Автор: Татьяна Пермякова, старший аналитик
В обзоре изменений за январь 2023 года рассмотрим: положение о государственной системе защиты информации, порядок запрещения или ограничения трансграничной передачи персональных данных, государственный контроль в единой биометрической системе, порядок оформления отказа от предоставления биометрических данных, аккредитация на право владения информационными системами с использованием векторов единой биометрической системы, изменения в рамках стандартизации в области информационной безопасности и другое.
Положение о государственной системе защиты информации
Для общественного обсуждения представлен проект Указа Президента Российской Федерации «Об утверждении Положения о государственной системе защиты информации в Российской Федерации».
Государственная система защиты информации (далее – ГСЗИ) создается в целях организации равнопрочной защиты информации, являющейся государственным ресурсом, а также с целью формирования единой организационной системы, функционирующей на общих правилах на федеральном, межрегиональном, региональном, ведомственном и объектовом уровнях на основе уже существующих структурных единиц, таких как:
- Федеральная служба по техническому и экспортному контролю РФ (далее – ФСТЭК России);
- Федеральная служба безопасности РФ (далее – ФСБ России);
- подразделения по защите информации федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, местного самоуправления и т.д.;
- научные организации по проблемам защиты информации;
- организации, осуществляющие создание средств защиты информации;
- организации, выполняющие работы и (или) оказывающие услуги в области защиты информации;
- органы по сертификации и испытательные центры (лаборатории), проводящие работы по сертификации (сертификационные испытания) средств защиты информации;
- организации, осуществляющие подготовку кадров в области защиты информации и т.д.
Среди основных направлений деятельности ГСЗИ:
- проведение единой политики в области защиты информации;
- координация деятельности участников системы на уровнях от объектового до федерального;
- прогнозирование, выявление и оценка угроз безопасности информации;
- обеспечение целостности и конфиденциальности обрабатываемой информации;
- создание и внедрение способов и методов защиты информации;
- контроль обеспечения защиты информации;
- подготовка кадров в области защиты информации.
ГСЗИ создается как комплексная организационная структура с распределенными зонами ответственности. Так, деятельность ГСЗИ организует ФСТЭК России во взаимодействии с ФСБ России.
В свою очередь, органы и организации реализуют общие политики защиты информации в ГСЗИ в зоне своей ответственности (в т.ч. в подведомственных организациях).
В формировании предложений по разработке и внедрению новых способов защиты, исследовании и прогнозировании угроз безопасности информации, формировании требований к средствам защиты и прочих исследовательских направлениях ГСЗИ активное участие принимают научные организации.
Уполномоченные федеральные органы исполнительной власти в пределах полномочий осуществляют методическое руководство деятельностью по подготовке, профессиональной переподготовке, повышению квалификации специалистов в области защиты информации.
Устанавливается также ответственность за координацию деятельности в области защиты информации на каждом уровне. Так на федеральном уровне координацию осуществляет Межведомственная комиссия Совета безопасности РФ.
Согласно проекту, ГСЗИ функционирует во взаимодействии с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА).
В область действия положения входят только организации, получившие на законных основаниях право доступа к информации, являющейся государственным ресурсом.
Согласно пояснительной записке, проект согласован с ФСБ России, Министерством обороны РФ и Службой внешней разведки РФ. Обсуждение проекта завершилось 6 февраля.
Положение о государственном контроле (ЕБС)
Опубликован проект постановления Правительства Российской Федерации «О внесении изменений в Положение о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации, утвержденное постановлением Правительства Российской Федерации от 11 октября 2021 г. № 1729», который разработан в целях приведения в соответствие требованиям Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации» (далее – 572-ФЗ).
Проектом предлагаются следующие изменения:
- уточнить терминологию в соответствии с 572-ФЗ, в том числе описание предмета государственного контроля;
- исключить плановые контрольные мероприятия в отношении объектов контроля, отнесенных к категории низкого риска;
- скорректировать описание критериев отнесения объектов федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации к категориям риска причинения вреда (ущерба) охраняемым законом ценностям (в описании всех групп тяжести предлагается оставить только осуществление аутентификации).
Обсуждение проекта завершилось 3 февраля.
Напомним, что в соответствии с 572-ФЗ Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) наделено полномочием по осуществлению контроля и надзора в сфере идентификации и (или) аутентификации не только в отношении аккредитованных организаций, осуществляющих аутентификацию на основе биометрических персональных данных (далее – ПДн) физических лиц, и аккредитованных государственных органов, но и в отношении Центрального банка Российской Федерации в случае прохождения им аккредитации. Кроме того, в 572-ФЗ установлен запрет на осуществление идентификации с использованием любых иных информационных систем, помимо единой биометрической системы (далее – ЕБС).
Правила принятия решения о запрещении или об ограничении трансграничной передачи ПДн
На основании уведомлений операторов ПДн
Постановлением утверждается порядок рассмотрения уведомлений операторов о намерении осуществлять трансграничную передачу ПДн и принятия решения о запрещении или об ограничении такой передачи в целях защиты нравственности, здоровья, прав и законных интересов граждан (ч.8 ст.12 152-ФЗ, редакция с 01.03.2023). Общий порядок и сроки взаимодействия операторов ПДн с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзором) в рамках принятия решения приведен на схеме.
Общий срок рассмотрения уведомлений не должен превышать 10 рабочих дней. В этот срок не входит время, в течение которого рассмотрение уведомления может быть приостановлено (при необходимости запроса дополнительных или недостающих сведений).
Если уточнение оператором уведомления требует направления запроса органам власти иностранного государства, иностранным физическим или юридическим лицам – срок корректировки уведомления оператором может быть продлен не более, чем на 5 рабочих дней.
Роскомнадзор вправе принять решение о запрещении трансграничной передачи ПДн в случаях, если:
- не обеспечивается безопасность ПДн и (или) не определены условия прекращения обработки ПДн при такой передаче;
- иностранное лицо, которому передаются ПДн, является организацией, деятельность которой запрещена или признана нежелательной на территории РФ;
- трансграничная передача и дальнейшая обработка не соответствует заявленным целям обработки ПДн;
- нарушены условия обработки ПДн, предусмотренные ст.6 152-ФЗ.
Роскомнадзор вправе принять решение об ограничении трансграничной передачи ПДн в случаях, если содержание и объем передаваемых ПДн или состав категорий субъектов ПДн не соответствуют заявленным целям обработки.
До получения такого решения или до истечения срока рассмотрения уведомления оператор вправе осуществлять трансграничную передачу в иностранные государства, обеспечивающие адекватную защиту ПДн (ч.10 ст.12 152-ФЗ, редакция с 01.03.2023). В остальных случаях оператор не вправе осуществлять трансграничную передачу до окончания рассмотрения уведомления.
Решение о запрещении или об ограничении трансграничной передачи может быть обжаловано в судебном порядке или вышестоящему должностному лицу Роскомнадзора.
Действие такого запрета распространяется только на трансграничную передачу, описанную в решении (ту, о которой уведомляет оператор). В случае получения решения о запрещении или об ограничении трансграничной передачи ПДн оператор вправе устранить выявленные недостатки и отправить повторное уведомление не ранее, чем через 10 рабочих дней.
Постановление вступает в силу с 1 марта.
По представлению федеральных органов исполнительной власти
Постановление утверждает правила принятия решения о запрещении или об ограничении трансграничной передачи ПДн на основании представлений уполномоченных федеральных органов исполнительной власти в рамках их полномочий (далее – уполномоченных органов) в целях:
- защиты основ конституционного строя РФ и безопасности государства;
- обеспечения обороны страны;
- защиты экономических и финансовых интересов РФ.
Представления направляются уполномоченными органами в случаях выявления оснований, свидетельствующих о необходимости запрещения или ограничения трансграничной передачи ПДн.
Порядок принятия решения о запрещении или об ограничении трансграничной передачи ПДн и оповещения о принятых решениях указан на схеме.
Оператор, получивший уведомление о принятом решении, вправе устранить выявленные недостатки и направить обращение в уполномоченный орган, вынесший представление, о снятии запрета или ограничения, приложив подтверждающие материалы. Такое обращение рассматривается уполномоченным органом до 20 рабочих дней. При принятии положительного решения уполномоченный орган выносит представление о прекращении действия запретов или ограничений на трансграничную передачу ПДн и направляет соответствующее уведомление в Роскомнадзор.
Постановление вступает в силу с 1 марта.
Проект федерального закона об обезличивании ПДн
Президент РФ Владимир Путин утвердил перечень поручений по итогам конференции «Путешествие в мир искусственного интеллекта», состоявшейся 23–24 ноября 2022 года. Одно из поручений включает рекомендацию Государственной Думе Федерального Собрания РФ ускорить рассмотрение проекта федерального закона, устанавливающего порядок обезличивания ПДн.
Срок исполнения поручения – 15 июля.
Правила отказа от сбора и размещения биометрии
Физическое лицо может представить отказ от предоставления данных или отзыв такого отказа при личном присутствии в многофункциональном центре предоставления государственных и муниципальных услуг (далее – МФЦ). Отказ или отзыв оформляются в письменном виде и подписываются физическим лицом собственноручно. Отказ или отзыв отказа в предоставлении ПДн несовершеннолетнего представляет его законный представитель. При этом необходимо предъявить документы:
- удостоверяющий личность;
- подтверждающий регистрацию в системе индивидуального (персонифицированного) учета (далее – СНИЛС);
- подтверждающий, что физическое лицо является законным представителем несовершеннолетнего (при оформлении такого отказа или отзыва).
Подтверждение представления отказа или отзыва отказа от МФЦ выдается физическому лицу также в письменном виде, документ подписывается сотрудником МФЦ собственноручно. Далее в течение одного календарного дня МФЦ передает оператору ЕБС СНИЛС физического лица, представившего отказ или отзыв отказа, или несовершеннолетнего, в отношении которого представлен отказ или отзыв отказа. В свою очередь оператор ЕБС, получивший от МФЦ подтверждение представленного субъектом ПДн отказа в предоставлении биометрических данных в соответствии с ч.18 ст.3 572-ФЗ блокирует, удаляет, уничтожает биометрические ПДн и (или) векторы ЕБС и вправе продолжить обработку данных только после получения подтверждения об отзыве физическим лицом своего отказа.
Постановление утверждает формы отказа, отзыва отказа физических лиц, а также подтверждения МФЦ отказа или отзыва отказа в предоставлении данных.
После утверждения постановление вступит в силу с 1 июня. Общественное обсуждение проекта завершилось 2 февраля.
Аккредитация государственных органов и Центрального банка РФ
Для прохождения аккредитации государственные органы и Центральный Банк РФ (далее – ЦБ РФ) должны соответствовать ряду требований, среди которых:
- применение мер по обеспечению безопасности ПДн в соответствии со 152-ФЗ;
- наличие права собственности или вещного права на шифровальные (криптографические) средства, применяемые для осуществления аутентификации с использованием векторов ЕБС, имеющие подтверждение соответствия требованиям безопасности, а также наличие законного права на их использование;
- наличие в штате не менее 2 работников, непосредственно осуществляющих эксплуатацию информационной системы, имеющих высшее образование в области информационных технологий или информационной безопасности;
- обеспечение взаимодействия с ГосСОПКА;
- использование для обработки ПДн программного обеспечения, включенного в единый реестр российского программного обеспечения;
- использование для обработки ПДн баз данных, размещенных исключительно на территории РФ.
Проектом также предлагается ряд требований к организациям, привлекаемым государственными органами и ЦБ РФ в качестве операторов информационных систем, обеспечивающих аутентификацию физических лиц с использованием векторов ЕБС. Частично требования пересекаются с требованиями к государственным органам и ЦБ РФ для аккредитации, однако помимо прочего содержат:
- наличие лицензии на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств;
- организация не является иностранным юридическим лицом, а также юридическим лицом, в уставном (складочном) капитале которого доля участия иностранных юридических лиц превышает 49%;
- соответствие требованиям к деловой репутации единоличного исполнительного органа, а также членов коллегиального исполнительного органа и (или) физических лиц;
- отсутствие записи о недостоверности сведений о юридическом лице в едином государственном реестре юридических лиц;
- в течение последних 3 лет отсутствует досрочное прекращение аккредитации;
- а также требования к единоличному исполнительному органу:
- гражданство РФ;
- отсутствие сведений о причастности к экстремистской деятельности или терроризму;
- отсутствие неснятой или непогашенной судимости;
- отсутствие за последние 5 лет привлечения к уголовной ответственности за незаконное получение или разглашение сведений, составляющих государственную, коммерческую, банковскую или налоговую тайну.
Проектом также предлагается утвердить порядок прохождения государственными органами и ЦБ РФ аккредитации. Напомним, что такую аккредитацию осуществляет Минцифры России.
После утверждения постановление вступит в силу с 1 июня. Публичное обсуждение проекта завершилось 13 февраля.
Отмена административных регламентов ФСБ России
ФСБ России опубликовала ряд проектов приказов об отмене своих административных регламентов:
Проектом 01/02/01-23/00135148 предлагается отменить Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны;
Проектом 01/02/01-23/00135151 предлагается отменить:
- Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению лицензионного контроля деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
- Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению лицензионного контроля деятельности по разработке и производству средств защиты конфиденциальной информации.
Проектом 01/02/01-23/00135067 предлагается отменить:
- Административный регламент Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны;
- Административный регламент Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации;
- Административный регламент Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по лицензированию деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
Общественное обсуждение проектов завершилось 1 февраля.
Рекомендации по обеспечению безопасной настройки операционных систем Linux
На сайте ФСТЭК России опубликован Методический документ «Рекомендации по обеспечению безопасной настройки операционных систем Linux».
Документ содержит рекомендации по настройке операционных систем Linux. Рекомендации направлены на повышение защищенности информационных (автоматизированных) систем, построенных с использованием операционных систем Linux и включают описание выполнения процедур:
- настройка авторизации в операционной системе;
- ограничение механизмов получения привилегий;
- настройка прав доступа к объектам файловой системы;
- настройка механизмов защиты ядра Linux;
- уменьшение периметра атаки ядра Linux;
- настройка средств защиты пользовательского пространства со стороны ядра Linux.
Стандарты в области информационной безопасности
Криптографическая защита
С 1 января 2023 года введен в действие предварительный национальный стандарт Российской Федерации ПНСТ 799-2022 «Информационные технологии. Криптографическая защита информации. Термины и определения». Стандарт устанавливает термины и определения, применяемые при проведении работ по стандартизации в области криптографической защиты информации.
Также с 1 января 2023 года введены в действие рекомендации по стандартизации Р 1323565.1.043–2022 «Информационная технология. Криптографическая защита информации. Контрольные примеры использования российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3)».
Рекомендации предназначены для проверки корректности реализации протокола безопасности транспортного уровня TLS 1.3, описанного в Р 1323565.1.030, с алгоритмами, определяемыми российскими государственными криптографическими стандартами. Документ содержит описание сценариев работы протокола, необходимых для проверки возможных режимов работы протокола, а также соответствующие данным сценариям контрольные примеры.
Документы разработаны в рамках работы технического комитета по стандартизации «Криптографическая защита информации» (ТК 26).
Уровни доверия идентификации
С 1 января вступил в действие ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации».
Стандарт устанавливает единообразную организацию процесса и правила идентификации и аутентификации субъектов и объектов доступа в средствах защиты информации, средствах вычислительной техники и автоматизированных (информационных) системах.
Согласно стандарту идентификация должна включать:
- первичную идентификацию (однократно при регистрации субъекта доступа);
- хранение и поддержание в актуальном состоянии идентификационной информации;
- вторичную идентификацию (повторяется каждый раз при запросе субъектом доступа к объекту).
Под уровнем доверия понимается соответствующая установленной шкале степень уверенности в том, что оцениваемый объект соответствует целям безопасности. Стандартом устанавливаются три уровня доверия: низкий, средний и высокий. При низком уровне доверия имеется некоторая уверенность в том, что идентификационные данные действительно принадлежат субъекту доступа, при среднем – умеренная, а при высоком – значительная уверенность. При этом для каждого уровня стандартом уточняются критерии к существованию и достоверности идентификационных сведений.
Стандарт также устанавливает состав участников процесса идентификации, состав идентификационной информации, присваиваемой и проверяемой на каждом этапе идентификации, и требования к ее подтверждению.
Требования по безопасности информации к средствам виртуализации
ФСТЭК России сообщением №240/24/169 от 20.01.2023 информирует об утверждении Требований по безопасности информации к средствам виртуализации (утв. приказом ФСТЭК России от 27.10.2022 № 187).
Документ предназначен для организаций, осуществляющих разработку средств виртуализации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.
Требования применяются к средствам виртуализации, реализующим функциональные возможности по созданию образов виртуальных машин, формированию среды выполнения виртуальных машин, запуску виртуальных машин и управлению ими, по идентификации и аутентификации пользователей в средстве виртуализации и централизованному управлению образами виртуальных машин, виртуальными машинами и организацией взаимодействия между виртуальными машинами. Документ включает требования по безопасности информации, предъявляемые к:
- уровню доверия средства виртуализации;
- хостовой операционной системе, в среде которой функционирует средство виртуализации;
- составу функций безопасности средства виртуализации; доверенной загрузке виртуальных машин;
- контролю целостности в средстве виртуализации;
- регистрации событий безопасности в средстве виртуализации;
- управлению доступом в средстве виртуализации;
- управлению потоками информации в средстве виртуализации;
- защите памяти;
- ограничению программной среды;
- резервному копированию виртуальных машин;
- идентификации и аутентификации пользователей в средстве виртуализации;
- централизованному управлению образами виртуальных машин и виртуальными машинами.
На сайте ФСТЭК России опубликована выписка из требований, полный текст документа можно получить по обращению в установленном ФСТЭК России порядке.
Деятельность ТК 362
Опубликована справка-доклад о ходе работ по плану Технического комитета по стандартизации «Защита информации» (ТК 362) по состоянию на 31.01.2023. Справка содержит отчетность по организационным вопросам комитета. Согласно справке в январе 2023 года подготовлены проекты:
- первой редакции ГОСТ Р ИСО/МЭК 27001 «Информационная безопасность, кибербезопасность и защита частной жизни. Система управления информационной безопасностью. Требования»;
- национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведения статического анализа программного обеспечения».
- Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Общие положения.
- Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Шаблоны проектирования.
- Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Методология разработки.
- Защита информации. Система организации и управления защитой информации. Общие положения.
- Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности.
- Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
- Защита информации. Формальная модель управления доступом. Рекомендации по разработке.
- Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации.
- Защита информации. Формальная модель управления доступом. Рекомендации по верификации формальных описаний модулей средства защиты, реализующих политики управления доступом.
- Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией.
- Защита информации. Техника защиты информации. Номенклатура показателей качества.
- Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования.
- Защита информации. Основные термины и определения.