В обзоре за ноябрь 2020 года рассмотрим нормотворческую деятельность в области обеспечения безопасности критической информационной инфраструктуры, государственных информационных систем, персональных данных и финансового сектора.
КоАП и КИИ
В ноябре 2020 года в Государственную Думу внесен законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации» (далее – Законопроект).
Процесс введения административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры (далее – КИИ) начался еще в апреле 2019 года. Составы административных правонарушений в части обеспечения безопасности КИИ также были включены и в общий проект нового КоАП РФ в мае 2020 года.
Законопроект, внесенный в Государственную Думу, будет рассмотрен в первом чтении в январе 2021 года. При этом Законопроектом предлагается наделить полномочиями по рассмотрению дел об административных правонарушениях ФСТЭК России и ФСБ России. Перечень предлагаемых к внесению в КоАП статей за нарушение обеспечения безопасности КИИ представлен в таблице ниже.
|
Лицо |
Административный |
Полномочный |
Административное правонарушение |
|
Должностное лицо |
От 10 тыс. руб. до 50 тыс. руб. |
ФСТЭК России |
Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ |
|
ФСБ России |
Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Непредставление или нарушение порядка, либо сроков представления информации в ГосСОПКА |
||
|
От 20 тыс. руб. до 50 тыс. руб. |
ФСБ России |
Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты |
|
|
Юридическое лицо |
От 50 тыс. руб. до 100 тыс. руб. |
ФСТЭК России |
Нарушение требований к созданию систем безопасности значимых объектов КИИ и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов КИИ, если такие действия (бездействие) не содержат уголовно наказуемого деяния Непредставление или нарушение сроков представления во ФСТЭК России сведений о результатах категорирования объектов КИИ |
|
От 100 тыс. руб. до 500 тыс. руб. |
ФСБ России |
Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными организациями, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты Непредставление или нарушение порядка, либо сроков представления информации в ГосСОПКА |
Выписка из требований к уровням доверия
ФСТЭК России информирует о размещении выписки из Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденных приказом ФСТЭК России от 2 июня 2020 г. № 76, для 6, 5 и 4 уровней доверия (далее – Требования к уровням доверия).
Напомним, что в октябре ФСТЭК России сообщила об утверждении новой редакции Требований к уровням доверия. С 1 января 2021 г. признается утратившим силу предыдущая версия Требований к уровням доверия, установленных приказом ФСТЭК России от 30.07.2018 № 131. Новая версия Требований к уровням доверия утверждена Приказом ФСТЭК России от 02.06.2020 № 76 и вступает в силу с 1 января 2021 г., за исключением некоторых положений, вступающих в силу с 1 января 2022 г., 2024 г. и 2028 г.
СКЗИ в ГИС
23 ноября 2020 г. ФСБ России опубликовала к общественному обсуждению проект Приказа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации» (далее – проект Приказа).
Проект Приказа предлагает регламентировать требования к обеспечению защиты информации, не содержащей сведения, составляющие государственную тайну (далее – информация), при ее обработке в государственных информационных системах (далее – ГИС) с использованием средств криптографической защиты информации (далее – СКЗИ). Проект Приказа в целом использует уже привычные в нормативном поле требования по использованию СКЗИ, установленные как Положением ПКЗ-2005, Приказом ФАПСИ от 13.06.2001 №152, так и Приказом ФСБ России от 10.07.2014 №378.
По проекту Приказа информация, содержащаяся в ГИС, подлежит защите с использованием СКЗИ в случаях:
- когда законодательными и иными нормативными правовыми актами Российской Федерации предусмотрена обязанность по защите информации, содержащейся в ГИС, с использованием СКЗИ;
- когда в ГИС осуществляется передача информации по каналам связи, проходящим за границей контролируемой зоны;
- когда в ГИС осуществляется хранение данных на носителях информации, несанкционированный доступ к которым со стороны третьих лиц не может быть исключен с помощью некриптографических методов и способов.
Необходимость использования СКЗИ подлежит обоснованию в модели угроз безопасности информации и техническом задании на создание ГИС. При этом указанные документы по проекту Приказа будет необходимо согласовать с ФСБ России и использовать можно только СКЗИ, сертифицированные ФСБ России.
Определение класса СКЗИ для использования в ГИС по проекту Приказа должно быть сделано на основании уровня значимости информации, обрабатываемой в ГИС, и масштаба ГИС. Ниже приведена таблица, описывающая отношение показателей, упомянутых ранее, к классам СКЗИ.
|
Уровень значимости информации |
Масштаб ГИС (сегмента ГИС) |
||
|
ГИС (сегмент ГИС) федерального масштаба |
ГИС (сегмент ГИС) регионального масштаба |
ГИС (сегмент ГИС) объектового масштаба |
|
|
Высокий уровень значимости |
КВ |
КС3 |
КС2 |
|
Средний уровень значимости |
КС3 |
КС3 |
КС1 |
|
Низкий уровень значимости |
КС2 |
КС1 |
КС1 |
Общедоступные персональные данные
В ноябре 2020 года в Государственную Думу внесен законопроект «О внесении изменений в Федеральный закон «О персональных данных» в части установления особенностей обработки общедоступных персональных данных» (далее – Законопроект).
Законопроектом предлагается полностью переписать статью 8 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ №152), заменив её положениями об особенностях обработки общедоступных персональных данных (далее – ПДн).
Основные изменения, описанные Законопроектом:
- Введение отдельной формы согласия субъекта ПДн на обработку общедоступных ПДн. При этом в Законопроекте определены требования к содержанию такого согласия, но не определена форма предоставления согласия.
- Оператор обязан предоставить возможность субъекту ПДн указать, какие категории своих ПДн он делает общедоступными. Если по каким-то причинам в согласии субъектом однозначно не указано, какие из категорий персональных данных он делает общедоступными, то оператор вправе обрабатывать такие ПДн как "иные", т.е. без предоставления к ним доступа неограниченному кругу лиц.
- Одним из вариантов предоставления согласия на обработку общедоступных ПДн предполагается использование информационной системы Роскомнадзора. Пояснений, какая информационная система имеется ввиду, в Законопроекте не приводится. Скорей всего, следует ожидать создание указанной системы в будущем.
- Не допускается получение оператором согласия на обработку общедоступных персональных данных по умолчанию или бездействию субъекта персональных данных.
- Обработка неограниченным кругом лиц общедоступных ПДн субъекта ПДн, ранее представленных оператору, может осуществляться без согласия субъекта ПДн при условии, что из ранее предоставленного оператору согласия однозначно следует, что ПДн сделаны общедоступными субъектом ПДн и в указанном согласии не установлены условия обработки и запреты на обработку общедоступных ПДн. Оператор обязан опубликовать информацию об условиях обработки и о наличии запретов на обработку неограниченным кругом лиц ПДн, сделанных субъектом ПДн общедоступными.
Проект замены Положения Банка России № 684-П
В ноябре 2020 года Банк России представил Проект Положения «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – проект Положения).
Проект Положения направлен на замену действующего сейчас Положения Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – 684-П). Основными отличиями проекта Положения от действующего 684-П являются:
- Расширение перечня некредитных финансовых организаций, попадающих под сферу действия Положения. Добавились: операторы инвестиционных платформ; операторы финансовых платформ; операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов; операторы обмена цифровых активов.
- Уточнены показатели отнесения некредитных финансовых организаций к организациям, которые обязаны реализовать усиленный и стандартный уровни защиты информации.
- Добавлены некредитные финансовые организации, которым необходимо реализовывать минимальный уровень защиты информации.
- Скорректировано требование по сертификации прикладного программного обеспечения на наличие уязвимостей/недекларированных возможностей или проведению анализа уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4. Теперь сертификацию необходимо будет проводить на соответствие Требованиям к уровням доверия, либо проводить полную оценку соответствия по требованиям к ОУД не ниже, чем ОУД 4.
- Уточнены нормативные акты, соответствие которым необходимо, в случае применения некредитной финансовой организацией ЕБС (единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн гражданина РФ) и ЕСИА (Единой системы идентификации и аутентификации).
При этом, как отмечается экспертным сообществом, формулировки проекта Положения имеют не однозначную трактовку. Так первый абзац п. 1.9 Положения предусматривает альтернативу выбора между сертификацией в системе сертификации ФСТЭК России и оценкой соответствия по ОУД. В дальнейшем же абзацы пятый и шестой п. 1.9 устанавливают обязанность проведения только сертификации.