Обзор изменений в законодательстве за ноябрь 2021

В ноябрьском обзоре за 2021 год рассмотрим изменения в положения о лицензировании отдельных видов деятельности в области защиты информации и о сертификации средств защиты, новеллы в части обработки персональных данных и фиксации административных правонарушений, связанных с ГосСОПКА. Немного поговорим о требованиях по защите информации при функционировании системы «112», новых дефинициях в части облачных технологий и вступлении в силу стандартов по ИБ.

Изменения в положения о лицензировании

Постановление Правительства РФ от 26 ноября 2021 г. № 2055 «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации» (далее – ПП по ТЗКИ) было опубликовано 29 ноября 2021 г.

ПП по ТЗКИ вносит изменения в Постановление Правительства РФ от 3 февраля 2012 г. № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» и вступает в силу с 1 марта 2022 г.

Согласно ПП по ТЗКИ:


• Иностранные юридические лица не смогут осуществлять деятельность по технической защите конфиденциальной информации (далее – ТЗКИ).
• Соискатель лицензии будет вправе отозвать свое заявление о предоставлении лицензии до принятия решения лицензирующим органом о предоставлении лицензии или об отказе в ее предоставлении.
• Лицензируемый вид деятельности нельзя осуществлять в помещениях, являющихся объектами жилого назначения.
• К составу документов для получения лицензии внесены уточнения в части подтверждения опыта и квалификации работников соискателя лицензии, наличия помещения для осуществления лицензируемого вида деятельности и подтверждения защищенности автоматизированных систем.
• Уточнено, что заявление о предоставлении лицензии (внесении изменений в реестр лицензий) и прилагаемые к нему документы соискатель лицензии (лицензиат) должен представлять в лицензирующий орган на бумажном носителе или заказным письмом (с уведомлением о вручении).
• Дополнено, что при организации и осуществлении лицензионного контроля положения Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» применяются до 31 декабря 2024 г.

Постановление Правительства РФ от 26 ноября 2021 г. № 2054 «О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» (далее – ПП по СЗКИ) также было опубликовано 29 ноября 2021 г.

ПП по СЗКИ вносит изменения в Постановление Правительства РФ от 3 марта 2012 г. № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации». Состав вносимых изменений по ПП по СЗКИ, которые также вступают в силу с 1 марта 2022 г., по большей мере аналогичен составу изменений рассмотренного выше ПП по ТЗКИ.

Изменения в положении о сертификации средств защиты информации

ФСТЭК России информационным сообщением от 10 ноября 2021 г. напоминает о внесении изменений в Положение о системе сертификации средств защиты информации (далее – СрЗИ), утвержденном Приказом ФСТЭК России от 3 апреля 2018 г. № 55.

Указанные изменения были внесены Приказом ФСТЭК России от 5 августа 2021 г. № 121 и вступили в силу 7 ноября 2021 г. Информационным письмом ФСТЭК России отмечает следующие основные изменения:

• установлен запрет на сертификацию СрЗИ иностранного производства, в отношении которых нормативными правовыми актами РФ установлены ограничения или запреты на их использование в РФ;
• отменен срок действия сертификата соответствия для единичного образца или партии СрЗИ. Определены условия, при которых серийно производимые СрЗИ считаются сертифицированными, в том числе после окончания срока действия сертификата соответствия;
• уточнен порядок отбора образцов (образца) СрЗИ для сертификационных испытаний;
• упразднена процедура предварительного рассмотрения образца СрЗИ и документации на него;
• изменен порядок маркирования сертифицированных СрЗИ;
• сокращен объем испытаний сертифицированных СрЗИ при продлении срока действия сертификата соответствия.

Порядок уничтожения персональных данных субъектом экспериментального правого режима

Приказ Минцифры от 29 сентября 2021 г. № 1015 «Об утверждении порядка уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима» (далее – Приказ Минцифры России) официально опубликован 29 ноября 2021 г.

Требования Приказа Минцифры России распространяются на субъектов экспериментального правового режима в сфере цифровых инноваций в случае прекращения такого статуса в соответствии с Федеральным законом от 31 июля 2020 г. № 258-ФЗ «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации».

В целом текст Приказа Минцифры России почти не изменился с его редакции в проекте, о требованиях которого мы говорили в обзоре за сентябрь 2021 г. Из основных требований отметим:

• для уничтожения обезличенных данных должны применяться средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;
• факт уничтожения обезличенных данных должен быть зафиксирован в акте об их уничтожении. Состав включаемой в акт информации также утвержден Приказом Минцифры России.

Индикаторы риска нарушения обязательных требований в сфере идентификации и (или) аутентификации

Минцифры России 9 ноября 2021 г. представило к общественному обсуждению проект Приказа «Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) в сфере идентификации и (или) аутентификации».

К индикаторам риска нарушения требований предлагается относить:


• 5 случаев технического сбоя в течение 14 календарных дней в работе аппаратно-шифровальных средств, используемых для оказания услуг по идентификации и (или) аутентификации;
• возникновение у аккредитованной организации более 10 ошибок в течение 14 календарных дней при определении степени взаимного соответствия предоставленных биометрических персональных данных (далее – ПДн) физического лица его биометрическим ПДн, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию;
• обнаружение атак на биометрическое предъявление в процессе прохождения идентификации и (или) аутентификации в течение 14 календарных дней.

Напомним, что порядок организации и осуществления государственного надзора в отношении аккредитованных организаций, осуществляющих идентификацию и (или) аутентификацию физических лиц с использованием их биометрических ПДн, определяется опубликованным в октябре¹ и вступающим в силу 1 января 2022 г. постановлением Правительства Российской Федерации от 11 октября 2021 г. № 1729 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации».

Порядок защиты информации при функционировании системы обеспечения вызова по единому номеру «112»

В ноябре 2021 г. Минцифры России опубликовало проект Приказа «Об определении порядка защиты сетей связи и информационных систем операторов связи от несанкционированного доступа к ним и передаваемой по ним информации при функционировании системы обеспечения вызова экстренных оперативных служб по единому номеру “112”» (далее – Проект приказа).

Проект приказа устанавливает требования по обеспечению информационной безопасности (далее – ИБ) и зоны разграничения ответственности при взаимодействии в системе обеспечения вызова экстренных оперативных служб по единому номеру «112» (далее – система-112) для операторов связи и операторов системы-112.

По Проекту приказа при защите сетей связи и информационных систем операторов связи при функционировании системы-112 применяются требования нормативно-правовых актов по обеспечению ИБ ПДн, критической информационной инфраструктуры и требований, предъявляемых к сетям связи.

Также отметим несколько положений Проекта приказа:

• при межсистемном взаимодействии системы-112 с информационными системами операторов связи должны применяться средства криптографической защиты информации, имеющие подтверждение соответствия требованиям ‎по безопасности информации, установленным федеральным органом исполнительной власти в области обеспечения безопасности, ‎по классу не ниже КС3;
• система-112 должна взаимодействовать с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА).

Административные нарушения, связанные с обеспечением функционирования ГосСОПКА

В конце ноября 2021 г. официально опубликован Приказ ФСБ России от 29 ноября 2021 № 472 «О внесении изменений в приказ ФСБ России от 11 декабря 2013 г. № 747 «Об утверждении Перечня должностных лиц органов федеральной службы безопасности, уполномоченных составлять протоколы об административных правонарушениях, и о реализации отдельных положений Кодекса Российской Федерации об административных правонарушениях в органах федеральной службы безопасности» и утвержденный этим приказом Перечень».

ФСБ России расширила перечень должностных лиц, уполномоченных составлять протоколы об административных правонарушениях, связанных с обеспечением функционирования ГосСОПКА (части 2 и 3 статьи 13.12.1 и часть 2 статьи 19.7.15 КоАП РФ).

Правовое регулирование облачных технологий

Также Минцифры России в ноябре 2021 г. подготовило и представило для общественного обсуждения проект внесения изменений в Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Проект изменений).

Проект изменения предлагает ввести в нормативное поле российского законодательства следующие понятия:

• государственная единая облачная платформа (далее – ГосОблако);
• облачные услуги;
• облачные вычисления;
• пользователи облачных услуг.

Проект изменений предлагает определить порядок отнесения компонентов к инфраструктуре ГосОблака, а также предполагается дальнейшая разработка требований к ГосОблакам, в т.ч. по ИБ.

Стандартизация в области ИБ

С 30 ноября 2021 г. введены в действия порядка 49 новых ГОСТов, связанных с защитой информации. Так, например, обновили и привели к соответствию с действующим на момент написания обзора стандартам ISO: ГОСТ Р ИСО/МЭК 27000-2021; ГОСТ Р ИСО/МЭК 27002-2021; ГОСТ Р ИСО/МЭК 27003-2021; ГОСТ Р ИСО/МЭК 27004-2021; ГОСТ Р ИСО/МЭК 27017-2021.

______________________
¹См. Пермякова Т. Обзор изменений в законодательстве. Октябрь – 2021 // Журнал «Information Security/ Информационная безопасность» №5, 2021, стр. 8-10.