль проводится в целях проверки соблюдения государственными органами, органами местного самоуправления, организациями, индивидуальными предпринимателями и нотариусами требований по обеспечению безопасности ПДн.

В июне 2021 г. Минцифры России представило Проект ведомственного приказа «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации» (далее – проект Приказа).

Фактически проект Приказа направлен на замену приказа Минцифры России ‎от 25 июня 2018 г. № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения

В конце июня 2021 г. на сайте Роскомнадзора опубликована информация о действии с 1 июля 2021 г. сервиса для операторов ПДн, позволяющего оператору ПДн подготовить шаблон формы согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, с учетом профессиональной специфики деятельности оператора.

Сформированный шаблон формы согласия оператор по желанию может направить в Роскомнадзор для получения рекомендаций по формированию такого согласия. Полученные рекомендации Роскомнадзора можно учесть при использовании указанного шаблона для непосредственного получения согласия от субъекта ПДн в соответствии с п.1 ч.6 ст.10.1 ФЗ № 152.

Напомним, что с 1 сентября 2021 г. для операторов вступают в силу обязательные требования к форме согласия на обработку ПДн, разрешенных для распространения. Обязанность операторов получать отдельное согласие гражданина на распространение его ПДн установлена Федеральным законом от 30 декабря 2020 г. № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», который вступил в силу 1 марта 2021 г.

Электронная подпись (ЭП)

Приказ ФСБ России от 01.05.2021 № 171 «Об утверждении организационно-технических требований в области информационной безопасности к доверенным лицам удостоверяющего центра федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц» (далее – Приказ ФСБ России № 171) официально опубликован 1 июня 2021 г. Приказ ФСБ России № 171 вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г.

Ниже приведем несколько требований по информационной безопасности к доверенным лицам согласно Приказу ФСБ России № 171:

• обеспечение контролируемой зоны в зданиях и помещениях, предназначенных для размещения технических средств, обеспечивающих выполнение доверенным лицом своих функций;
• организация и ведение учета машинных носителей информации, используемых средствами криптографической защиты информации (далее — СКЗИ), включая средства ЭП, а также обеспечение их защиты от несанкционированного доступа;
• соблюдение требований эксплуатационной документации на используемые СКЗИ, включая средства ЭП;
• применение для выполнения возложенных на доверенное лицо функций ИС, аттестованных на соответствие Требованиям o защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г . № 17;
• разработка, введение и утверждение локальных актов, регламентирующих меры реализации требований по информационной безопасности.

Банк России

Кредитные организации

В июне 2021 г. Банк России опубликовал проект Указания «О внесении изменений в Положение Банка России от 17 апреля 2019 года № 683-П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента” (683-П)» (далее – Указания). Предполагается, что изменения, вносимые Указанием в 683-П, должны будут вступить в силу с 1 апреля 2022 г.

Приведем несколько основных пунктов изменений 683-П, предлагаемых Указанием:

• Требования по сертификации программного обеспечения (далее – ПО) по требованиям ФСТЭК России уточнены и унифицированы с Положением Банка России от 4 июня 2020 г. № 719 «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
• Усилены требования по оценке соответствия прикладного ПО, также зафиксирована возможность для кредитных организаций самостоятельно выбирать, как провести оценку соответствия прикладного ПО – самостоятельно или с привлечением лицензиатов ФСТЭК России по технической защите конфиденциальной информации.
• Уточнены требования по идентификации устройств клиентов, в том числе при организации удаленного доступа, а также требования по мониторингу поведения клиентов, осуществляющих операции с мобильных устройств.
• Уточнено, что кредитные организации должны осуществлять информирование Банка России не только о выявленных инцидентах защиты информации, но и о предпринятых мерах по реагированию на инцидент.

Некредитные финансовые организации

Положение Банка России от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – 757-П) официально опубликовано 22 июня 2021 г. 757-П вступило в силу 3 июля 2021 г. (за исключением отдельных положений) и отменило предыдущее Положение Банка России от 17 апреля 2019 г. № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

Основные изменения вносимые 757-П для некредитных финансовых организаций:

• Изменились критерии исполнения ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.1): произошло перераспределение, какие организации какой уровень защиты по ГОСТ Р 57580.1 должны реализовать. Для части организаций понижен уровень соответствия со второго (стандартного) до третьего (минимального) уровня по ГОСТ Р 57580.1, а регистраторы финансовых транзакций должны соответствовать первому (усиленному) уровню по ГОСТ Р 57580.1 (с 1 января 2022 г.). Добавились требования для организаций по соответствию третьему (минимальному) уровню по ГОСТ Р 57580.1.
• Определять уровень защиты информации нужно теперь не позднее 10 рабочего дня в году (ранее была формулировка о первом рабочем дне).
• Оценка соответствия по ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» (далее – ГОСТ Р 57580.2-2018) обязательна только для организаций, реализующих усиленный или стандартный уровень защиты информации по ГОСТ Р 57580.1.
• Добавлено уточнение, что в случае выявления уязвимостей информационной безопасности по результатам анализа уязвимостей или тестирования на проникновение, организации, реализующие усиленный и стандартный уровни защиты информации, должны устранять выявленные уязвимости.
• Как и для всех положений Банка России, приведены уточнения по сертификации ПО в системе сертификации ФСТЭК России или оценке соответствия. Оценка соответствия ПО может проводится как самостоятельно, так и с привлечением лицензиата ФСТЭК России по технической защите конфиденциальной информации.

Бюро кредитных историй

Проект Положения Банка России «О требованиях к обеспечению бюро кредитных историй защиты информации» был опубликован 21 июня 2021 г (далее – Проект Положения). Предполагается, что Проект Положения должен вступить в силу с 1 октября 2022 г., за исключением некоторых пунктов.

Проект Положения схож по своей концепции и требованиям с другими нормативными актами Банка России по защите информации. Бюро кредитных историй должны будут обеспечивать выполнение ГОСТ Р 57580.1, осуществление оценки соответствия по ГОСТ Р 57580.2-2018, использование сертифицированного ПО или ПО, в отношение которого проведена оценка соответствия, уведомление Банка России об инцидентах защиты информации и т.д.

Административная ответственность

Предоставление персональных данных

В Госдуму внесен законопроект «О внесении изменения в статью 14.8 Кодекса Российской Федерации об административных правонарушениях (об установлении административной ответственности за отказ в заключении договора с потребителем в случае отказа предоставить персональные данные)» (далее – Законопроект).

Законопроект призван ограничить практику принудительного предоставления ПДн потребителями для целей, не связанных с заключением, изменением, расторжением и исполнением договора купли-продажи, оказания услуг (выполнения работ), путем установления административной ответственности. Штраф для должностных лиц предлагается в размере от пяти тысяч до десяти тысяч рублей; на юридических лиц – от тридцати тысяч до пятидесяти тысяч рублей.

Информация ограниченного доступа

Федеральный закон от 11.06.2021 № 206-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – ФЗ № 206) официально опубликован 11 июня 2021 г.

ФЗ № 206 вносит изменения в КоАП РФ, предусматривающие усиление административной ответственности за разглашение информации с ограниченным доступом, а также вводится новый состав правонарушения, которым устанавливается ответственность за незаконное получение информации с ограниченным доступом. Краткая сводка вносимых в КоАП РФ изменений по части информации с ограниченным доступом представлена в таблице ниже.