Обзор изменений в законодательстве за март 2019

10 апреля 2019

Новости

Стандарты и рекомендации в области информационной безопасности

Коллегией Евразийской экономической комиссии разработаны рекомендации от 12 марта 2019 г. № 9 «О перечне стандартов и рекомендаций в области информационной безопасности, применяемых в рамках реализации цифровой повестки Евразийского экономического союза». Рекомендации направлены на формирование единого подхода к обеспечению информационной безопасности государствами-членами Евразийского-экономического союза (сокращенно ЕАЭС). Напомним, что в ЕАЭС входят Армения, Белоруссия, Казахстан, Киргизия и Россия.

Коллегия приводит перечень стандартов и рекомендаций в области информационной безопасности касательно:

разработки средств защиты информации и приложений;
создания и сопровождения систем управления информационной безопасностью;
обеспечения сетевой безопасности и обеспечения защиты веб-сервисов;
обеспечения защиты информации с использованием средств криптографической защиты;
обеспечения возможности использования электронной подписи и обеспечения функционирования сервисов доверенной третьей стороны;
обеспечения доверия к цифровым сервисам;
обеспечения функций по идентификации субъектов электронного взаимодействия.

Изменения в ФЗ № 149 «Об информации, информационных технологиях и о защите информации»

Федеральный закон от 18 марта 2019 года № 31 «О внесении изменений в статью 15.3 Федерального закона «Об информации, информационных технологиях и о защите информации» внёс поправки в порядок ограничения доступа к информации, распространяемой с нарушением закона.

К информации, распространяемой с нарушением закона, теперь ещё отнесена недостоверная общественно значимая информация, распространяемая под видом достоверных сообщений, которая создает угрозу причинения вреда жизни и (или) здоровью граждан, имуществу, угрозу массового нарушения общественного порядка и (или) общественной безопасности либо угрозу создания помех функционированию или прекращения функционирования объектов жизнеобеспечения, транспортной или социальной инфраструктуры, кредитных организаций, объектов энергетики, промышленности или связи.

Федеральный закон описывает порядок блокирования сетевого издания, опубликовавшего недостоверную значимую информацию. Стоит отметить, что под сетевым изданием понимается сайт в сети «Интернет», зарегистрированный в качестве средства массовой информации, а на новостных агрегаторов порядок ограничения доступа не распространяется. В настоящий момент в реестре новостных агрегаторов, который ведёт Роскомнадзор, зафиксировано 4 новостных агрегатора: Новости@mail.ru, СМИ2, Яндекс новости и Рамблер/новости.

В этот же день, что и упомянутый ранее № 31-ФЗ, был опубликован ещё один Федеральный закон, вносящий правки в № 149-ФЗ. Федеральным законом «О внесении изменения в Федеральный закон «Об информации, информационных технологиях и о защите информации» от 18.03.2019 № 30-ФЗ вводится новая статья 15.1-1.

Статья 15.1-1 описывает порядок ограничения доступа к информации, выражающей в неприличной форме, которая оскорбляет человеческое достоинство и общественную нравственность, явное неуважение к обществу, государству, официальным государственным символам РФ, Конституции РФ или органам, осуществляющим государственную власть в РФ. При обнаружении такой информации в любых информационно-телекоммуникационных сетях, в т.ч. в сети «Интернет», Роскомнадзор должен предпринять меры по её удалению или блокировке доступа.

Проекты изменений в области обеспечения безопасности критической информационной инфраструктуры

1 марта 2019 г. опубликован Проект приказа ФСТЭК России «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235» (далее – Проект приказа). С 1 по 15 марта прошли общественные обсуждения Проекта приказа. В ходе обсуждений было получено 10 предложений участников, 4 из которых были учтены ФСТЭК России.

Большая часть изменений в требованиях, исходя из опубликованного текста Проекта приказа после общественных обсуждений, касается субъектов критической информационной инфраструктуры (КИИ), имеющих обособленные подразделения (филиалы, представительства) или интегрированную структуру, в состав которой входят другие субъекты КИИ.

Проект приказа устанавливает требования к образованию руководителя и штатных работников структурного подразделения по безопасности, а также требования по проведению периодической программы повышения квалификации для данных лиц. При этом, именно эти требования предлагается ввести в силу с 1 января 2021 г. А контроль состояния безопасности значимых объектов КИИ, являющийся на данный момент ежегодный, по Проекту приказа должен будет проводиться не реже, чем раз в 3 года.

Следом, 6 марта 2019 г. ФСТЭК России опубликовало Проект приказа «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239» (далее – Проект приказа). Общественные обсуждения этого Проекта приказа проходили с 6 марта по 20 марта. Было получено 4 предложения участников общественного обсуждения, ни одно из которых не было учтено.

Текст Проекта приказа, доработанный по итогам обсуждения, в основном имеет уточняющий характер для тех формулировок Приказа № 239, которые имели неоднозначное значение. Подверглись изменениям меры по обеспечению безопасности значимого объекта КИИ. Например, управление сетевыми потоками предлагается сделать обязательной процедурой для всех значимых объектов критической информационной инфраструктуры (КИИ).

Также Проектом приказа предлагается внести корректировки к требованиям сертификации средств защиты информации (СрЗИ), если такие применяются на значимом объекте КИИ:

для значимых объектов КИИ 1 категории – СрЗИ соответствующие 4 или более высокому уровню доверия;
для значимых объектов КИИ 2 категории – СрЗИ соответствующие 5 или более высокому уровню доверия;
для значимых объектов КИИ 3 категории – СрЗИ соответствующие 6 или более высокому уровню доверия.

При этом именно этот раздел требований предлагается ввести в силу с 1 января 2020 г.

ФСТЭК России и требования доверия

На федеральном портале проектов нормативных правовых актов 25 марта 2019 был создан Проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17» (далее – Проект приказа). С 25 марта по 8 апреля прошли общественные обсуждения Проекта приказа.

Самым интересным в Проекте приказа является введение нового абзаца с требованиями к сертифицированным средствам защиты информации. Полностью исключаются упоминания об уровнях контроля отсутствия недекларированных возможностей (НДВ), а на место НДВ встаёт сертификации по уровням доверия.

Объяснением к нововведениям про сертификацию по уровням доверия, что в Приказе ФСТЭК № 17, что № 239 можно посчитать Информационное сообщение ФСТЭК России от 29 марта 2019 г. N 240/24/1525.

Информационное сообщение рассказывает о требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее – Требования к уровням доверия). Требования к уровню доверия были утверждены приказом ФСТЭК России от 30 июля 2018г. №131 и вступили в силу с 1 августа 2018 г., а с 1 июня 2019 г. обязательны при сертификации средств защиты информации (СрЗИ).

С 1 июня 2019 г. ФСТЭК России больше не будет принимать на рассмотрение сертификацию СрЗИ по уровню контроля отсутствия НДВ. Так как в соответствии с Требованиями к уровню доверия и утверждённой 11 февраля 2019 г. Методикой выявления уязвимостей и недекларированных возможностей в программном обеспечении (далее — Методика) устанавливаются обязательные к соответствию уровни контроля по выявлению уязвимостей и НДВ.

Выполнение Требований к уровню доверия является обязательным при проведении работ по сертификации СрЗИ. Согласно информационному письму устанавливается 6 уровней доверия. Самый низкий – шестой, самый высокий – первый. Аналогично и с уровнями контроля по выявлению уязвимостей и НДВ.

СрЗИ, соответствующие уровню доверия	Класс систем, требующий применения соответствующих СрЗИ	Уровни контроля по выявлению уязвимостей и НДВ
6 уровень доверия	Значимые объекты КИИ 3 категории ГИС 3 класса защищенности АСУ производственными и технологическими процессами 3 класса защищенности ИСПДн при 3 и 4 УЗ ПДн	6 уровень контроля
5 уровень доверия	Значимые объекты КИИ 2 категории ГИС 2 класса защищенности АСУ производственными и технологическими процессами 2 класса защищенности ИСПДн при 2 УЗ ПДн	5 уровень контроля
4 уровень доверия	Значимые объекты КИИ 1 категории ГИС 1 класса защищенности АСУ производственными и технологическими процессами 1 класса защищенности ИСПДн при 1 УЗ ПДн Информационные системы общего пользования 2 класса	4 уровень контроля
3 уровень доверия	ИС и АС, обрабатывающие информацию, содержащую сведения ГТ	3 уровень контроля
2 уровень доверия	ИС и АС, обрабатывающие информацию, содержащую сведения ГТ	2 уровень контроля
1 уровень доверия	ИС и АС, обрабатывающие информацию, содержащую сведения ГТ	1 уровень контроля

Разработчикам и производителям СрЗИ рекомендуется провести оценку соответствия Требованиям к уровням доверия и представить результаты во ФСТЭК России для переоформления сертификатов. Действие сертификатов соответствия СрЗИ, в отношении которых указанная оценка соответствия не будет проведена до 1 января 2020 г., может быть приостановлено.

Цифровой профиль

25 марта 2018 года Минкомсвязь России опубликовало Проект Федерального закона «О внесении изменений в отдельные законодательные акты (в части уточнения процедур идентификации и аутентификации)» (далее – Проект Минкомсвязи).

Проект Минкомсвязи предлагает внести изменения в:

Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27 июля 2006г № 152-ФЗ «О персональных данных»;
Федеральный закон от 7 июля 2003 г. № 126-ФЗ «О связи»;
Федеральный закон от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

Все изменения, предложенные Проектом Минкомсвязи, взаимосвязаны и подготавливают к введению новой инфраструктуры России – Цифровой профиль. Цифровой профиль является совокупностью сведений о гражданах и юридических лицах, содержащихся в информационных системах государственных органов и организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, а также в Единой системе идентификации и аутентификации (ЕСИА).

Первые упоминания о Цифровом профиле появились в паспорте национальной программы «Цифровая экономика Российской Федерации», утвержденном 24 декабря 2018 г. Цифровой профиль позиционируется как платформа, обеспечивающая обмен информацией между государством, гражданами, а также коммерческими и некоммерческими организациями, со сроком реализации – 31 декабря 2023 г.

Ответственными исполнителями по созданию этой инфраструктуры являются Минкомсвязи, Банк России и ПАО «Ростелеком». При этом по Проекту Минкомсвязи, если потребуется согласие на обработку ПДн, субъект ПДн дает его в Цифровом профиле в форме электронного документа, подписанного усиленной квалифицированной электронной подписью (ЭП) или простой ЭП. А ключ ЭП должен быть получен при личной явке при обращении за получением государственных и муниципальных услуг в электронной форме.

По словам представителей Минкомсвязи и Центробанка в Цифровом профиле личных данных будет – 57 типов, тогда как сейчас в ЕСИА россияне могут хранить лишь 21 тип сведений (ЕСИА – это та система, которой мы пользуемся, например, на портале Госуслуг). И эти сведения включают персональные данные (ПДн), в частности, пол, дату рождения, СНИЛС, паспортные данные.

Назад к списку