Обзор изменений в законодательстве за март 2021

В мартовском обзоре изменений законодательства за 2021 год рассмотрим предлагаемые изменения в системе сертификации средств защиты от ФСТЭК России, вступившие в силу изменения в законодательство о персональных данных, а также проект требования к новой информационной системе РКН. Немного поговорим об увеличении срока согласования надзорными органами документации на ГИС, о форме квалифицированного сертификата ключа проверки ЭП и об аналитике по компьютерным атакам от Банка России.

Изменения в системе сертификации ФСТЭК России

ФСТЭК России 22 марта 2021 года представила к общественному обсуждению Проект приказа «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55» (далее – Проект приказа).

Проектом приказа предусмотрено внесение изменений в систему сертификации ФСТЭК России, направленных на уточнение требований при сертификации средств защиты информации (далее – СрЗИ) и маркировании СрЗИ. Приведем некоторые из проектных изменений:

• Прямо указано, что серийно производимые СрЗИ считаются сертифицированными, если они произведены в период срока действия сертификата соответствия. Также отмечается что обязательным условием действия сертификата соответствия является наличие технической поддержки.
• Из требований предлагается исключить дефиницию «знаки соответствия», заменив ее «идентификаторами», регламентированного содержания по наличию групп знаков. Таким образом, предлагается упразднить процедуру маркирования производимых сертифицированных СрЗИ специальными защитными знаками, выдаваемыми ФСТЭК России.

Позднее, 8 апреля 2021 года, Проект приказа был повторно опубликован в несколько иной форме. Упомянутые выше изменения все также остались актуальными, однако дополнительно появилось требование о ежегодном отчете Заявителями во ФСТЭК России по произведенным и (или) промаркированным сертифицированным СрЗИ. Также предлагается проводить сертификационные испытания по сокращенной программе при продлении срока действия сертификата.

Изменения в законодательстве о персональных данных

С 1 марта в законную силу вступил Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных» от 30.12.2020 № 519-ФЗ, меняющий понятийный аппарат Федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ, обзор которого мы делали в обзоре за январь.

Кроме того, с 27.03.2021 вступили в силу изменения в ст. 13.11 КоАП РФ, устанавливающую ответственность за нарушение требований по обработке персональных данных:

• все штрафы увеличены ровно в 2 раза;
• добавлено 3 новых состава, т.н. «рецидивы» (повторное совершение административного правонарушения);
• удалена такая мера административного наказания, как «предупреждение».

Информационная система Роскомнадзора

В марте 2021 г. Роскомнадзор опубликовал Проект ведомственного приказа «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (далее – Проект приказа РКН). Изначальная версия проекта данного приказа получила большое количество отрицательных предложений по итогам размещения текста проекта, ввиду чего было принято решение о доработке проекта приказа.

Напомним, что Проект приказа направлен на реализацию ст.10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», вступившей в силу 1 марта 2021 года. Согласно данной статье с 1 июля 2021 г. согласие на обработку персональных данных (далее – ПДн), разрешенных субъектом ПДн для распространения, может быть предоставлено оператору с использованием информационной системы Роскомнадзора (далее – ИС). Проект приказа РКН как раз устанавливает правила использования данной ИС. Стоит отметить также, что на момент написания обзора изменений законодательства ИС еще не введена в действие.

ИС должна обеспечить:

• возможность подачи и отзыва согласия субъектом ПДн;
• возможность приема и получения согласия оператором;
• формирование реестра записей о поданных, полученных и отозванных согласиях, в том числе в личных кабинетах участников взаимодействия;
• формирование и направление участникам взаимодействия уведомлений о подаче, приеме, отзыве согласий;
• возможность обмена информацией о результатах взаимодействия между участниками;
• возможность направления должностными лицами Роскомнадзора запросов или требований об устранении выявленных нарушений в области ПДн участникам взаимодействия;
• формирование Роскомнадзором – оператором ИС реестра записей о результатах рассмотрения запросов и исполнения требований об устранении выявленных нарушений в области ПДн участниками взаимодействия;
• получение уведомлений от участников взаимодействия об устранении нарушений в области ПДн, направленных в электронном виде.

Увеличение сроков согласования документации для государственных информационных систем

Минцифры России 25 марта 2021 г. опубликовало Проект постановления Правительства РФ «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» (далее – Проект Постановления).

Проектом постановления предусматривается увеличение срока рассмотрения Минцифры России, ФСБ России и ФСТЭК России технических зданий на создание государственных информационных систем, а также срока рассмотрения ФСБ России и ФСТЭК России моделей угроз безопасности информации с 10 до 20 рабочих дней.

Форма квалифицированного сертификата ключа проверки электронной подписи

9 марта 2021 года официально опубликован Приказ ФСБ России от 29.01.2021 № 31 «О внесении изменений в приказ ФСБ России от 27 декабря 2011 г. № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи» (далее – Приказ ФСБ России № 31). Приказ ФСБ России № 31 вступает в силу с 01.09.2021 и действует до 01.09.2027.

Согласно Приказу ФСБ России № 31 форма квалифицированного сертификата ключа проверки электронной подписи (далее – ЭП) приведена к актуальным требованиям в законодательстве. Так, например, в сертификат включена информация об ОГРН индивидуального предпринимателя (в соответствующем случае). Также в форме добавилось разделение на российские и не российские юридические лица, и появилось указание в идентификаторе ключа проверки ЭП на то, что он выдан при личном присутствии или идентификация лица производилась удаленно.

Аналитика Банка России

В марте 2021 года Банк России опубликовал обзор «Основных типов компьютерных атак в кредитно-финансовой сфере в 2019-2020 годах».

Обзор содержит аналитику как по атакам на сами организации кредитно-финансового сферы, так и на их клиентов. В обзоре рассмотрены атаки с использованием вредоносного программного обеспечения, программ-шифровальщиков, методов социальной инженерии, атаки типа «отказ в обслуживании» и атаки на банкоматы. Также даются рекомендации по предотвращению компьютерных атак от ФинЦЕРТ (Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере Департамента информационной безопасности Банка России).