Автор: Анастасия Заведенская, старший аналитик
В обзоре изменений за апрель 2022 г. рассмотрим: информационные письма ФСТЭК России в части отмены уплаты госпошлины при получении лицензий и порядка предоставления аттестационных материалов; изменения в правила ведения реестра значимых объектов КИИ; создание Межведомственной комиссии при Совете Безопасности РФ по вопросам в сфере КИИ; нормативное регулирование при использовании ПДн для идентификации и (или) аутентификации; проект изменений в федеральном законе о ПДн.
Отмена госпошлины на лицензии ФСТЭК России
На официальном сайте ФСТЭК России опубликовано информационным сообщением от 25.03.2022 № 240/13/1561 «Об отмене оплаты государственной пошлины в рамках оказания государственных услуг за предоставление лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации в 2022 году».
ФСТЭК России сообщает, что с 12 марта по 31 декабря 2022 г. отменены государственные пошлины за предоставление лицензий:
- на деятельность по технической защите конфиденциальной информации;
- деятельность по разработке и производству средств защиты конфиденциальной информации.
В апреле 2022 г. официально опубликован Указ Президента Российской Федерации от 14.04.2022 № 203 «О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации» (далее – Указ Президента РФ № 203). Указом Президента РФ № 203 образована Межведомственная комиссия Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации (далее – КИИ). Председателем комиссии назначен Заместитель Председателя Совета Безопасности Российской Федерации. В состав комиссии также включены директора ФСТЭК России и ФСБ России.
Реестр значимых объектов КИИ
Официально опубликован приказ ФСТЭК России от 10.02.2022 № 26 «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227» (далее – Приказ ФСТЭК России № 26).
Согласно изменениям, вносимым Приказом ФСТЭК России № 26, в порядке ведения реестра значимых объектов КИИ меняется следующее:
- разнесены по разным группам значимые объекты КИИ, функционирующие в энергетике и топливно-энергетическом комплексе;
- субъекты КИИ должны направлять измененные сведения в ФСТЭК России не позднее 20 рабочих дней со дня их изменения на бумажном и электронном носителях. Напомним, что аналогичные изменения уже были внесены в Правила категорирования объектов КИИ Постановлением Правительства Российской Федерации от 24.12.2021 №2431 «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации»;
- сведения из реестра теперь будут предоставляться государственным органам или российским юридическим лицам, выполняющим функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в сферах КИИ, не только по запросам, но и на ежеквартальной основе.
Разъяснения ФСТЭК России по порядку аттестации
Официально опубликовано информационное сообщение ФСТЭК России от 11.04.2022 № 240/24/1950 «О порядке представления документов по аттестации объектов информации, обрабатывающих информацию ограниченного доступа, не составляющей государственную тайну».
Напомним, что в соответствии с пунктом 27 Приказа ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (далее – Приказ ФСТЭК России № 77) орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия должен представить в территориальный орган ФСТЭК России в электронном виде копии ряда аттестационных документов.
В целях разъяснения порядка и формы представления указанных материалов ФСТЭК России сообщает в информационном письме следующее:
- Материалы с результатами аттестации федеральных государственных информационных систем (далее – ГИС) необходимо представлять в центральный аппарат ФСТЭК России.
- Материалы с результатами аттестации региональных ГИС и иных объектов информатизации необходимо направлять в управление ФСТЭК России по федеральному округу, на территории которого расположены объекты информатизации.
- Представление копий документов осуществляется почтовым отправлением. Представление материалов с использованием электронной почты не допускается. К письму необходимо прилагать машинный носитель информации (оптический диск или иной носитель), содержащий файлы с электронными копиями (образами).
- Порядок аттестации распространяется на аттестацию на соответствие требованиям по защите информации объектов информатизации, указанных в пункте 3 Приказа ФСТЭК России № 77. К таким объектам информатизации относятся: государственные и муниципальные информационные системы; информационных систем управления производством, используемые организациями оборонно-промышленного комплекса, в том числе автоматизированные системы станков с числовым программным управлением; защищаемые помещения; значимые объекты КИИ; информационные системы персональных данных (далее – ПДн); автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Аттестация иных объектов информатизации проводится в соответствии с Приказом ФСТЭК России № 77 по решению владельца объекта информатизации. В случае принятия такого решения положения Порядка аттестации должны реализовываться в полном объеме за исключением пунктов 27 и 32 Порядка аттестации – это пункты, устанавливающие требования по отправке аттестационных материалов во ФСТЭК России органами по аттестации и представлению владельцами объектов информатизации в ФСТЭК России протоколов контроля защиты информации на аттестованных объектах.
Контрольные вопросы Минцифры России в сфере идентификации и (или) аутентификации
Приказ Минцифры России от 25.02.2022 № 142 «Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации» (далее – Приказ Минцифры № 142) был официально опубликован 15 апреля 2022 г. Приказ Минцифры № 142 вступает в силу с 1 сентября 2022 г.
Приказ Минцифры № 142 направлен на установление контрольных вопросов при проверке выполнения требований статьи 14.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – № 149 ФЗ) в части использования ПДн при идентификации и (или) аутентификации.
Также, 5 апреля 2022 г. Минцифры России опубликовало для общественного обсуждения проект Постановления Правительства РФ «Об утверждении Требований для прохождения аккредитации государственных органов, являющихся владельцами и (или) операторами государственных информационных систем, с применением которых осуществляется идентификация и (или) аутентификация, а также Правил прохождения такой аккредитации» (далее – Проект ПП РФ).
Проект ПП РФ разработан во исполнение части 18.14 статьи 14.1 № 149-ФЗ, которой предусмотрено, что в случае, если для реализации установленных нормативными правовыми актами полномочий государственных органов, и (или) органов местного самоуправления, и (или) организаций, осуществляющих отдельные публичные полномочия, необходима обработка видов биометрических ПДн, не соответствующих размещаемым в единой биометрической системе (ЕБС), идентификация и (или) аутентификация для реализации указанных полномочий осуществляются с применением иных ГИС, владельцами и (или) операторами которых являются государственные органы, прошедшие аккредитацию на право владения такими ГИС и (или) осуществления функций их операторов в порядке и в соответствии с требованиями, которые установлены Правительством Российской Федерации.
Проектом ПП РФ предлагаются требования для прохождения аккредитации государственных органов, являющихся владельцами и операторами, либо только операторами ГИС, с применением которых осуществляется идентификация и (или) аутентификация, а также являющихся только владельцами таких систем. В последнем случае требования предъявляются, в том числе, к организации, осуществляющей функции оператора ГИС, с применением которой осуществляется идентификация и (или) аутентификация.
Изменения в федеральном законе о ПДн
В ГосДуму внесен Законопроект № 101234-8 «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных».
Из основных изменений, предлагаемых к внесению в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – № 152-ФЗ), отметим:
- Появление новой сущности – лица, осуществляющего обработку по поручению оператора. Аналогичная сущность есть, например, в европейских нормах (GDPR): процессор/обработчик. При этом, ответственность перед субъектом ПДн за действия лица, осуществляющего обработку ПДн, будет нести оператор. Лицо, осуществляющее обработку ПДн, несет ответственность перед оператором.
- Расширение понятия «трансграничной передачи ПДн» и изменение подходов к трансграничной передаче ПДн.
- Роскомнадзором будут установлены требования по оценке вреда, который может быть причинен субъектам ПДн в случае нарушения № 152-ФЗ.
- Операторы будут обязаны обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу ПДн.
- Операторы будут обязаны в течение 24 часов уведомить Роскомнадзор в случае установления факта неправомерного или случайного доступа, предоставления, распространения, передачи ПДн, повлекших нарушение прав субъектов ПДн. Отметим, что аналогичные нормы также есть в GDPR.