Обзор изменений в законодательстве за июль 2020

В обзоре изменений российского законодательства по информационной безопасности (ИБ) за июль 2020 года рассмотрим, как регуляторы приводят законодательные нормы к действующей системе сертификации ФСТЭК России, поговорим об ИБ в сфере связи и в финансовом секторе, разберем проекты изменений в устоявшихся нормах по защите персональных данных.

Требования доверия в ИСПДн

10 июля 2020 г. официально опубликован Приказ ФСТЭК России от 14.05.2020 № 68 «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21» (далее – Приказ ФСТЭК России № 68).

Согласно Приказу ФСТЭК России № 68 с 1 января 2021 г. при использовании в информационных системах персональных данных (далее – ИСПДн) сертифицированных по требованиям безопасности информации средств защиты информации (далее – СрЗИ), такие СрЗИ должны быть сертифицированы по требованиям к уровням доверия. Требования безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утверждены приказом ФСТЭК России от 30 июля 2018 г. № 131.

Соответствие между уровнями защищенности ИСПДн и сертификацией СрЗИ по требованиям к уровням доверия приведено в таблице ниже.

Информационная безопасность сетей связи

Минкомсвязи России 13 июля 2020 года опубликовало Проект Приказа Минкомсвязи России «Об утверждении Требований к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности сетей связи и систем управления сетями связи» (далее – Проект Приказа Минкомсвязи России).

Требования Проекта Приказа Минкомсвязи России направлены на регулирование деятельности операторов связи при эксплуатации и управлении сетями электросвязи, составляющими единую сеть электросвязи РФ, входящие в сеть связи общего пользования (далее – ССОП), за исключением сетей связи специального назначения, выделенных и технологических сетей связи, если они не присоединены к ССОП, а также сетей связи для распространения программ телевизионного вещания и радиовещания.

При этом в Проект Приказа Минкомсвязи России также включены требования к подсистеме безопасности сетей связи, которая, в частности, должна включать:

• архитектуру построения и принципы взаимодействия подсистем безопасности, используемых в сети связи;
• перечень защищаемых компонентов;
• описание возможных нарушений целостности, устойчивости функционирования и безопасности сети связи;
• частную модель угроз и модель нарушителя;
• описание подсистемы безопасности, включая комплекс мер по защите информации и систему антивирусной защиты программных средств, описание целевых функций, механизмов и используемых средств защиты;
• правила разграничения доступа;
• порядок действий в нештатной ситуации.

При создании подсистемы безопасности сети связи должны использоваться СрЗИ, имеющие сертификат ФСТЭК России, и средства криптографической защиты информации, имеющие подтверждение соответствия требованиям, утвержденным ФСБ России. Также при эксплуатации сетей связи, взаимодействующих со значимыми объектами КИИ, должны применяться СрЗИ, имеющие сертификат ФСТЭК России. Проект Приказа Минкомсвязи имеет отсылки к приказам ФСТЭК России по обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ), которые операторам связи необходимо выполнять при:

• включении в состав подсистемы безопасности сети связи значимых объектов КИИ;
• эксплуатации сетей связи, взаимодействующих со значимыми объектами КИИ;
• наличии принадлежащих оператору связи значимых объектов КИИ.

В том числе в Проекте Приказа Минкомсвязи установлены требования к структурным подразделениям и должностным лицам оператора связи, занимающихся обеспечением ИБ сети связи. Также по Проекту Приказа Минкомсвязи оператор связи должен будет разработать паспорт организации связи по ИБ в соответствии с ГОСТ Р 53109-2008, который необходимо актуализировать не реже чем один раз в три года.

Требования по информационной безопасности от Банка России

1. Информационным письмом о применении стандартов Банка России от 16.07.2020 № ИН-014-56/113 регулятор сообщает следующее:


• Стандарт Банка России СТО БР ИББС-1.0-2014 и Стандарт Банка России СТО БР ИББС-1.2-2014 носят рекомендательный характер и могут применяться как методические документы.
• Кредитные организации, которые ранее присоединились к упомянутым выше стандартам, вправе направить в Банк России в свободной форме уведомления о неприменении стандартов в качестве обязательных в случае принятия такого решения.


2. 16 июля 2020 г. Банк России представил к публичному обсуждению Проект Указания О внесении изменений в Положение Банка России от 17 апреля 2019 года № 683-П (далее – 683-П) «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – Проект Указания Банка России).

Приведем перечень основных изменений в 683-П, предлагаемых Проектом Указания Банка России:

• В случае принятия решения о сертификации прикладного программного обеспечения (далее – ПО) автоматизированных систем (далее – АС) и приложений, такую сертификацию будет необходимо проводить в действующей системе сертификации ФСТЭК России. А именно – на соответствие требованиям к уровням доверия.
• Установленное требование по получению от клиента подтверждения совершенной банковской операции будет скорректировано на «подтверждение совершаемой банковской операции».
• При осуществлении подтверждения совершения банковских операций с использованием электронной почты, в том числе при представлении клиентам справок (выписок) по банковским операциям и банковским счетам, кредитным организациям будет необходимо реализовывать механизмы подтверждения принадлежности клиенту адреса электронной почты, на который кредитной организацией направляются уведомления о совершенных банковских операциях. По мнению участников финансового рынка, нормативное закрепление требования об обязательной верификации адресов электронной почты клиентов является избыточным и нецелесообразным. В этой связи, например, Национальный совет финансового рынка (НСФР) совместно с участниками финансового рынка подготовил заключение на проект и направил его регулятору.
• Анализ уязвимостей прикладного ПО АС и приложений по требованиям к оценочному уровню доверия (далее – ОУД) не ниже чем ОУД 4 будет заменен на оценку соответствия по требованиям к ОУД. Если до этого ГОСТ Р ИСО/МЭК 15408-3-2013, определяющий требования к ОУД, необходимо было выполнять только по части анализа уязвимостей, то теперь необходимо будет применять все процедуры упомянутого выше ГОСТ.
• По решению кредитной организации оценка соответствия прикладного ПО АС и приложений может проводиться самостоятельно или с привлечением проверяющей организации – лицензиата.


3. При этом Банк России Информационным письмом от 08.07.2020 № ИН-014-56/110 рекомендует при анализе уязвимостей ПО по требованиям к ОУД применять «Профиль защиты прикладного программного обеспечения и автоматизированных систем и приложений кредитных организаций и некредитных финансовых организаций» (далее – Профиль защиты), одобренный подкомитетом № 1 «Безопасность финансовых (банковских) операций» Технического комитета по стандартизации № 122 «Стандарты финансовых операций» методический документ.

Профиль защиты официально опубликован 10 июля 2020 г. и содержит в себе требования не только из ОУД 4, но и усиления и расширения компонентами из более высоких ОУД.

4. Следом 17 июля 2020 г. Банк России опубликовал Проект Указания О внесении изменений в Положение Банка России от 9 января 2019 года № 672-П (далее – 672-П) «О требованиях к защите информации в платежной системе Банка России» (далее – Проект Указания Банка России).

Согласно Проекту Указания Банка России требования 672-П планируется распространить на участников сервиса быстрых платежей (далее – СБП) – операторов услуг информационного обмена при предоставлении участникам СБП услуг информационного обмена при осуществлении переводов денежных средств с использованием СБП (далее – ОУИО СБП).

При этом перечень обязательных мер по противодействию осуществлению переводов денежных средств без согласия клиента с использованием СБП планируется определить как для участников СБП, являющихся банком плательщика, так и для участников СБП, являющихся банком получателя.

Для объектов информационной инфраструктуры ОУИО СБП по Проекту Указа Банка России с 1 января 2022 года необходимо будет применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

5. Также 17 июля 2020 г. опубликован Проект О внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств» (далее – Указание № 2831-У).

Указание №2831-У определяет формы и методики составления отчетности для операторов платежных систем, операторов услуг платежной инфраструктуры и операторов по переводу денежных средств. Предлагаемые изменения не существенны, в своей основе только немного корректируют процедуру по предоставлению отчетности.

Нормотворчество в области защиты персональных данных

1. Минэкономразвития России 17 июля 2020 г. опубликовало Проект Федерального закона О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации» (далее – Проект ФЗ).

Проект ФЗ подразумевает, что давно устоявшиеся нормы по обработке персональных данных (далее – ПДн) можно не применять, если такое будет установлено программой экспериментального правового режима (в части развития технологий искусственного интеллекта и больших данных). Таким образом, Проект ФЗ предлагает не применять следующие положения:

• Об обработке ПДн только в рамках конкретных, заранее определенных и законных целей.
• О невозможности объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
• Об осуществлении обработки ПДн с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ № 152), в т.ч. случаев, установленных ч. 1 ст. 6 ФЗ № 152.
• О требованиях к поручению обработки ПДн третьему лицу.
• О требованиях к обработке специальных категорий ПДн и биометрических ПДн.
• Об исключающих случаях освобождения оператора от обязанности предоставить субъекту ПДн сведения.

Данный Проект ФЗ эксперты считают направленным на разрушение базовых принципов обработки ПДн.

21 июля 2020 г. Минкомсвязь России опубликовало уведомление о подготовке Проекта Федерального закона О внесении изменений в статью 13 Федерального закона «О персональных данных» (в части уточнения принципов обработки персональных данных в государственных информационных системах) (далее – Проект ФЗ).

Сам Проект ФЗ был опубликован к общественному обсуждению 5 августа 2020 г. Согласно пояснительной записке к Проекту ФЗ с целью повышения информационной безопасности государственных или муниципальных информационных систем (далее соответственно – ГИС, МИС) и защищенности ПДн граждан РФ законопроектом предусмотрено дополнение статьи 13 ФЗ № 152 следующими принципами:

• минимизация состава обрабатываемых ПДн;
• обязательность учета и регистрации всех действий и идентификации всех участников, связанных с обработкой ПДн ‎в ГИС, МИС;
• декларирование и согласование порядка обработки ПДн с целями их обработки;
• хранение ПДн в электронном виде ‎в ГИС, МИС по месту возникновения таких данных;
• определение межведомственного запроса как преимущественного способа получения ПДн, обрабатываемых в ГИС, МИС, для исполнения полномочий государственных или муниципальных органов.


2. В июле 2020 г в Государственную думу внесен Законопроект № 992331-7 О внесении изменений в Федеральный закон «О персональных данных», в части уточнения порядка обработки ПДн (далее – Законопроект).

По Законопроекту можно будет:

• Использовать в согласии на обработку ПДн не только основной документ, удостоверяющий личность субъекта ПДн, но и иной уникальный идентификатор субъекта ПДн, устанавливаемый в соответствии с федеральными законами или соглашением сторон, позволяющий достоверно определить субъекта ПДн и установить его волеизъявление.
• Указывать в согласии на обработку ПДн несколько целей обработки ПДн и несколько лиц, осуществляющих обработку ПДн по поручению оператора.
• Осуществлять обработку ПДн в дополнительных целях в случае наличия согласия субъекта ПДн, содержащего информацию об указанных дополнительных целях.

При этом по Законопроекту для уничтожения ПДн необходимо применять СрЗИ, в составе которых реализована функция уничтожения информации, прошедшие в установленном порядке процедуру оценки соответствия, проведенную ФСБ России или ФСТЭК России. Предлагается наделить Роскомнадзор полномочиями по установлению требований к обезличиванию ПДн и методам обезличивания ПДн.