Автор: Заведенская Анастасия, аналитик
Методика оценки угроз безопасности информации
Информационным сообщением от 15 февраля 2021 г. N 240/22/690 ФСТЭК России сообщила об утверждении Методики оценки угроз безопасности информации (далее – Методика).
В связи с утверждением Методики для оценки угроз безопасности информации больше не применяются Методика определения актуальных угроз безопасности персональных данных (далее – ПДн) при их обработке в информационных системах ПДн (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.).
Методика обязательна к применению для систем и сетей, отнесенных к государственным и муниципальным информационным системам, информационным системам ПДн, значимым объектам критической информационной инфраструктуры (далее – КИИ), информационным системам управления производством, используемым организациями оборонно-промышленного комплекса, автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
Модели угроз безопасности информации систем и сетей, разработанные и утвержденные до утверждения Методики, продолжают действовать и подлежат изменению при развитии (модернизации) соответствующих систем и сетей.
Импортозамещение в критической информационной инфраструктуре (и не только)
2 февраля 2021г. Минцифры России в очередной раз представило к общественному обсуждению Проект постановления Правительства РФ «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции» (далее – Проект ПП РФ). К Проекту ПП РФ для публичного обсуждения также приложен порядок перехода на преимущественное использование российского программного обеспечения (далее – ПО), телекоммуникационного оборудования и радиоэлектронной продукции (далее при совместном упоминании – ПО и оборудование).
Напомним, что первые варианты проектов нормативно-правовых актов, направленных на импортозамещение в КИИ, были опубликованы еще в мае 2020 г. Октябрьские проекты 2020 года вовсе получили отрицательную оценку регулирующего воздействия.
В новой версии Проекта ПП РФ отказались от термина «оборудование, используемое на объектах КИИ», уточнив область действия импортозамещения: телекоммуникационного оборудования и радиоэлектронной продукции. Чтобы ПО и оборудование, используемые на объектах КИИ, соответствовали требованиям новой редакции Проекта ПП РФ они должны быть включены в единый реестр российских программ для электронных вычислительных машин и баз данных (далее – РПО) или единый реестр программ для электронных вычислительных машин и баз данных из государств – членов Евразийского экономического союза (далее – РЕП) и (или) в единый реестр российской радиоэлектронной продукции (далее – РРП). Если же ПО и оборудование, не включены в РПО (или РЕП) и (или) в РРП, субъект КИИ обязан предусмотреть для них:
- возможность модернизации российскими организациями;
- возможность гарантийного обслуживания и технической поддержки российскими организациями.
Таким образом субъект КИИ для всех объектов КИИ (независимо от присвоения им категории значимости) будет обязан:
- провести аудит существующего и (или) планируемого к созданию объекта КИИ;
- провести анализ требований, вводимых Проектом ПП РФ, и наличия аналогов используемого (планируемого к использованию) иностранного ПО и оборудования, включенных в РПО, РЕП и (или) РРП;
- провести анализ текущих сроков амортизации телекоммуникационного оборудования и радиоэлектронной продукции и срока действия прав на использование ПО для не включенных в РПО, РЕП и (или) РРП;
- по результатам проведенного анализа направить на согласование перечень используемых и (или) планируемых к использованию иностранных ПО и оборудования с кратким обоснованием предъявляемых требований: в части ПО в Минцифры России; в части телекоммуникационного оборудования и радиоэлектронной продукции в Минпромторг России;
- с учетом проведенного анализа и при наличии (в случае необходимости) согласования Минцифры России и (или) Минпромторга России определить перечень потенциального российского ПО и оборудование продукции для дальнейшего перехода на его использование;
- по итогам реализованных мероприятий, с учетом сроков перехода на преимущественное использование ПО и оборудование, подготовить и до 1 июля 2021 г. (утвердить план перехода на преимущественное использование российского ПО и оборудование (далее – План);
- в течение 30 рабочих дней с момента утверждения Плана направить копию Плана в Минцифры России и Минпромторг России.
P.S. В качестве дополнения к теме импортозамещения также стоит отметить интересный факт, что опубликованная в феврале Роскомнадзором пирамида цифровых угроз также содержит в виде источников угроз – оборудование импортированное из-за рубежа. Пирамида цифровых угроз приведена на рисунке ниже.
Экономическая значимость объектов критической информационной инфраструктуре
ФСТЭК России в феврале 2021 года был опубликован Проект методических рекомендаций по оценке показателей критериев экономической значимости объектов КИИ (далее – Проект рекомендаций).
Проект рекомендаций определяет методические подходы к оценке показателей критериев экономической значимости объектов КИИ, проводимой в соответствии с Правилами категорирования объектов КИИ, утвержденными Постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127.
Следует отметить, что по Постановлению Правительства РФ от 13.04.2019 №452 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. №127» субъекты КИИ, являющиеся государственными органами или учреждениями, должны были закончить процесс категорирования до 1 сентября 2020 г. Однако Проект рекомендаций публикуется впервые. Также, исходя из Проекта рекомендаций, регулятор считает, что показатель ущерба бюджетам Российской Федерации применим ко всем субъектам КИИ.
Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении
Информационным сообщением от 10 февраля 2021 г. N 240/24/647 ФСТЭК России сообщает о разработке новой редакции Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении (далее – Методика выявления уязвимостей и НДВ).
Методика выявления уязвимостей и НДВ предназначена для организаций, осуществляющих создание специализированных средств защиты информации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств. Методика выявления уязвимостей и НДВ носит ограничительную пометку «ДСП» и предоставляет ФСТЭК России по мотивированному запросу.
Изменения в Приказ ФСТЭК России от 14.03.2014 №31
Как и следовало ожидать, изменения направлены на приведение требований по сертификации средств защиты информации к действующим в настоящее время в системе сертификации ФСТЭК России требованиям к уровням доверия (Требованиям по безопасности информации, устанавливающими уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным приказом ФСТЭК России от 2 июня 2020 г. №76).
Административная ответственность за нарушение требований по обработке персональных данных
Федеральным законом от 24 февраля 2021 г. №19-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее – ФЗ №19).
Согласно ФЗ №19 с 27 марта 2021 г. увеличивается размер штрафов по большинству составов нарушений законодательства Российской Федерации в области ПДн, а также появилась ответственность за повторное нарушение по ряду оснований. Перечень изменений в административные штрафы приведен в таблице ниже.
| Административное правонарушение | Лицо | Действующий размер штрафа, тыс. рублей | Вводимый размер штрафа, тыс. рублей | Вводимый размер штрафа при повторном совершении правонарушения |
| Обработка ПДн в случаях, не предусмотренных законодательство, либо обработка ПДн, несовместимая с целями сбора ПДн | Физическое лицо | 1 – 3 | 2 – 6 | 4 – 12 |
| Должностное лицо | 5 – 10 | 10 – 20 | 20 – 50 | |
| Индивидуальный предприниматель | – | – | 50 – 100 | |
| Юридическое лицо | 30 – 50 | 60 – 100 | 100 – 300 | |
| Обработка ПДн без согласия в письменной форме в случаях, когда такое согласие должно быть получено, либо обработка ПДн с нарушением требований к составу сведений, включаемых в согласие в письменной форме | Физическое лицо | 3 – 5 | 6 – 10 | 10 – 20 |
| Должностное лицо | 10 – 20 | 20 – 40 | 40 – 100 | |
| Индивидуальный предприниматель | – | – | 100 – 300 | |
| Юридическое лицо | 15 – 70 | 30 – 150 | 300 – 500 | |
| Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике оператора в отношении обработки ПДн | Физическое лицо | 0,7 – 1,5 | 1,5 – 3 | – |
| Должностное лицо | 3 – 6 | 6 – 12 | – | |
| Индивидуальный предприниматель | 5 – 10 | 10 – 20 | – | |
| Юридическое лицо | 15 – 30 | 30 – 60 | – | |
| Невыполнение оператором обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн | Физическое лицо | 1 – 2 | 2 – 4 | – |
| Должностное лицо | 4 – 6 | 8 – 12 | – | |
| Индивидуальный предприниматель | 10 – 15 | 20 – 30 | – | |
| Юридическое лицо | 20 – 40 | 40 – 80 | – | |
| Невыполнение оператором в требуемые сроки требования субъекта ПДн или его представителя Роскомнадзора об уточнении ПДн, их блокировании или уничтожении | Физическое лицо | 1 – 2 | 2 – 4 | 12 – 30 |
| Должностное лицо | 4 – 10 | 8 – 20 | 30 – 50 | |
| Индивидуальный предприниматель | 10 – 20 | 20 – 40 | 50 – 100 | |
| Юридическое лицо | 20 – 45 | 50 – 90 | 300 – 500 | |
| Невыполнение оператором при обработке ПДн без использования средств автоматизации требований к такой обработке | Физическое лицо | 0,7 – 2 | 1,5 – 4 | – |
| Должностное лицо | 4 – 10 | 8 – 20 | – | |
| Индивидуальный предприниматель | 10 – 20 | 20 – 40 | – | |
| Юридическое лицо | 25 – 50 | 50 – 100 | – | |
| Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию ПДн либо несоблюдение установленных требований или методов по обезличиванию ПДн | Должностное лицо | 3 – 6 | 6 – 12 | – |
Требования к защите информации в платежной системе Банка России
15 февраля 2021 г. официально опубликовано Положение Банка России от 23.12.2020 №747-П «О требованиях к защите информации в платежной системе Банка России» (далее – 747-П). 747-П официально вступило в силу 26 февраля 2021 года (за исключением положений, для которых установлены иные сроки вступления в силу) и признает утратившим силу Положение Банка России от 09.01.2019 №672-П.
Положения практически совпадают по содержанию, однако, есть изменения, связанные с внесением изменений в Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе», выходом нового Положения от 24.09.2020 № 732-П «О платежной системе Банка России», изменениями в подходе Банка России к управлению рисками.