Обзор изменений в законодательстве ИТ и ИБ за февраль 2024 года

14 марта 2024

Новости

В обзоре изменений за февраль 2024 года рассмотрим: изменения в законе о государственной тайне и Национальной стратегии развития искусственного интеллекта, требования к форме квалифицированного сертификата ключа проверки электронной подписи, приведение законодательства РФ в соответствие 572-ФЗ, правила и случаи использования биометрических ПДн, размещенных в ЕБС через мобильное приложение, ГИС в области генетической информации, продление эксперимента по повышению уровня защищенности ГИС, новые национальные стандарты, деятельность ТК 362 и иное.

Персональные данные

Изменения в законодательстве в связи с принятием 572-ФЗ

Правительством Российской Федерации (далее – РФ) на рассмотрение в Государственную думу внесен законопроект № 559494-8 «О внесении изменений в отдельные законодательные акты РФ в связи с принятием Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ (далее – 572-ФЗ)», согласно которому предусмотрены корректировки ссылок на законодательство РФ, регулирующее обработку биометрических персональных данных (далее – ПДн), и изменения наименования единой биометрической системы. Изменения планируется внести в следующие нормативные правовые акты:

Федеральный закон «О банках и банковской деятельности» от 02.12.1990 № 395- 1 (далее – 395-1-ФЗ);

закон РФ «Об организации страхового дела в РФ» от 27.11.1992 № 4015-1;

Федеральный закон «О связи» от 07.07.2003 № 126-ФЗ;

Федеральный закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ;

Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 № 115-ФЗ (далее – 115-ФЗ);

Федеральный закон «О Центральном банке РФ (Банке России)» от 10.07.2002 № 86-ФЗ и другие.

В частности, в перечисленных выше законах ссылки на Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ и его статьи заменяются ссылками на 572-ФЗ и его статьи, а понятие «единой информационной системы ПДн, обеспечивающей обработку, сбор и хранение биометрических ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн гражданина РФ» уточняется путем замены на государственную информационную систему (далее – ГИС) «Единая система идентификации и аутентификации физических лиц с использованием биометрических ПДн» (далее – ЕБС).

Планируется, что постановление вступит в силу с 1 сентября 2024 года.

Подтверждение биометрических ПДн, размещенных в мобильном приложении ЕБС

Представлен проект постановления Правительства РФ «О внесении изменений в некоторые акты Правительства РФ», целью которого является уточнение порядка подтверждения биометрических ПДн, которые были размещены в ЕБС физическим лицом с использованием мобильного приложения ЕБС, а также упрощение процедуры подтверждения физическим лицом своих биометрических ПДн.

В Правила размещения физическими лицами своих биометрических ПДн в ЕБС с использованием мобильного приложения ЕБС предлагается включить следующие положения:

биометрические ПДн, размещенные в ЕБС, до истечения срока их использования могут быть подтверждены физическим лицом при личном присутствии в банке с универсальной лицензией или банке с базовой лицензией, соответствующем критериям 115-ФЗ;

сотрудник банка после проведения идентификации при личном присутствии физического лица размещает или обновляет в Единой системе идентификации и аутентификации (далее – ЕСИА) сведения о физическом лице, необходимые для регистрации в ней, а также подтверждает достоверность размещенных биометрических ПДн и направляет сведения о подтверждении личности и биометрических ПДн в ЕБС;

если личность физического лица не подтверждена при его личном присутствии в банке, то биометрические ПДн размещаются в ЕБС и могут быть использованы в ряде случаев, установленных 572-ФЗ, при условии их подтверждения оператором ЕБС посредством проверки соответствия биометрическим ПДн физического лица, размещенным ранее в ЕБС.

Случаи и сроки использования биометрических ПДн, размещенных физическим лицом в ЕБС с использованием мобильного приложения ЕБС, в том числе при отсутствии сведений о физическом лице в ЕСИА предлагается дополнить случаями, когда могут использоваться биометрические ПДн, подтвержденные указанным выше способом:

осуществление идентификации и (или) аутентификации для обслуживания клиентов – физических лиц организациями, осуществляющими операции с денежными средствами или иным имуществом;

проведение идентификации заявителя – физического лица в целях выдачи удостоверяющим центром квалифицированного сертификата ключа проверки электронной подписи;

посадка пассажиров в поезда дальнего следования и пригородного сообщения;

заселение в гостиницу;

предоставление государственных и муниципальных услуг в многофункциональных центрах;

осуществление безналичных расчетов в организациях торговли и сферы услуг, в целях уплаты налогов, сборов, страховых взносов и иных платежей;

осуществление прохода на территории государственных органов и организаций;

получение государственных льгот и мер социальной поддержки с использованием электронных сертификатов и иные случаи.

Иное

Изменения в Национальной стратегии развития искусственного интеллекта

15 февраля вступил в силу Указ Президента РФ от 15.02.2024 № 124 «О внесении изменений в Указ Президента РФ от 10 октября 2019 г. № 490 «О развитии искусственного интеллекта в РФ» и в Национальную стратегию, утвержденную этим Указом».

Согласно Указу до 1 июля 2024 Правительству РФ необходимо обеспечить включение федерального проекта «Искусственный интеллект» в национальный проект по формированию экономики данных на период до 2030 года.

Изменениями в Национальной стратегии развития искусственного интеллекта (далее – Стратегия) определены новые вызовы для РФ в сфере безопасности:

необходимость обеспечения безопасности при разработке и использовании технологий искусственного интеллекта (далее – ИИ);

возникновение новых типов угроз ИБ, связанных с технологиями ИИ.

В Стратегии были уточнены принципы развития и использования технологий ИИ, среди которых:

обеспечение защиты прав и свобод человека, гарантированных законодательством РФ, международными договорами, общепризнанными принципами и нормами международного права;

безопасность и правовая охрана технологий ИИ, разграничение ответственности разработчиков и пользователей ИИ, а также защита от противоправного применения ИИ;

недопустимость использования ИИ в целях умышленного причинения вреда, предупреждение и минимизация рисков возникновения негативных последствий использования технологий ИИ, в том числе несоблюдения конфиденциальности ПДн и раскрытия иной информации ограниченного доступа.

Также определены основные задачи развития ИИ:

внедрение доверенных технологий ИИ в областях, в которых может быть нанесен ущерб безопасности РФ;

создание системы нормативного правового регулирования общественных отношений, связанных с ИИ, обеспечение безопасности применения таких технологий;

формирование реестра апробированных доверенных технологий ИИ, проверенных на угрозы ИБ, и размещение его на платформе «ГосТех»;

создание доверенного программного обеспечения (далее – ПО) для разработки безопасных и функционально эффективных решений в области ИИ по единым открытым стандартам;

формирование перечня областей использования технологий ИИ, в которых может быть нанесен ущерб безопасности РФ;

разработка требований ИБ в отношении технологий ИИ;

создание системы оценки соответствия технологий ИИ требованиям законодательства, в том числе в области ИБ;

обеспечение ИБ при разработке, внедрении и использовании технологий ИИ.

Изменения в требованиях к форме квалифицированного сертификата ключа проверки электронной подписи

Опубликован приказ Федеральной службы безопасности РФ (далее – ФСБ России) от 02.02.2024 № 50 «О внесении изменений в Требования к форме квалифицированного сертификата ключа проверки электронной подписи (далее – ЭП), утвержденные приказом ФСБ России от 27 декабря 2011 г. № 795».

Приказом вносятся следующие изменения:

квалифицированный сертификат будет содержать срок действия ключа ЭП, соответствующего уникальному ключу проверки ЭП, содержащемуся в данном квалифицированном сертификате;

если заявитель представил в аккредитованный центр документы, подтверждающие его право действовать от имени третьих лиц, то в квалифицированный сертификат может быть включена информация о таких правомочиях заявителя и сроке их действия;

в структуру квалифицированного сертификата добавилось поле privateKeyUsagePeriod, которое определяет срок действия ключа ЭП;

добавились формы общего вида квалифицированного сертификата на бумажном носителе, если владельцем сертификата является: o лицо, замещающее государственные должности РФ, субъектов РФ, государственных органов, органов местного самоуправления, их подведомственных учреждений, Центрального банка РФ; o филиал (представительство) иностранного юридического лица;

а также внесен ряд изменений в утвержденные ранее формы общего вида квалифицированного сертификата на бумажном носителе, владельцем которого является физическое лицо, юридическое лицо и физическое лицо, являющееся индивидуальным предпринимателем.

Приказ вступает в силу с 1 сентября 2024 года и будет действовать до 1 сентября 2027 года.

Изменения в законе о государственной тайне

1 февраля вступил в силу Федеральный закон от 04.08.2023 № 432-ФЗ «О внесении изменений в отдельные законодательные акты РФ».

Была скорректирована сфера действия закона РФ от 21.07.1993 № 5485-1 «О государственной тайне», а также определения государственной тайны, режима секретности и допуска к государственной тайне.

Согласно изменениям закон регулирует отношения, связанные с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой государственной тайны в интересах обеспечения безопасности РФ. Ниже представлены новые определения:

государственная тайна – защищаемые государством сведения, распространение которых может нанести ущерб безопасности РФ;

допуск к государственной тайне – право лица на доступ к сведениям, составляющим государственную тайну, а предприятия, учреждения и организации – на проведение работ, связанных с использованием таких сведений, которое оформляется (переоформляется) в установленном порядке;

режим секретности – совокупность требований, правил, организационных, технических и иных мер, направленных на защиту сведений, составляющих государственную тайну.

В Перечень сведений, составляющих государственную тайну, включены сведения об организации обеспечения режима секретности. Полномочия Президента РФ расширяются определением порядка обеспечения режима секретности в Администрации Президента РФ, включая вопросы оформления и прекращения допуска к государственной тайне в Администрации Президента РФ, а также вопросы выезда из РФ работников Администрации Президента РФ, допущенных или ранее допускавшихся к государственной тайне.

В полномочия Правительства РФ включены:

установление порядка оформления, переоформления и прекращения допуска к государственной тайне;

установление порядка обеспечения режима секретности в РФ;

издание актов по вопросам, связанным с выездом из РФ граждан РФ, допущенных или ранее допускавшихся к государственной тайне;

установление порядка организации и проведения работ по противодействию иностранным техническим разведкам и технической защите информации, содержащей сведения, составляющие государственную тайну.

Также внесен ряд изменений в порядок оформления допуска должностного лица или гражданина к государственной тайне и в особый порядок оформления допуска к государственной тайне, добавлена статья с социальными гарантиями и обязанностями должностных лиц и граждан РФ, допущенных к государственной тайне и иные изменения.

Государственные информационные системы

ГИС в области генетической информации

Официально опубликовано постановление Правительства РФ от 31.01.2024 № 87 «О ГИС в области генетической информации «Национальная база генетической информации», согласно которому до 1 сентября 2025 года Министерство науки и высшего образования РФ должно создать ГИС «Национальная база генетической информации» (далее – система).

Задачами и функциями системы являются:

хранение генетической информации по всему многообразию биообразцов, включая растения, животных, микроорганизмы и метагеномы экосистем, вирусы, исключая персонифицированные генетические данные человека, а также особо опасные патогенные микроорганизмы и вирусы;

обеспечение ИБ при передаче, обработке и хранении данных;

паспортизация, поиск и классификация генетической информации;

предоставление доступа к высокопроизводительной и облачной вычислительной инфраструктуре для обработки и анализа генетических данных;

обработка генетической информации с применением технологий машинного обучения;

интеграция с ведомственными системами в части предоставления доступа к генетическим данным;

накопление данных, получаемых в ходе реализации Федеральной научно-технической программы развития генетических технологий и другие.

Технические средства системы должны быть включены в единый реестр российской радиоэлектронной продукции. К программно-техническим средствам системы представлены следующие требования:

размещение на территории РФ;

использование средств защиты информации (далее – СрЗИ) и средств криптографической защиты информации, которые имеют действующие сертификаты Федеральной службы по техническому и экспортному контролю РФ (далее – ФСТЭК России) и (или) ФСБ России;

автоматизированное ведение электронных журналов учета операций, фиксация размещения, изменения и удаления информации, времени совершения операций, содержания изменений и информации о лицах, осуществивших указанные действия;

доступ к системе для бесперебойного ведения баз данных и защиты содержащейся в системе информации от несанкционированного доступа (далее – НСД);

возможность прохождения идентификации, аутентификации и авторизации в системе с использованием ЕСИА для случаев работы с контурами системы, которые не содержат сведения, составляющие государственную тайну;

возможность информационного взаимодействия системы с иными информационными системами.

Помимо этого, для обеспечения защиты информации оператор системы обеспечивает незамедлительное обнаружение и предотвращение НСД к информации, содержащейся в системе, возможность выявления фактов модификации, уничтожения или блокирования информации, содержащейся в системе, вследствие НСД и возможность восстановления такой информации, обнаружение, предупреждение и ликвидацию последствий компьютерных атак, реагирование на компьютерные инциденты, а также ее аттестацию по требованиям защиты информации.

В постановлении не представлен точный перечень требований к безопасности системы, отметим, что на текущий момент в системе нормативных правовых актов РФ актуальным документом, устанавливающим требования к защите информации в ГИС, является приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Постановление вступает в силу с 1 сентября 2024 года и будет действовать до 1 сентября 2030 года.

Автоматизированная информационно-управляющая система единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций

3 февраля 2024 года вступило в силу постановление Правительства РФ от 24.01.2024 № 57 «О государственной информационной системе «Автоматизированная информационно-управляющая система единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций». Постановление включает требования к техническим и программным средствам информационной системы (далее – ИС), а также иные требования, выполнение которых необходимо для защиты информации, размещаемой в ИС.

Подробнее с требованиями можно ознакомиться в обзоре изменений законодательства за январь 2024 года, подготовленном Аналитическим центром УЦСБ.

Продление эксперимента по повышению уровня защищенности ГИС

Министерство цифрового развития, связи и массовых коммуникаций РФ представило проект постановления Правительства РФ, которым предлагается продление сроков проведения эксперимента по повышению уровня защищенности ГИС до 31 декабря 2024 года.

Эксперимент проводится в соответствии с постановлением Правительства РФ от 13.05.2022 № 860 «О проведении эксперимента по повышению уровня защищенности ГИС федеральных органов исполнительной власти и подведомственных им учреждений».

Стандарты

Профессиональный стандарт «Специалист в области информационных технологий на атомных станциях»

Министерство труда и социальной защиты РФ опубликовало приказ от 15.01.2024 № 6н «Об утверждении профессионального стандарта «Специалист в области информационных технологий на атомных станциях (разработка и сопровождение ПО)».

Целью данного вида профессиональной деятельности является организация и проведение работ для бесперебойного функционирования ИС, обеспечивающих безопасное производство электрической и тепловой энергии на атомных станциях (далее – АЭС).

В перечень трудовых действий, связанных с защитой информации ИС и сервисов АЭС входят:

мониторинг состояния и функционирования СрЗИ;

контроль эффективности работы СрЗИ;

контроль доступа к защищаемой информации;

оперативное устранение попыток НСД;

анализ угроз безопасности информации в процессе эксплуатации ИС и сервисов АЭС для оперативного принятия соответствующим подразделением АЭС мер по защите информации;

организация профилактических мероприятий по обеспечению безопасности;

контроль выполнения требований по информационной безопасности (далее – ИБ);

организация выпуска распорядительных документов по ИБ и другие.

Приказ вступает в силу с 1 сентября 2024 года и будет действовать до 1 сентября 2030 года.

Безопасный компилятор языков C/C++. Общие требования

В январе 2024 года был утвержден национальный стандарт ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного ПО. Безопасный компилятор языков C/C++. Общие требования».

Стандарт уточняет требования к мерам по разработке безопасного ПО, реализуемые при выполнении конструирования и комплексирования ПО, вводя дополнительные требования к используемым инструментальным средствам – безопасному компилятору.

Стандарт направлен на предотвращение появления уязвимостей в ПО и содержит общие требования к безопасному компилятору ПО на языках С и C++. Согласно стандарту задача безопасного компилятора – не вносить в бинарный код ПО ошибки, которых не было в исходном коде и которые могут появиться в ходе компиляции или в ходе выполнения оптимизаций кода программы.

Стандарт вводится в действие с 1 апреля 2024 года.

Статический анализ ПО. Общие требования

Утвержден ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного ПО. Статический анализ ПО. Общие требования».

Стандарт устанавливает требования к внедрению и выполнению статического анализа ПО, который необходим для выполнения требований по разработке безопасного ПО в соответствии с ГОСТ Р 56939-2016 «Защита информации. Разработка безопасного ПО. Общие требования».

Стандарт содержит требования к методам статического анализа, инструментам анализа (статическим анализаторам) и к специалистам, участвующим в анализе, а также устанавливает методику проверки выполнения требований к инструментам анализа.

Стандарт вводится в действие с 1 апреля 2024 года.

Изменения в правилах государственной регистрации программ для ЭВМ и БД

9 февраля 2024 года вступил в силу приказ Министерства экономического развития РФ от 21 декабря 2023 № 904 «О внесении изменений в приказ Минэкономразвития России от 5 апреля 2016 № 211».

Приказом вносятся изменения в Правила оформления заявки на государственную регистрацию программы для электронных вычислительных машин (далее – ЭВМ) или базы данных (далее – БД) и Правила составления документов, являющихся основанием для осуществления юридически значимых действий по государственной регистрации программы для электронных вычислительных машин или базы данных, и их формы, детальнее с которыми можно ознакомиться в обзоре изменений законодательства за январь 2024 года, подготовленном Аналитическим центром УЦСБ.

Деятельность ФСТЭК России

Справка-доклад ТК 362 о выполнении планов на 2024 год

На сайте ФСТЭК России опубликованы справки-доклады о ходе работ технического комитета по стандартизации «Защита информации» (далее – ТК 362) за январь и февраль 2024 года.

В январе 2024 года ТК 362 были разосланы результаты анализа работы и активности организаций-членов ТК 362 в IV квартале 2023 года, а также утвержден план работы на 2024 год. Аналитический центр УЦСБ ранее публиковал обзор данных документов.

Членами ТК 362 были рассмотрены проекты:

ГОСТ Р «Защита информации. Композиционный анализ ПО. Общие требования». На основе полученных замечаний разработчиком проводится доработка проекта;

предварительного национального стандарта ПНСТ «Управление энергосистемами и связанный с ним обмен информацией. Безопасность данных и коммуникаций. Часть 12. Рекомендации по отказоустойчивости и кибербезопасности энергосистем с системами распределенных источников энергии».

А также представлен председателю ТК 362 проект ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения» для организации публичного обсуждения.

В феврале были проведены следующие работы:

публичное обсуждение проектов:

o ГОСТ Р «Защита информации. Системы с конструктивной ИБ. Методология разработки»;

o ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения»;

голосование по вопросу представления проекта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации» в Федеральное агентство по техническому регулированию и метрологии на утверждение;

представление председателю ТК 362 проектов:

o ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке» и ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;

o ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»;

o ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»;

проведены совещания по вопросу рассмотрения стандартов:

o ГОСТ Р ИСО/МЭК 27001 «ИБ, кибербезопасность и защита неприкосновенности частной жизни. Система менеджмента ИБ. Требования»;

o ГОСТ Р ИСО/МЭК 27005 «ИБ, кибербезопасность и защита неприкосновенности частной жизни. Руководство по управлению рисками ИБ»;

o ГОСТ Р ИСО/МЭК 27002 «ИБ, кибербезопасность и защита неприкосновенности частной жизни. Меры обеспечения ИБ»;

o ГОСТ Р «Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования».

Назад к списку