Автор: Татьяна Пермякова, старший аналитик
В обзоре изменений за март 2023 года рассмотрим: изменения в законодательстве о персональных данных, вступившие в силу с марта, новые постановления про единую биометрическую систему, ограничение требований планового госконтроля, законопроект в области защиты государственной тайны, создание государственных информационных систем на платформе «ГосТех», отмена административных регламентов ФСБ России, прекращение применения некоторых средств защиты на аттестованных объектах информатизации, замена 719-П, требования для АИС страхования, руководство по управлению уязвимостями, а также новости в области стандартизации.
Реформа 152-ФЗ
Напомним, что в июле 2022 года были внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), которые утверждены Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части 14 статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ). Часть положений вступили в силу с 1 сентября 2022 года, остальные с 1 марта:
- Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) от 05.08.2022 № 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных»;
- Приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных»;
- Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных»;
- Приказ Роскомнадзора от 14.11.2022 № 187«Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных»;
- Постановление Правительства Российской Федерации от 29.12.2022 № 2526 «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3 – 6, 8 – 11 статьи 12 Федерального закона «О персональных данных»;
- Постановление Правительства Российской Федерации от 10.01.2023 № 6 «Об утверждении Правил принятия решения о запрещении или Об ограничении трансграничной передачи персональных данных уполномоченным органом по защите прав субъектов персональных данных и информирования операторов о принятом решении»;
- Постановление Правительства Российской Федерации от 16.01.2023 № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или Об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».
Положения, вступившие в силу с 1 марта, подробно описаны в более ранних обзорах изменений законодательства. Резюмируем основные моменты. С 1 марта операторам персональных данных (далее – ПДн) необходимо:
- Подать уведомление о трансграничной передаче ПДн. Если оператор намеревается осуществлять трансграничную передачу в страны, обеспечивающие адекватную защиту прав субъектов ПДн (входящие в состав Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн или в перечень, утвержденный Роскомнадзором) – передачу можно осуществлять сразу после уведомления. В иных случаях требуется дождаться решения Роскомнадзора (рассмотрение уведомления занимает не более 10 рабочих дней, Роскомнадзор вправе принять решение о запрещении или об ограничении такой передачи данных).
- Перед подачей уведомления о намерении осуществлять трансграничную передачу ПДн необходимо запросить у иностранного оператора информацию: общие сведения об иностранном лице, реализованные лицом меры защиты ПДн, а также нормативные требования по защите ПДн, действующие в иностранном государстве.
- В случае изменения сведений, направленных в уведомлении о намерении осуществлять обработку ПДн, необходимо уведомить Роскомнадзор об изменениях не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения.
- В случаях, определенных ч.7 ст.5, ч.1 ст.14, ч.3 ст.20, ст.21, ч.3 ст.23 152-ФЗ необходимо уничтожать ПДн. Кроме того, факт уничтожения необходимо подтверждать: это можно осуществить выгрузкой из журнала регистрации событий в информационной системе ПДн и актом уничтожения ПДн (требования к акту установлены приказом Роскомнадзора от 28.10.2022 № 179).
- Оценку вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства в области ПДн, необходимо проводить в соответствии с требованиями Роскомнадзора. Оценку проводит ответственный за организацию обработки ПДн или специально созданная комиссия, после чего по результатам оценки вреда оформляет (-ют) соответствующий акт.
В конце февраля также опубликован приказ Федеральной службы безопасности Российской Федерации (далее ‑ ФСБ России) от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных». Приказ утверждает порядок информирования ФСБ России для операторов ПДн (как субъектов критической информационной инфраструктуры (далее – КИИ), так и иных операторов). В общем виде требования к срокам и формам уведомления приведены в таблице ниже:
Оператор |
Кого уведомлять |
Как уведомлять |
Когда уведомлять |
|
Субъект КИИ |
НКЦКИ |
- e‑mail: incident@cert.gov.ru; - тел.: +7 (916) 901-07-42; - факс: 7 (499) 144-64; - средства технической инфраструктуры |
3 часа – уведомление об инциденте со значимым объектом КИИ
24 часа – уведомление об утечке/ инциденте на иных объектах КИИ |
|
Не субъект КИИ |
Роскомнадзор (передает сведения в НКЦКИ) |
24 часа – уведомление об утечке/ инциденте
72 часа – уведомление о результатах внутреннего расследования |
Кроме того, все вступившие в силу изменения должны быть учтены в локальных нормативных актах оператора ПДн, существующие документы подлежат актуализации.
Единая биометрическая система
Правила получения согласия на обработку биометрических ПДн
Официально опубликовано постановление Правительства Российской Федерации (далее – РФ) от 17.03.2023 № 405 «Об утверждении Правил получения согласия, указанного в пункте 6 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», и формы согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы».
Напомним основные положения постановления:
- субъект может предоставить согласие на размещение его данных в региональном сегменте единой биометрической системы (далее – ЕБС) в электронном виде с использованием регионального мобильного приложения ЕБС по утвержденной форме (форма приведена в приложении к постановлению);
- в случае предоставления субъектом согласия на обработку его биометрических ПДн для аутентификации в целях получения государственных и муниципальных услуг, в т.ч. по перевозке пассажиров, – согласие дается в письменной или электронной форме в соответствии с требованиями статьи 9 152-ФЗ;
- правила утверждают также допустимые способы подписания субъектом ПДн электронного согласия на обработку его биометрических данных.
Постановление вступает в силу с 1 июня 2023 года и будет действовать 4 года.
Правила направления запроса оператору ЕБС о предоставлении информации о результатах проверки соответствия предоставленных биометрических ПДн
Официально опубликовано постановление Правительства РФ от 24.03.2023 № 451 «Об утверждении Правил направления оператором регионального сегмента единой биометрической системы, аккредитованным государственным органом, Центральным банком Российской Федерации в случае прохождения им аккредитации, организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, мотивированного запроса оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, и предоставления оператором единой биометрической системы такой информации».
В случае, если субъект выявит неправомерную обработку его биометрических данных или примет решение оспорить результат аутентификации с использованием его данных, хранящихся в ЕБС, он вправе обратиться с соответствующим запросом к оператору регионального сегмента. Постановление утверждает порядок работы с такими обращениями субъектов, взаимодействия аккредитованного оператора регионального сегмента ЕБС с оператором ЕБС в рамках проверки соответствия данных, предоставленных субъектом при аутентификации, данным, хранящимся в ЕБС.
При получении запроса субъекта ПДн оператор регионального сегмента в течение 10 дней (по аналогии с п.2 ст.20 152-ФЗ, предположительно, рабочих) направляет мотивированный запрос оператору ЕБС (постановление содержит требования к содержанию такого запроса). Оператор ЕБС при получении запроса осуществляет проверку подлинности электронной подписи, которой подписан запрос, а также проверку соответствия предоставленных в запросе биометрических ПДн данным, хранящимися в ЕБС. Результаты проверки оператор ЕБС направляет оператору регионального сегмента ЕБС в течение 5 дней со дня получения запроса. Ответ на запрос предоставляется безвозмездно. Постановление также устанавливает строгие требования по обеспечению безопасности сведений, включенных в запрос и ответ на запрос, с использованием криптографических (шифровальных) средств защиты информации.
Постановление вступает в силу с 1 июня 2023 года.
Правила отказа от сбора и размещения биометрических ПДн
Официально опубликовано постановление Правительства РФ от 27.03.2023 № 478 «Об утверждении Правил представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа и письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом указанных отказа и отзыва отказа, а также форм указанных отказа, отзыва отказа и письменного подтверждения их представления».
Субъект вправе представить отказ от сбора и размещения биометрических ПДн, а также отозвать такой отказ при личном присутствии в многофункциональном центре предоставления государственных и муниципальных услуг (далее – МФЦ). Отказ или отзыв отказа представляется в письменной форме с собственноручной подписью. Постановление также утверждает формы отказа и его отзыва.
При представлении отказа или отзыва отказа субъект обязан предъявить документ, удостоверяющий личность (паспорт гражданина РФ, гражданина иностранного государства или иной другой документ, который в соответствии с законодательством РФ признается документом, удостоверяющим личность). При этом не допускается снятие копий с предъявленных документов сотрудниками МФЦ – достоверность представленных сведений проверяется сотрудником МФЦ путем направления межведомственного запроса. Результат проверки фиксируется сотрудником МФЦ в соответствующих полях форм отказа от сбора данных или отзыва такого отказа. Оригинал отказа или отзыва отказа передается субъекту, сотрудник МФЦ после представления отказа или отзыва отказа субъектом передает с помощью единой системы межведомственного электронного взаимодействия сведения оператору ЕБС: сведения об МФЦ, страховой номер индивидуального лицевого счета субъекта и сведения о представленном отказе/отзыве отказа.
Постановление вступает в силу с 1 июня 2023 года.
Ограничение требований для планового госконтроля
Опубликовано постановление Правительства РФ от 10.03.2023 №372 «О внесении изменений в некоторые акты Правительства Российской Федерации и признании утратившим силу отдельного положения акта Правительства Российской Федерации», которым устанавливается возможность проведения плановых проверок до 2030 года только в отношении объектов контроля, отнесенных к категориям чрезвычайно высокого и высокого риска причинения вреда, а также опасных производственных объектов и гидротехнических сооружений II класса опасности.
Напомним, что в соответствии с постановлением Правительства РФ от 29.06.2021 № 1046 к объектам, отнесенным к категории высокого риска, относятся операторы, которые в течение 2 лет получили предписание или требование об устранении нарушений, предупреждение о недопущении нарушений или в отношении которых в течение 3 лет вступили в силу решения о назначении административного наказания за нарушения, предусмотренные ч. 1.1, 2.1, 5.1, 9 ст. 13.11 Кодекса РФ об административных правонарушениях (1 группа вероятности), а также осуществляющие деятельность:
- группы тяжести «А»:
- обработку специальной категории ПДн и(или) биометрических ПДн;
- сбор ПДн с использованием сети «Интернет» с использованием баз данных, находящихся за пределами территории РФ;
- трансграничную передачу ПДн на территорию страны, не обеспечивающей адекватную защиту прав субъектов ПДн;
- передачу третьим лицам ПДн, полученных в результате обезличивания.
- или группы тяжести «Б»:
- обработка ПДн в целях, отличных от заявленных;
- нелегитимная обработка ПДн несовершеннолетних лиц;
- обработка ПДн более 20 000 субъектов ПДн на территории субъекта РФ или территории РФ в целом;
- сбор ПДн с использованием иностранного программного обеспечения или сервисов.
При этом постановлением установлена возможность проведения обязательного профилактического визита на основании поручений Президента или Правительства РФ.
Постановление вступит в силу с 15 мая 2023 года.
Защита государственной тайны
В Государственной Думе Федерального собрания РФ рассматривается проект федерального закона «О внесении изменений в Закон Российской Федерации «О государственной тайне» и Федеральный закон «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию».
Законопроектом предлагается:
- Ввести понятие «Режим секретности» и возложить на Правительство РФ установление порядка обеспечения режима секретности.
- Внести изменения в порядок оформления и организации допуска к государственной тайне. Предлагаемые изменения исключают описание социальных гарантий, детализируют некоторые положения (например, перечень сведений о себе и близких родственниках, необходимый для представления при оформлении допуска, порядок оформления допуска для военнослужащих и представителей некоторых органов власти и государственных корпораций, краткий порядок принятия решения об отказе в допуске, а также случаи, при которых порядок оформления допуска может быть изменен Президентом РФ).
- Дополнить перечень обязанностей должностных лиц и граждан, допущенных к государственной тайне, а также скорректировать список ограничений прав допущенных лиц.
- Уточнить условия прекращения допуска к государственной тайне заместителей руководителей федеральных органов исполнительной власти, а также государственных корпораций «Росатом» и «Роскосмос».
- Уточнить порядок выезда из РФ и въезда для лиц, имеющих или имевших допуск к государственной тайне и другое.
Согласно пояснительной записке к проекту, предлагаемые изменения продиктованы возникновением новых угроз безопасности РФ в условиях проведения специальной военной операции. Проект находится на стадии подготовки к рассмотрению Советом Государственной Думы РФ (в рамках программы на апрель 2023).
Правительство РФ обеспечит соответствие «ГосТех» требованиям о защите информации
Официально опубликован Указ Президента РФ от 31.03.2023 № 231 «О создании, развитии и эксплуатации государственных информационных систем с использованием единой цифровой платформы Российской Федерации «ГосТех».
С 1 апреля 2023 года с использованием платформы «ГосТех» осуществляется создание, развитие и эксплуатация федеральных информационных систем, а с 1 января 2024 года – региональных.
Создание и развитие систем осуществляется по результатам оценки экономической и(или) технологической целесообразности, которая проводится по ряду критериев (перечень приведен в Указе).
Указ содержит также порядок планирования мероприятий по созданию государственных информационных систем, распределения зон ответственности между оператором платформы «ГосТех» и операторами систем. Правительству РФ поручено в 10-тимесячный срок обеспечить внесение в законодательство изменений, необходимых для развития платформы.
Отмена административных регламентов ФСБ России
Приказом от 16.02.2023 №83 ФСБ России признала утратившим силу Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны, утвержденный приказом ФСБ России от 05.03.2015 №152. Документ недействителен с 17 марта 2023 года.
Информация о прекращении применения некоторых средств защиты
Федеральная служба по техническому и экспортному контролю РФ (далее – ФСТЭК России) опубликовала информационное сообщение от 22.02.2023 «О прекращении применения отдельных средств активной акустической и вибрационной защиты акустической речевой информации».
Письмо содержит конкретный перечень средств активной акустической и вибрационной защиты акустической речевой информации, применение которых не допускается с 1 мая 2023 года. Владельцам аттестованных объектов информатизации необходимо заменить указанные средства защиты на иные сертифицированные решения и провести повторные аттестационные испытания.
В дополнение ФСТЭК России также опубликовала письмо от 24.03.2023 №240/21/1313, в котором приведен перечень средств защиты с истекшими сертификатами соответствия, но с действующей технической поддержкой заявителя. Ведомство информирует, что использование указанных средств на аттестованных объектах информатизации в течение срока действия аттестата допускается. Однако для последующей аттестации указанные средства защиты необходимо заменить на средства с действующим сертификатом соответствия.
Замена положению Банка России №719-П
Центральный Банк РФ (далее – Банк России) представил для общественного обсуждения проект Положения «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Проект включает требования не только к обеспечению защиты информации при осуществлении денежных переводов, но и к порядку осуществления Банком России контроля за соблюдением установленных требований.
Среди предлагаемых изменений:
- Расширение области действия положения: добавлены операторы электронных платформ. Они должны обеспечивать выполнение требований к обеспечению защиты информации при оказании услуг, связанных с осуществлением переводов денежных средств в соответствии с Положением Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
- Уточняется описание сведений, которые необходимо передавать Банку России в рамках информирования об инцидентах (вместо сведений о планируемых мероприятиях необходимо уведомлять о принятых мерах и проведенных мероприятиях в рамках реагирования на инциденты, а также информировать о сайтах в сети «Интернет», используемых организацией для осуществления своей деятельности).
- Требования к банковским платежным агентам (глава 3) расширены в том числе на применение платежных терминалов и прием платежей юридических лиц.
- Соответствующие корректировки в состав и описание технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств (в приложении 2 к положению).
Согласно тексту проекта планировалось, что новое положение вступит в силу с 1 апреля 2024 года (отдельные положения с 1 января 2031 года), однако положение не опубликовано. Со дня вступления в силу проекта будет признано утратившим силу Положение Банка России №719-П.
Защита информации, содержащейся в АИС страхования
Для общественного обсуждения представлен проект положения Банка России «О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования».
Согласно проекту, оператор автоматизированной информационной системы (далее – АИС) обязан внедрить меры защиты по следующим направлениям:
- управление доступом;
- защита вычислительных сетей;
- контроль целостности и защищенности информационной инфраструктуры;
- защита от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники;
- предотвращение утечек информации;
- управление инцидентами защиты информации;
- защита среды виртуализации;
- защита информации при осуществлении удаленного логического доступа с использованием мобильных устройств.
При обеспечении защиты АИС необходимо использовать средства криптографической защиты информации в соответствии с документацией на средства защиты и требованиями законодательства.
Проект устанавливает требования по информированию оператором АИС пользователей системы о возможных рисках информационной безопасности и рекомендованных мерах защиты.
Оператор АИС обязан проводить ежегодное тестирование на проникновение и анализ уязвимостей. По аналогии с требованиями к финансовым организациям в положениях Банка России при использовании программного обеспечения (далее – ПО), распространяемого оператором АИС среди пользователей, или ПО, обрабатывающего информацию, полученную с использованием сети «Интернет», оно должно быть сертифицированным ФСТЭК России по уровню доверия не ниже 4 или пройти оценку соответствия по требованиям к оценочному уровню доверия не ниже 4 (ОУД4). Кроме того, проект фиксирует требования к структурному и логическому контролю электронных сообщений, проверке правильности их формирования и подписания и регистрации ряда событий и инцидентов, возникающих при функционировании АИС.
Проектом предлагается ряд требований по применению и проверке электронной подписи пользователя АИС, а также особенности применения технологии обработки защищаемой информации при идентификации и аутентификации пользователей. Оператор АИС также должен будет осуществлять информирование Банка России об инцидентах защиты информации.
Проект находится на этапе антикоррупционной экспертизы.
Руководство по управлению уязвимостями
Для публичного рассмотрения представлен проект методического документа «Руководство по управлению уязвимостями программного обеспечения и программно-аппаратных средств в органе (организации)».
Согласно сообщению ФСТЭК России, документ предназначен для организации процессов управления уязвимостями в органах (организациях) и является основой для разработки детальных регламентов по управлению уязвимостями и организации взаимодействия между структурными подразделениями в рамках устранения уязвимостей.
Согласно проекту руководства процесс управления уязвимостями включает пять основных этапов:
- Мониторинг уязвимостей и оценка их применимости. На данном этапе осуществляется поиск уязвимостей на основании данных, получаемых из внешних и внутренних источников (изучение баз данных уязвимостей, уведомлений регуляторов и экспертов, сканирование уязвимостей и т.д.)
- Оценка уязвимостей. На данном этапе определяется уровень критичности обнаруженных уязвимостей применительно к инфраструктуре органа (организации).
- Определение методов и приоритетов устранения. На данном этапе на основании оценки критичности определяется приоритетность устранения уязвимостей и осуществляется выбор методов их устранения: обновление и(или) компенсирующие меры.
- Устранение уязвимостей. На данном этапе реализуются мероприятия по нейтрализации выявленных уязвимостей.
- Контроль устранения уязвимостей. Этап направлен на сбор и обработку данных о процессе управления уязвимостями и его результатах, а также на принятие решений по улучшению процесса.
Участниками процесса являются:
- подразделение, ответственное за обеспечение ИБ;
- руководитель подразделения;
- специалист, ответственный за оценку угроз безопасности информации (аналитик угроз);
- специалист по оценке защищенности;
- специалист по реализации организационных и технических мер защиты информации.
- подразделение, ответственное за внедрение информационных технологий;
- руководитель подразделения;
- специалист.
В проекте руководства отмечена взаимосвязь процесса управления уязвимостями с иными процессами управления информационной безопасностью (далее – ИБ):
- мониторинг ИБ;
- оценка защищенности;
- оценка угроз безопасности информации;
- управление конфигурацией;
- управление обновлениями;
- применение компенсирующих мер защиты.
Руководство также содержит общую схему процесса (рисунок ниже [ПТВ1] ) и таблицу с детальным описанием операций, выполняемых на каждом этапе процесса, и ролей, ответственных за их реализацию.
Предложения и замечания по проекту принимаются до 17 апреля 2023 года.
Стандартизация
Справка доклад ТК 362
На сайте ФСТЭК России опубликована справка-доклад о ходе работ по плану Технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2023 год по состоянию на 28.02.2023.
Согласно справке проведены следующие работы:
- Утвержден, разослан в организации-члены ТК 362 и размещен на странице ТК 362 официального сайта ФСТЭК России план работы ТК 362 на 2023 год.
- Организовано повторное рассмотрение организациями-членами ТК 362 проекта новой редакции национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Требования». В настоящее время проводится доработка проекта. Планируемый срок завершения работ по доработке – март 2023 г.
- Рассмотрена председателем Подкомитета 3 Средства и методы защиты информации и секретариатом ТК 362 первая редакция проекта национального стандарта ГОСТ Р «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие положения». Замечания и предложения по ее доработке направлены разработчику.
- Проводятся работы по доработке окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения» по результатам публичного обсуждения. Планируемый срок представления проекта национального стандарта в секретариат ТК 362 - март 2023 г.
- Первая редакция проекта национального стандарта ГОСТ Р ИСО/МЭК 27001 «Информационная безопасность, кибербезопасность и защита частной жизни. Система управления информационной безопасностью. Требования» (пересмотр) (Идентичный на основе ISO/IEC 27001:2022), рассмотрена на совещании Рабочей группы 4. Планируемый срок направления проекта национального стандарта на согласование с председателем Подкомитета 2 Защита информации на объектах информатизации и объектах критической информационной инфраструктуры - март 2023 г.
- Окончательная редакция проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по оценке безопасности разработки программного обеспечения» доработана по результатам публичного обсуждения, представлена в секретариат ТК 362.
- Подготовлен и направлен в ТК 016 «Электроэнергетика» запрос на проект национального стандарта ГОСТ Р «Интеллектуальные системы учета электрической энергии (мощности). Общие технические требования».
- Организовано и проведено рассмотрение организациями-членами ТК 362 проекта первой редакции национального стандарта ГОСТ Р «Интеллектуальные системы учета электрической энергии (мощности). Общие технические требования».
Стандарты по криптографической защите
Техническим комитетом по стандартизации «Криптографическая защита информации» (ТК 26) опубликованы для обсуждения Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Защищенный протокол взаимодействия квантово-криптографической аппаратуры выработки и распределения ключей и средств криптографической защиты информации».
Аспект стандартизации относится к области квантовой криптографии, описывающей протоколы выработки и распределения квантово-криптографических ключей.
Также ТК 26 опубликовал для обсуждения Методические рекомендации «Информационная технология. Криптографическая защита информации. Схема формирования и проверки кода проверки».