Автор: Татьяна Пермякова, аналитик
В обзоре российского законодательства за август 2020 года рассмотрим:
- введение нового понятия «центр хранения и обработки данных»;
- приказ Минтруда об утверждении перечня актуальных угроз безопасности персональных данных;
- стандартизацию терминологии в области обнаружения, предупреждения и ликвидации последствий компьютерных атаки и реагирования на компьютерные инциденты;
- проект стандарта в области мониторинга информационной безопасности;
- методические рекомендации Минздрава РФ по категорированию объектов критической информационной инфраструктуры (КИИ);
- изменения в области лицензирования видов деятельности: новые перечни документации для лицензиатов ФСТЭК России;
- изменения в Положение о ФСТЭК России.
Новое понятие «центр хранения и обработки данных»
В соответствии с пояснительной запиской к законопроекту, документ упорядочивает обязанности операторов связи по предоставлению информации в органы власти в области связи. Законопроект позволит использовать информацию, получаемую от операторов связи и операторами центров хранения и обработки данных, для наполнения баз и банков данных государственных информационных систем и их эксплуатации, а также для иных целей, предусмотренных законодательством о связи.
Законопроект вводит новые понятия:
- Центр хранения и обработки данных (далее – ЦХОД) – специализированный объект с собственными инженерными системами для размещения оборудования, обеспечивающего хранение, обработку и доступ к данным, с гарантированными уровнями доступности, безопасности и управляемости.
- Оператор центра хранения и обработки данных – организация, эксплуатирующая центр хранения и обработки данных и обеспечивающая его функционирование в качестве основного вида деятельности.
Об определении угроз безопасности персональных данных
Согласно справке к проекту, перечень актуальных угроз определен экспертным путем, в том числе по результатам обобщения и анализа моделей угроз безопасности информации информационных систем, сформированных и утвержденных руководителями операторов информационных систем, а также нормативных правовых актов органов государственной власти субъектов Российской Федерации.
Документ находится на этапе общественных обсуждений в отношении текста проекта и независимой антикоррупционной экспертизы.
Мониторинг информационной безопасности
Опубликован проект ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения».
Положения проекта применимы к мероприятиям по мониторингу информационной безопасности (далее – ИБ), осуществляемым операторами по отношению к эксплуатируемым ими информационным (автоматизированным) системам, а также к мероприятиям, осуществляемым в рамках деятельности по оказанию услуг мониторинга ИБ.
Стандарт не устанавливает требования к средствам мониторинга ИБ и к мероприятиям, связанным с выявлением компьютерных инцидентов и реагированием на них.
В проекте документа определены:
- Требования к уровням мониторинга информационной безопасности:
- к источникам данных мониторинга;
- к сбору данных мониторинга;
- к хранению, агрегации и обработке данных мониторинга;
- к представлению данных о результатах мониторинга;
- Порядок осуществления мониторинга информационной безопасности при реализации мер защиты информации.
- Требования к защите данных мониторинга.
Новый перечень документов для лицензиатов ФСТЭК России
12 августа директором ФСТЭК России утверждены перечни технической и технологической документации, национальных стандартов и методических документов, необходимых для выполнения работ и (или) оказания услуг, установленных Положением о лицензировании деятельности по технической защите конфиденциальной информации и Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации. Изменения в перечнях обусловлены публикацией новых нормативно-правовых актов, а также внесением изменений в существующие.
Новый перечень для лицензиатов ФСТЭК России в области технической защиты информации содержит 108 наименований документов. Ранее опубликованный перечень (от 24.07.2017) содержал 117 наименований.
Опубликован и новый перечень для лицензиатов в области разработки и производства средств защиты конфиденциальной информации.
Лицензиатам ФСТЭК России необходимо привести в соответствие базу нормативно-методической документации до 1 января 2021 года.
Изменения в Положение о ФСТЭК России
Указ вносит одну поправку в Положение, в частности, дополняет полномочия регулятора возможностью устанавливать порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации в рамках своих полномочий.
Изменения в нормативные правовые акты о лицензировании
Опубликован ряд проектов постановлений правительства:
- О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности.
- монтаж, установка (инсталляция), наладка шифровальных (криптографических) средств (далее – СКЗИ), за исключением шифровальных (криптографических) средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных ФСБ России;
- монтаж, установка (инсталляция), наладка защищенных с использованием СКЗИ информационных или телекоммуникационных систем, а также средств изготовления ключевых документов;
- ремонт, сервисное обслуживание защищенных с использованием СКЗИ информационных или телекоммуникационных систем;
- работы по обслуживанию СКЗИ, предусмотренные технической и эксплуатационной документацией на эти средства;
- передача СКЗИ, за исключением средств защиты фискальных данных, разработанных для применения в составе контрольно-кассовой техники, сертифицированных Федеральной службой безопасности Российской Федерации;
- передача защищенных с использованием СКЗИ информационных или телекоммуникационных систем;
- передача средств изготовления ключевых документов.
- О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации.
- О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации.
В частности, внесены изменения в Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя).
В актуальной редакции Положения при намерении лицензиата осуществлять лицензируемую деятельность по адресу места ее осуществления, не указанному в лицензии, в ряде случаев требовалось переоформление такой лицензии. Согласно предлагаемым изменениям переоформление лицензии в данном случае не требуется при выполнении следующих работ:
Предлагаемые изменения также содержат уточнения по уплате госпошлины за предоставление лицензирующим органом лицензии, переоформление лицензии в размере и порядке, которые установлены законодательством Российской Федерации о налогах и сборах.
Проект предлагает аналогичные уточнения в части взимания платы за предоставление лицензирующим органом выписки из реестра лицензий на бумажном носителе.
Проект предполагает аналогичные изменения в части уплаты госпошлины за предоставление лицензирующим органом лицензии или переоформление лицензии, а также порядке взимания платы за предоставление лицензирующим органом выписки из реестра лицензий на бумажном носителе.