Обзор изменений в законодательстве за май 2021

12 июля 2021

Новости

Автор: Анастасия Заведенская, старший аналитик

В мае 2021 года ФСТЭК России сообщила об изменении процедур аттестации объектов информатизации, обрабатывающих информацию, составляющую государственную тайну. Официально опубликованы изменения в КоАП РФ, вносящие штрафные санкции за нарушение обеспечения безопасности КИИ, и приказы ФСБ России, касающиеся обращения с электронной подписью. Изменены сроки реализации требований, в т.ч. по защите информации, для систем оформления воздушных перевозок.

Аттестация объектов информатизации

Информационным сообщением от 29 апреля 2021 г. № 240/24/2087 ФСТЭК России сообщается об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, содержащей сведения, составляющие государственную тайну (далее — Порядок аттестации). В информационном письме отмечается, что Порядок аттестации был утвержден Приказом ФСТЭК России от 28 сентября 2020 г. № 110.

Порядок аттестации вступает в силу с 1 июня 2021 г. и отменяет действие следующих документов при организации и проведении работ по аттестации объектов информатизации, обрабатывающих информацию, содержащую государственную тайну:

Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.;
Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 5 января 1996 г. № 3;
ГОСТ Р 58189-2018 Защита информации. Требования к органам по аттестации объектов информатизации;
ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения.

С целью организации контроля за выполнением работ по аттестации объектов информатизации Порядком аттестации предусмотрено ведение ФСТЭК России единого реестра аттестованных объектов информатизации, а также представление организациями, проводившими аттестацию, материалов с результатами аттестационных испытаний каждого объекта информатизации в территориальные органы ФСТЭК России. В случае установления по результатам экспертизы указанных материалов факта несоответствия аттестованного объекта информатизации требованиям о защите информации действие аттестата соответствия может быть приостановлено до устранения выявленного несоответствия объекта информатизации установленным требованиям.

Перечень органов по аттестации и органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации, в соответствии с приказом ФСТЭК России от 28 сентября 2020 г. № 110, размещен на официальном сайте ФСТЭК России.

КоАП и КИИ

Федеральный закон от 26.05.2021 № 141-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – Федеральный закон) был официально опубликован 26 мая 2021 г.

Федеральный закон вступил в силу с 6 июня 2021 г., за исключением п.1 ст. 13.12 об ответственности за нарушение требований к созданию систем безопасности значимых объектов КИИ, он вступит в силу с 1 сентября 2021 г.

В рамках Федерального закона предлагается наделить полномочиями по рассмотрению дел об административных правонарушениях ФСТЭК России и ФСБ России.

Краткая сводка статей за нарушение обеспечения безопасности КИИ, вносимых в КоАП РФ, представлена в таблице ниже.

Правонарушитель	Административный штраф	Полномочный орган исполнительной власти	Административное правонарушение
Должностное лицо	От 10 тыс. руб. до 50 тыс. руб.	ФСТЭК России	нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния; непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ.
	От 10 тыс. руб. до 50 тыс. руб.	ФСБ России	нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ; непредставление или нарушение порядка, либо сроков представления информации, предусмотренной законодательством в области обеспечения безопасности КИИ, в ГосСОПКА.
	От 20 тыс. руб. до 50 тыс. руб.	ФСБ России	нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты.
	От 20 тыс. руб. до 50 тыс. руб.	ФСБ России
Юридическое лицо	От 50 тыс. руб. до 100 тыс. руб.	ФСТЭК России	нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния; непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ.
Юридическое лицо	От 100 тыс. руб. до 500 тыс. руб.	ФСБ России	нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ; нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты; непредставление или нарушение порядка, либо сроков представления информации, предусмотренной законодательством в области обеспечения безопасности КИИ, в ГосСОПКА.

Электронная подпись

На официальном интернет-портале правовой информации в мае 2021 года опубликованы приказы ФСБ России, устанавливающие требования к использованию электронной подписи:

Приказ ФСБ России от 13.04.2021 № 142 «О внесении изменения в приказ ФСБ России от 27 декабря 2011 г. № 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра"» (далее – Приказ ФСБ России № 142);
Приказ ФСБ России от 13.04.2021 № 143 «О внесении изменения в пункт 2 приказа ФСБ России от 4 декабря 2020 г. № 554 "Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи"» (далее – Приказ ФСБ России № 143);
Приказ ФСБ России от 13.04.2021 № 144 «О внесении изменения в пункт 2 приказа ФСБ России от 4 декабря 2020 г. № 556 "Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи "» (далее – Приказ ФСБ России № 144);
Приказ ФСБ России от 20.04.2021 № 154 «Об утверждении Правил подтверждения владения ключом электронной подписи» (далее – Приказ ФСБ России № 154).

Приказы ФСБ России № 142, № 143, № 144 ограничивают действия приказов, в которые они соответственно вносят изменения до 1 января 2027 г.

Приказ ФСБ России № 154 вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г., и регламентирует порядок проверки удостоверяющим центром соответствия ключа электронной подписи (далее – ЭП) ключу проверки ЭП, указанному лицом в заявлении на получение сертификата ключа проверки ЭП. Правила не распространяется на случаи, когда ключевая пара была создана удостоверяющим центром.

Автоматизированные информационные системы оформления воздушных перевозок

Постановление Правительства Российской Федерации от 30.04.2021 № 685 «О внесении изменения в постановление Правительства Российской Федерации от 24 июля 2019 г. № 955» (далее – ПП РФ № 685) было опубликовано 6 мая 2021 г.

Постановлением Правительства РФ от 24 июля 2019 г. № 955 были утверждены требования к автоматизированным информационным системам оформления воздушных перевозок (далее – АИС ОВП), к базам данных, входящим в их состав, к информационно-телекоммуникационным сетям, обеспечивающим работу указанных автоматизированных информационных систем, к их оператору, а также меры по защите информации, содержащейся в них, и порядку их функционирования. Постановление должно было вступить в силу с 31 октября 2021 г., однако ПП РФ № 685 срок сдвинут до 30 октября 2022 года.

Напомним, что основной акцент в контексте информационной безопасности Постановление Правительства РФ от 24 июля 2019 г. № 955 делает на защите обрабатываемых персональных данных (далее – ПДн) пассажиров и персонала (экипажа) транспортных средств:

При оформлении внутренних воздушных перевозок базы данных (далее – БД) и сервера, входящие в состав АИС ОВП, должны располагаться на территории РФ. Хотя допускается использование БД и серверов, расположенных вне территории РФ, но только при условии исключения обработки в них ПДн пассажиров, осуществляющих внутренний перелет.
Операторам и пользователям АИС ОВП необходимо контролировать соответствие трансграничной передачи ПДн пассажиров требованиям законодательства РФ и порядку, установленному договором между операторами и пользователями.
При передаче данных по общедоступным каналам связи обязательно применение сертифицированных средств криптографической защиты информации.

Назад к списку