В обзоре изменений за август 2024 года рассмотрим следующие темы:
1. Критическая информационная инфраструктура
Уточняются критерии отнесения ПАК к числу доверенных. Устанавливаются дополнительные требования при организации и осуществлении дистанционного управления значимыми объектами КИИ, функционирующими в сфере электроэнергетики.
2. Персональные данные
Рассмотрим изменения в 152-ФЗ в части обезличивания и уничтожения ПДн, новый индикатор риска нарушения требований при осуществлении контроля за обработкой ПДн, виды биометрических ПДн, на которые распространяется действие 572-ФЗ, и порядок обработки ПДн сотрудников ФСБ России.
3. Безопасность финансовых организаций
Банк России представил новые Методические рекомендации по установлению и расчету показателей уровня риска ИБ при переводе денежных средств.
4. Иное
Представлены требования к провайдерам хостинга по включению их в перечень провайдеров хостинга и требования, предъявляемые при предоставлении ими вычислительной мощности. Вступили в силу изменения в требованиях к форме квалифицированного сертификата ключа проверки электронной подписи, положение о ГИС в области генетической информации, порядок формирования и ведения автоматизированных и централизованных баз ПДн о пассажирах и персонале транспортных средств и иное.
5. Деятельность ФСТЭК России
Рассмотрим проект новых Требований к защите информации в ГИС и ИС государственных органов, которыми планируется заменить Приказ ФСТЭК России № 17.
6. Стандартизация
Рассмотрим два профессиональных стандарта:
‒ Специалист по обеспечению безопасности значимых объектов КИИ;
‒ Специалист в области информационных технологий на атомных станциях.
Критическая информационная инфраструктура
Изменения в Правилах перехода субъектов КИИ на преимущественное применение доверенных ПАК на значимых объектах КИИ
Министерство промышленности и торговли Российской Федерации (далее – РФ) представило для общественного обсуждения проект постановления «О внесении изменений в постановление Правительства РФ от 14.11.2023 № 1912», который вносит изменения в Правила перехода субъектов критической информационной инфраструктуры (далее – КИИ) РФ на преимущественное применение доверенных программно-аппаратных комплексов (далее – ПАК) на принадлежащих им значимых объектах КИИ РФ.
Проект уточняет следующие критерии признания ПАК доверенным:
‒ сведения о ПАК или об используемой в составе ПАК радиоэлектронной продукции (в том числе телекоммуникационном оборудовании), являющейся конечной продукцией, должны содержаться в едином реестре российской радиоэлектронной продукции или в реестре российской промышленной продукции;
‒ в случае реализации в ПАК функции защиты информации, ПАК или используемая в составе ПАК радиоэлектронная продукция (в том числе телекоммуникационное оборудование) должны иметь сертификат Федеральной службой по техническому и экспортному контролю РФ (далее – ФСТЭК России) или Федеральной службой безопасности РФ (далее – ФСБ России).
Также проект дополняет форму Сведений о ПАК, которая заполняется в рамках разработки Плана перехода субъекта КИИ на преимущественное применение доверенных ПАК на принадлежащих ему значимых объектах КИИ. В характеристиках ПАК необходимо указать:
‒ код ПАК по ОКПД;
‒ основные технические характеристики ПАК;
‒ номер реестровой записи ПАК и аналогичных ПАК;
‒ реквизиты сертификата о соответствии требованиям ФСТЭК России или ФСБ России (в случае реализации функции защиты информации).
В характеристиках программного обеспечения (далее – ПО) и радиоэлектронной продукции (в том числе телекоммуникационного оборудования), используемых в составе ПАК, необходимо указать:
‒ наименование продукции или ПО;
‒ реквизиты сертификата о соответствии требованиям ФСТЭК России или ФСБ России (в случае реализации функции защиты информации).
Дополнительные требования к значимым объектам КИИ в сфере энергетики
1 сентября 2024 года вступил в силу приказ Министерства энергетики РФ от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».
Приказ будет действовать до 1 сентября 2030 года. Подробнее с приказом можно ознакомиться в обзоре изменений законодательства за май 2024 года, подготовленном Аналитическим центром УЦСБ.
Персональные данные
Изменения в 152-ФЗ
8 августа 2024 года был официально опубликован Федеральный закон от 08.08.2024 № 233-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте РФ - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных».
Закон вносит ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в части обезличивания и уничтожения персональных данных (далее – ПДн), а также иные изменения. Подробнее с изменениями можно ознакомиться в обзоре изменений законодательства за июль 2024 года, подготовленном Аналитическим центром УЦСБ.
Дополнение Перечня индикаторов риска нарушения требований при осуществлении контроля за обработкой ПДн
Опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры РФ) от 01.08.2024 № 682 «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн, утвержденный приказом Минцифры России от 15.11.2021 № 1187».
Согласно приказу Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн дополняется новым индикатором риска – установление в течение календарного года двух и более фактов несоответствия правилам применения информационных технологий предоставления информации на основе рекомендательных технологий, полученной по запросу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор):
‒ при предоставлении указанной информации контролируемым лицом, являющимся владельцем сайта или страницы сайта в сети «Интернет»;
‒ при проведении контролирующим органом оценки соответствия применения рекомендательных технологий в рамках предоставленного ему доступа к программно-техническим средствам рекомендательных технологий.
Виды биометрических ПДн, на которые распространяется действие 572-ФЗ (ЕБС)
1 сентября 2024 года вступило в силу постановление Правительства РФ от 01.04.2024 № 408 «О видах биометрических ПДн, на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ». Подробнее с постановлением можно ознакомиться в обзоре изменений законодательства за апрель 2024 года, подготовленном Аналитическим центром УЦСБ.
Обработка ПДн сотрудников ФСБ России
8 августа 2024 года вступил в силу Федеральный закон от 08.08.2024 № 249-ФЗ «О внесении изменений в отдельные законодательные акты РФ», согласно которому вносятся изменения в Федеральный закон от 03.04.1995 № 40-ФЗ «О федеральной службе безопасности».
Изменениями устанавливается, что в целях обеспечения собственной безопасности ПДн, в том числе биометрические, военнослужащих и гражданского персонала ФСБ России, обрабатываются органами ФСБ России без согласия субъекта ПДн.
Безопасность финансовых организаций
Методические рекомендации по установлению и расчету показателей уровня риска ИБ при переводе денежных средств
Центральный Банк РФ (далее – Банк России) в целях обеспечения единства подходов по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности (далее – ИБ) разработал «Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска ИБ, связанных с осуществлением перевода денежных средств без добровольного согласия клиента и связанных с заключением кредитных договоров (договоров займа) без добровольного согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска ИБ» от 20.08.2024 № 13-МР.
Методические рекомендации включают рекомендации по установлению и расчету:
‒ количественных контрольных показателей уровня риска ИБ;
‒ ключевых индикаторов риска ИБ, характеризующих динамику осуществления переводов денежных средств без добровольного согласия клиента;
‒ количественных контрольных показателей уровня риска ИБ, связанных с заключением кредитных договоров без добровольного согласия клиента.
Документ содержит рекомендации по:
‒ выбору статистических данных;
‒ определению группы типов операций по переводу денежных средств;
‒ расчету сигнальных, контрольных и фактических значений показателей;
‒ установлению пороговых значений показателей;
‒ частоте осуществления расчетов показателей и иное.
Также документ содержит формулы для расчета показателей. Методические рекомендации применяются с 8 сентября 2024 года.
Иное
Требования по включению в перечень провайдеров хостинга
1 сентября 2024 года вступило в силу постановление Правительства РФ от 24.08.2024 № 1144 «Об утверждении Правил включения сведений о провайдере хостинга в перечень провайдеров хостинга, предоставляющих вычислительные мощности для размещения информации в информационной системе (далее – ИС), постоянно подключенной к информационно-телекоммуникационной сети «Интернет», операторам государственных информационных систем (далее – ГИС), муниципальных информационных систем (далее – ИС), ИС государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений, а также исключения таких сведений из него».
Согласно постановлению для включения в перечень провайдеров хостинга необходимо:
‒ подать заявление, содержащее:
o полное и сокращенное (при наличии) наименование, организационно-правовую форму, место нахождения и адрес, идентификационный номер налогоплательщика, основной государственный регистрационный номер, фамилию, имя, отчество руководителя юридического лица, иного контактного лица организации;
o информацию, подтверждающую включение сведений о провайдере хостинга в реестр провайдеров хостинга;
o информацию о местоположении технических средств, используемых при предоставлении вычислительной мощности, включая адрес их расположения на территории РФ;
‒ приложить к заявлению следующие документы и сведения:
o доверенность представителя провайдера хостинга;
o сведения, подтверждающие местоположение технических средств, используемых при предоставлении вычислительной мощности, адрес их расположения на территории РФ;
o сведения о разработанном плане мероприятий по внедрению технических средств, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий, или о подписанном представителями ФСБ России и провайдера хостинга акте ввода таких технических средств в эксплуатацию;
o сведения о локальном акте, определяющем структурное подразделение или должностное лицо, ответственное за защиту информации;
o сведения о соглашении, подтверждающем взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА);
o сведения об аттестате соответствия ИС, содержащем информацию о классификации ИС.
По результатам рассмотрения заявления и документов Минцифры России принимает решение о соответствии или несоответствии провайдера хостинга требованиям.
Провайдер хостинга, включенный в перечень, обязан ежегодно с 1 по 30 ноября, начиная с года, следующего за годом включения в перечень сведений о нем, подтверждать соответствие требованиям. В случае изменения сведений, указанных в заявлении о включении, провайдер хостинга не позднее 15 числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить Минцифры России обо всех изменениях.
Изменения в требованиях к форме квалифицированного сертификата ключа проверки электронной подписи
1 сентября 2024 года вступил в силу приказ ФСБ России от 02.02.2024 № 50 «О внесении изменений в Требования к форме квалифицированного сертификата ключа проверки электронной подписи, утвержденные приказом ФСБ России от 27.12.2011 № 795».
Приказ будет действовать до 1 сентября 2027 года. Подробнее с приказом можно ознакомиться в обзоре изменений законодательства за февраль 2024 года, подготовленном Аналитическим центром УЦСБ.
ГИС в области генетической информации
1 сентября 2024 года вступило в силу постановление Правительства РФ от 31.01.2024 № 87 «О ГИС в области генетической информации «Национальная база генетической информации», согласно которому до 1 сентября 2025 года Министерство науки и высшего образования РФ должно создать ГИС «Национальная база генетической информации».
Постановление будет действовать до 1 сентября 2030 года. Подробнее с постановлением можно ознакомиться в обзоре изменений законодательства за февраль 2024 года, подготовленном Аналитическим центром УЦСБ.
Порядок формирования и ведения автоматизированных и централизованных баз ПДн о пассажирах и персонале транспортных средств
1 сентября 2024 года вступил в силу приказ Министерства транспорта РФ от 02.05.2024 № 162 «Об утверждении порядка формирования и ведения автоматизированных централизованных баз ПДн о пассажирах и персонале (экипаже) транспортных средств, а также срока хранения и порядка предоставления содержащихся в них данных». Подробнее с приказом можно ознакомиться в обзоре изменений законодательства за июнь 2024 года, подготовленном Аналитическим центром УЦСБ.
Схема пропуска трафика через средства противодействия угрозам сети «Интернет» и сети связи общего пользования
1 сентября 2024 года вступило в силу постановление Правительства РФ от 23.05.2024 № 639 «Об утверждении Положения о схеме пропуска трафика через технические средства противодействия угрозам устойчивости, безопасности и целостности функционирования на территории РФ сети «Интернет» и сети связи общего пользования, в том числе пропуска трафика на присоединенную сеть связи оператора связи, оказывающего услуги по предоставлению доступа к сети «Интернет», которое содержит требования к схеме пропуска трафика и порядку ее представления в Роскомнадзор.
Подробнее с постановлением можно ознакомиться в обзоре изменений законодательства за май 2024 года, подготовленном Аналитическим центром УЦСБ.
Изменения в 149-ФЗ
8 августа 2024 года вступил в силу Федеральный закон от 08.08.2024 № 216-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» (далее – 149-ФЗ) и отдельные законодательные акты РФ».
Изменениями устанавливается, что:
‒ ограничение доступа к информации смогут устанавливать не только федеральные законы, но и акты Президента РФ;
‒ владельцы сайтов, ИС или программ, предназначенных для распространения информации в социальных сетях, будут обязаны осуществлять мониторинг социальной сети в целях выявления информации, оскорбляющей человеческое достоинство, нравственность, выражающей неуважение к обществу, содержащей изображение противоправных действий;
Также уточняется, что передача информации из ГИС в иные ИС, не соответствующие требованиям о защите информации, не допускается.
Деятельность ФСТЭК России
Требования к защите информации в ГИС и ИС государственных органов
На официальном сайте ФСТЭК России опубликован проект приказа «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений (далее – Требования)», которым планируется заменить действующий приказ ФСТЭК России № 17.
Новые Требования разработаны с целью защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от несанкционированного доступа. Планируется, что Требования будут распространяться не только на ГИС, но и на иные ИС, функционирующие на территории РФ, оператором которых являются государственные органы, государственные учреждения и унитарные предприятия. Также Требования могут применяться для муниципальных ИС, ИС, находящихся в ведении Администрации Президента РФ, аппарата Совета Безопасности РФ, Федерального Собрания РФ и иных государственных органов по решению руководителей органов и если иное не установлено законодательством.
Для ИСПДН новые Требования необходимо будет применять наряду с Требованиями к защите ПДн при их обработке в ИСПДн (утв. постановлением Правительства РФ от 01.11.2012 № 1119) и Составом и содержанием организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн (утв. приказом ФСТЭК России № 21).
Требования определяют перечень мероприятий по защите информации, в том числе требования к:
‒ определению целей защиты информации:
o цели должны содержать ожидаемые результаты от проведения мероприятий по защите информации;
o для каждой цели должны быть установлены количественные или качественные показатели эффективности их достижения и иное;
‒ политике защиты информации:
o политика должна определять стратегию защиты информации;
o область действия политики должна охватывать ИС, а также информационно-телекоммуникационную инфраструктуру, на базе которой функционируют ИС;
o политика защиты информации должна включать цели и показатели эффективности их достижения, задачи защиты информации, объекты защиты, структуру системы управления деятельностью по защите информации, виды и степень ответственности работников и иное;
‒ лицам, ответственным за защиту информации;
‒ разрабатываемым внутренним регламентам и стандартам, которые описывают порядок проведения мероприятий по защите информации;
‒ выделению ресурсов, необходимых для защиты информации;
‒ управлению деятельностью по защите информации по циклу PDCA.
Также Требования детально описывают:
‒ порядок выявления и оценки актуальных угроз безопасности информации;
‒ порядок инвентаризации и управления конфигурациями ИС;
‒ управление уязвимостями ИС;
‒ управление обновлениями ПО ИС;
‒ защиту конфиденциальной информации в ИС;
‒ защиту конечных устройств ИС;
‒ защиту мобильных устройств, планшетных и переносных компьютеров, используемых для доступа к ИС;
‒ мониторинг ИС;
‒ физическую защиту программно-аппаратных средств ИС;
‒ непрерывность функционирования при возникновении нештатных ситуаций;
‒ защиту при удаленном доступе к ИС и иное.
Стандартизация
Профессиональный стандарт «Специалист по обеспечению безопасности значимых объектов КИИ»
Министерство труда и социальной защиты РФ (далее – Минтруд России) представило для общественного обсуждения проект профессионального стандарта «Специалист по обеспечению безопасности значимых объектов КИИ». Согласно стандарту целью профессиональной деятельности является обеспечение устойчивого функционирования значимых объектов КИИ при проведении в отношении них компьютерных атак и реализации иных угроз ИБ.
Стандарт включает следующие трудовые функции:
‒ обеспечение функционирования средств защиты информации (далее – СрЗИ) значимых объектов КИИ:
o установку, настройку, техническое обслуживание и обеспечение работоспособности СрЗИ объектов КИИ;
o ведение технической документации, связанной с эксплуатацией СрЗИ значимых объектов КИИ;
o администрирование СрЗИ;
‒ управление инцидентами ИБ на значимых объектах КИИ:
o выявление и регистрацию инцидентов ИБ, в том числе обнаружение факта компьютерных атак;
o реагирование на инциденты ИБ;
o восстановление функционирования после инцидентов ИБ;
‒ разработка систем защиты информации значимых объектов КИИ:
o разработка требований по обеспечению безопасности объектов КИИ;
o проектирование и реализация системы защиты информации;
o аудит ИБ;
‒ контроль и управление обеспечением ИБ значимых объектов КИИ;
o анализ и обработка компьютерных инцидентов;
o расследование компьютерных инцидентов;
o проведение контрольных проверок работоспособности и оценка эффективности применяемых программно-аппаратных СрЗИ;
o определение измеримых и практических результатов деятельности по обеспечению ИБ значимых объектов КИИ и иное.
Профессиональный стандарт «Специалист в области информационных технологий на атомных станциях»
1 сентября 2024 года вступил в силу приказ Минтруда России от 15.01.2024 № 6н «Об утверждении профессионального стандарта «Специалист в области информационных технологий на атомных станциях (разработка и сопровождение ПО)».
Подробнее с приказом можно ознакомиться в обзоре изменений законодательства за февраль 2024 года, подготовленном Аналитическим центром УЦСБ.