Обзор изменений в законодательстве за ноябрь 2023 года

Автор:
Лобачева Любовь, аналитик

В обзоре изменений за ноябрь 2023 года рассмотрим: порядок перехода субъектов КИИ на использование доверенных ПАК, изменения в согласовании закупок иностранного ПО для значимых объектов КИИ, внеплановые проверки Роскомнадзора, перечень биометрических ПДн, на которые распространяется действие 572-ФЗ, правила контроля за обеспечением защиты государственной тайны, расширение полномочий ФСТЭК России, порядок аттестации работников органов сертификации и испытательных лабораторий, регулирование исключительного права на результат интеллектуальной деятельности, приостановление требований к оборудованию СКУД, а также результаты работ ТК 362 и планы на 2024 год.

Критическая информационная инфраструктура

Переход на доверенные ПАК на значимых объектах КИИ

Официально опубликовано постановление Правительства Российской Федерации (далее – РФ) от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации», согласно которому в срок с 1 сентября 2024 по 1 января 2030 года всем субъектам критической информационной инфраструктуры (далее – КИИ) необходимо перейти на использование доверенных программно-аппаратных комплексов (далее – ПАК) на значимых объектах КИИ.

Планируется, что переход будет постепенным и по состоянию на 31 декабря 2029 года доля доверенных ПАК на значимых объектах КИИ будет составлять 100%.

Доверенным ПАК признается, если:

• сведения о нем содержатся в едином реестре российской радиоэлектронной продукции;
• ПАК и программное обеспечение (далее – ПО) в составе ПАК имеют сертификаты Федеральной службы по техническому и экспортному контролю РФ (далее – ФСТЭК России) и (или) Федеральной службы безопасности РФ (далее – ФСБ России);
• ПО в составе ПАК размещено в едином реестре российских программ для электронных вычислительных машин (далее – ЭВМ) и баз данных или в едином реестре программ для ЭВМ и баз данных государств, которые являются участниками Евразийского экономического союза.

Постановление определяет перечень уполномоченных органов, ответственных за организацию перехода в соответствующих отраслях, среди которых:

• Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) – в сфере связи;
•  Федеральная служба государственной регистрации, кадастра и картографии – в сфере регистрации прав на недвижимое имущество и сделок с ним;
•  Министерство здравоохранения РФ – в сфере здравоохранения;
•  Министерство науки и высшего образования РФ – в сфере науки;
•  Министерство транспорта РФ – в сфере транспорта;
•  Министерство энергетики РФ – в сферах энергетики и топливно-энергетического комплекса;
•  Министерство промышленности и торговли РФ (далее – Минпромторг России) – в области оборонной, горнодобывающей, металлургической и химической промышленности;
•  Центральный банк РФ – в банковской сфере и другие.

До 1 сентября 2024 года уполномоченные органы должны определить должностное лицо, ответственное за организацию перехода и утвердить отраслевые планы организации перехода, содержащие план мероприятий по организации перехода, оценочные и фактические доли доверенных ПАК, применяемых на значимых объектах КИИ. В августе 2023 года Минпромторг России утвердил Отраслевой план перехода на российское ПО, в том числе в составе ПАК, на значимых объектах КИИ.

Аналитический центр УЦСБ ранее публиковал комментарии к указанному плану.

Аналогично субъекты КИИ должны до 1 января 2025 года разработать собственные планы перехода, содержащие:

• сведения о субъекте КИИ;
• перечень значимых объектов КИИ, принадлежащих субъекту КИИ; сведения о ПАК, применяемых на значимых объектах КИИ;
• плановые и фактические доли доверенных ПАК от общего количества ПАК, применяемых на значимых объектах КИИ;
• прогнозные объемы затрат на реализацию перехода.

Согласование закупок иностранного ПО для значимых объектов КИИ с Центральным банком РФ

22 ноября 2023 года вступил в силу Указ Президента РФ от 22.11.2023 № 887 «О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

Согласно изменениям заказчики, осуществляющие закупки в соответствии с Федеральным законом от 18.07.2011 №223-ФЗ, смогут согласовывать закупку иностранного ПО для использования на значимых объектах КИИ не только с соответствующим федеральным органом исполнительной власти, но и с Центральным банком РФ, в случае, если заказчик является кредитной или некредитной финансовой организацией.



Персональные данные

Внеплановая проверка Роскомнадзора при обнаружении несоответствия данных на сайте оператора ПДн уведомлениям

18 ноября 2023 года вступил в силу приказ Минцифры России от 17.08.2023 № 720 «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187».

Изменения дополняют Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных (далее – ПДн) третьим индикатором риска.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) может инициировать проведение внеплановых контрольных (надзорных) мероприятий оператора ПДн при обнаружении трех и более расхождений между информацией на сайте оператора ПДн и информацией, которая была указана оператором ПДн при подаче уведомления о намерении осуществлять обработку ПДн или о начале осуществления деятельности по трансграничной передаче ПДн. Роскомнадзор вправе инициировать проверку только по согласованию с прокуратурой.

Роскомнадзор уведомляет оператора ПДн о проведении выездной проверки за 24 часа до ее начала путем направления копии соответствующего решения.

Утверждение модальностей биометрических ПДн

Минцифры России представило для публичного обсуждения проект постановления Правительства РФ «Об утверждении перечня видов биометрических персональных данных, на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», согласно которому биометрическими ПДн, на которые распространяется действие вышеупомянутого закона являются:

• изображение лица человека, полученное с помощью фото- и видеоустройств;
• запись голоса человека, полученная с помощью звукозаписывающих устройств.

Постановление вступит в силу с 1 сентября 2024 года и будет действовать до 1 сентября 2030 года. Публичное обсуждение завершилось 16 ноября 2023 года.

Правила контроля за обеспечением защиты государственной тайны

Официально опубликовано постановление Правительства РФ от 26.10.2023 № 1784 «Об утверждении Правил осуществления федерального государственного контроля за обеспечением защиты государственной тайны».

Действующее ранее постановление Правительства РФ от 22.11.2012 № 1205 признается утратившим силу. Новые правила назначают ФСБ России, ФСТЭК России, Министерство обороны РФ и Службу внешней разведки РФ органами государственного контроля, которые должны в течение 6 месяцев определить:

• территориальные органы, уполномоченные на проведение контроля;
• порядок подготовки планов проверок;
• перечень ответственных должностных лиц;
• перечень подлежащих проверке вопросов;
• формы документов, используемых при осуществлении контроля.

Контролю подлежат все организации, которые проводят работы, связанные со сведениями, содержащими государственную тайну, или осуществляют хранение таких сведений. Для осуществления проверки орган государственного контроля, которому поручено проведение проверки, создает комиссию не менее чем из 2 человек, имеющих допуск к государственной тайне по соответствующей форме. По результатам проверки составляется акт.

Также постановление вносит изменение в постановление Правительства РФ от 15.04.1995 №333 «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», согласно которому контроль за соблюдением лицензионных условий лицензиатами, которые выполняют работы, связанные с государственной тайной, создают средства защиты информации (далее – СрЗИ) или оказывают услуги по защите государственной тайны, теперь осуществляется органами государственного контроля, перечисленными ранее, а не органами, уполномоченными на ведение лицензионной деятельности.

Постановление вступает в силу с 3 мая 2024 года.

Об информационном ресурсе регистрационного учета граждан РФ

Министерство внутренних дел России (далее – МВД России) представило проект закона «О внесении изменений в Закон Российской Федерации «О праве граждан Российской Федерации на свободу передвижения, выбор места пребывания и жительства в пределах Российской Федерации».

Законопроект закрепляет определения терминов «адресно-справочная информация» и «адресно-справочная работа». Под адресно-справочной информацией понимается фамилия, имя, отчество, дата и место рождения, данные документа, удостоверяющего личность, адрес и дата регистрации (снятия с регистрационного учета).

Помимо этого, в законопроекте уточняется перечень физических и юридических лиц, которым адресно-справочная информация, содержащаяся в государственном информационном ресурсе регистрационного учета граждан РФ по месту пребывания и по месту жительства в пределах РФ (далее – база данных), предоставляется без согласия субъекта ПДн.

База данных содержит широкий перечень информации о гражданах, включая:

• фамилию, имя, отчество (при наличии);
•  дату и место рождения;
•  пол;
•  адрес и дату регистрации или снятия с регистрационного учета;
•  паспортные данные или данные свидетельства о рождении;
•  реквизиты свидетельства о смерти (при наличии).

Граждане смогут ознакомиться с информацией из базы данных о себе и о несовершеннолетнем ‎или недееспособном лице, чьим законным представителем они являются, путем направления соответствующего запроса в МВД России или его территориальные органы.

Физические и юридические лица смогут обратиться в МВД России за предоставлением адресно-справочной информации:

• о себе (для физических лиц);
• о несовершеннолетнем или недееспособном гражданине РФ, чьим законным представителем они являются, ‎без их согласия;
• об умершем лице, чьим наследником они являются;
• о лицах, зарегистрированных по месту пребывания или по месту жительства в жилом помещении, принадлежащем им на праве собственности, без их согласия.

Общественное обсуждение завершилось 5 декабря 2023 года.



Государственные информационные системы и ресурсы

Криптография в ГИС

23 ноября 2023 года официально вступил в силу приказ ФСБ России от 24.10.2022 № 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».

Информация, содержащаяся в государственных информационных системах (далее – ГИС), подлежит защите с использованием средств криптографической защиты информации (далее – СКЗИ) в случаях если:

• это требуется для информации, содержащейся в ГИС, согласно законодательству РФ;
• в ГИС осуществляется передача информации по каналам связи, проходящим за пределами контролируемой зоны;
• необходимо обеспечить юридическую значимость электронных документов и их защиту от подделки.

По аналогии с информационными системами обработки персональных данных (далее – ИСПДн), использование СКЗИ в ГИС подлежит обоснованию в модели угроз безопасности информации. В ГИС допускается использование только сертифицированных в системе ФСБ России СКЗИ.

Аналитический центр УЦСБ ранее публиковал комментарии к приказу.



Иное

Изменения в 149-ФЗ

30 ноября 2023 года Государственной Думой принят законопроект «О внесении изменения в статью 8 Федерального закона «Об информации, информационных технологиях и о защите информации», согласно которому до 1 января 2025 года владелец информационного ресурса, являющийся российским юридическим лицом или гражданином РФ и осуществляющий свою деятельность в сети «Интернет» на территории РФ, обязан проводить авторизацию пользователей, находящихся на территории РФ, в соответствии с указанным Федеральным законом, если авторизация требуется для доступа к информации на этом информационном ресурсе.

Один из способов проведения авторизации предусматривает использование ИС, соответствующей требованиям статьи 16 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», владельцем которой является гражданин РФ или российское юридическое лицо.

Приостановление требований к оборудованию СКУД

Минцифры России опубликовало проект приказа «О приостановлении действия отдельных положений приказов Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 5 мая 2023 г. № 445 и от 5 мая 2023 г. № 446».

Проект приказа до 1 июля 2024 года приостанавливает действие требований к оборудованию, обеспечивающему функционирование контрольно-пропускных пунктов (далее – СКУД), при обработке биометрических ПДн государственными органами, органами местного самоуправления, Центральным банком РФ, индивидуальными предпринимателями, нотариусами и иными организациями, за исключением организаций финансового рынка.

Напомним, что для СКУД требуется СКЗИ класса КС1, которое применяется для нейтрализации атак, перечисленных в пункте 10 Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн с использованием СКЗИ, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности (утвержденного приказом ФСБ России от 10 июля 2014 №378).

Общественное обсуждение проекта приказа завершилось 8 декабря 2023 года.



Деятельность ФСТЭК России

Расширение полномочий ФСТЭК России

Официально опубликован Указ Президента РФ от 08.11.2023 № 846 «О внесении изменений в Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» и в Положение, утвержденное этим Указом».

Изменения увеличивают предельную штатную численность центрального аппарата и территориальных органов ФСТЭК России, а также расширяют полномочия ФСТЭК России возможностями по:

• осуществлению учета информационных систем (далее – ИС) и иных объектов КИИ, мониторингу текущего состояния технической защитой информации (далее – ТЗИ) и обеспечения безопасности значимых объектов КИИ;
• информированию органов власти и организаций об угрозах безопасности информации и уязвимостях ИС и иных объектов КИИ, а также о мерах по технической защите от этих угроз и уязвимостей;
• разработке и внедрению совместно с органами власти и организациями процессов управления ТЗИ и обеспечением безопасности значимых объектов КИИ, учитывающих отраслевую специфику объектов;
• организации взаимодействия органов власти и организаций при реализации мер по повышению уровня ТЗИ и обеспечения безопасности значимых объектов КИИ, а также по проведению оценки эффективности такой деятельности.

Также согласно Указу, ФСТЭК России будет обеспечивать создание и функционирование информационной автоматизированной системы для управления деятельностью по ТЗИ и обеспечению безопасности значимых объектов КИИ.

Аттестация работников органов сертификации и испытательных лабораторий

Официально опубликован приказ ФСТЭК России от 27.07.2023 № 147 «Об утверждении Порядка аттестации работников органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа».

Порядок вступает в силу с 1 сентября 2024 года и описывает области аккредитации, формат заявки на аттестацию эксперта и мероприятия по оценке знаний и возможностей работников органов по сертификации и испытательных лабораторий выполнять работы по оценке соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну, или иной информации ограниченного доступа.

Квалификационный экзамен проводится в форме тестирования и решения практических задач. Перечни типовых вопросов тестирования и практических задач разрабатываются и утверждаются ФСТЭК России.

Тестирование длится 90 минут, за это время эксперту необходимо ответить на 100 вопросов по каждой заявленной области аккредитации. Тестирование считается успешно пройденным при наличии правильных ответов не менее, чем на 80 вопросов из 100. После чего эксперт допускается до выполнения практических заданий. За 2 часа необходимо выполнить 2 задания. Решение практических задач проводится на материально-технической базе ФСТЭК России с применением тестовых образцов СрЗИ, средств контроля эффективности защиты информации.

При успешном прохождении аттестации эксперту выдается свидетельство об аттестации, содержащее дату выдачи, срок действия и области аккредитации. По истечении срока действия свидетельства для продолжения выполнения работ эксперту необходимо пройти повторную аттестацию, аналогичную первичной. Заявка на повторную аттестацию эксперта подается во ФСТЭК России не позднее, чем за 3 месяца до истечения срока действия свидетельства об аттестации.

Изменения в Правилах выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий

Официально опубликован приказ ФСТЭК России от 27.07.2023 № 148 «О внесении изменений в Правила выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности, утверждённые приказом ФСТЭК России от 10 апреля 2015 г. № 33».

Изменения расширяют перечень областей аккредитации, на которые распространяются Правила и включают сертификацию:

• средств противодействия иностранным техническим разведкам и средств контроля эффективности противодействия иностранным техническим разведкам;
• СрЗИ от утечки по техническим каналам, и средств контроля эффективности защиты информации от утечки по техническим каналам;
• СрЗИ от несанкционированного доступа (далее – НСД) и средств контроля эффективности защиты информации от НСД;
• средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации;
• процессов безопасной разработки ПО СрЗИ.

С 1 марта 2025 года:

• из Правил исключаются требования к срокам обучения по программам профессиональной переподготовки по направлению «Информационная безопасность» для руководителя аккредитованного лица и работников, участвующих в проведении работ по оценке (подтверждению) соответствия продукции, имеющих высшее образование, отличное от направления подготовки «Информационная безопасность»;
• в Правилах расширяется перечень работ при проведении оценки соответствия заявителя критериям аккредитации проверкой наличия свидетельств об аттестации в заявленной области аккредитации у работников заявителя.

Анализ работ и планы ТК 362

Справка-доклад ТК 362

Опубликована справка-доклад о ходе работ по плану ТК 362 на 2023 год (по состоянию на 30.10.2023). Согласно справке ТК 362 выполнены следующие работы:
1. Подготовлены, представлены председателю ТК 362 и разосланы руководителям организаций-членов ТК 362 результаты анализа работы ТК 362 и активности организаций-членов ТК 362 в III квартале 2023 года.
2. Подготовлено и разослано председателям подкомитетов, руководителям рабочих групп, руководителям организаций-членов ТК 362-разработчикам проектов национальных стандартов информационное письмо о подготовке предложений в план работы ТК 362 на 2024 год.
3. Организовано публичное обсуждение проекта ГОСТ Р ИСО/МЭК 27005 «Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства» (идентичный на основе ISO/IEC 27005:2022). Проект был рассмотрен организациями-членами ТК 362, получены замечания, на основе которых формируется окончательная редакция проекта стандарта.
4. Доработаны и подготовлены для дальнейшего согласования проекты национальных стандартов:

• ГОСТ Р «Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования»;
• ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Управление безопасностью программного обеспечения при использовании заимствованных и привлекаемых компонентов»;
• ГОСТ Р 56939-20хх «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
• ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки»;
• ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения».

5. Ведется доработка проектов национальных стандартов:

• ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие требования»;
• ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Термины и определения».

6. Заключен договор ИСП РАН с ФГБУ «РСТ» на проведение работ по издательскому редактированию и подготовке к утверждению проектов национальных стандартов:

• ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования»;
• ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования».

7. Идет согласование первой редакции проекта национального стандарта ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения».
8. Организовано и проведено рассмотрение организациями-членами ТК 362 доработанных ТК 167 «Программно-аппаратные комплексы для критической информационной инфраструктуры и программное обеспечение для них» проектов предварительных национальных стандартов:

• ПНСТ «Инфраструктура критическая информационная. Доверенные интегральные микросхемы и электронные модули. Общие положения»;
• ПНСТ «Инфраструктура критическая информационная. Термины и определения»;
• ПНСТ «Инфраструктура критическая информационная. Доверенные программно-аппаратные комплексы. Общие положения».

Планы по стандартизации на 2024 год

На сайте ФСТЭК России опубликована выписка из Программы национальной стандартизации на 2024 год, в части разработки национальных стандартов в рамках деятельности технического комитета по стандартизации «Защита информации» (далее – ТК 362), согласно которой в 2024 году планируется утверждение следующих стандартов:

• Защита информации. Идентификация и аутентификация. Уровни доверия к результатам аутентификации;
• Защита информации. Разработка безопасного программного обеспечения. Руководство по оценке безопасности разработки программного обеспечения;
• Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией;
• Защита информации от несанкционированного доступа. Термины и определения;
• Защита информации. Разработка безопасного программного обеспечения. Управление безопасностью программного обеспечения при использовании заимствованных и привлекаемых компонентов;
• Защита информации. Разработка безопасного программного обеспечения. Общие требования;
• Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности;
• Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель;
• Защита информации. Техника защиты информации. Номенклатура показателей качества;
• Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования;
• Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения;
• Информационная безопасность, кибербезопасность и защита частной жизни. Система менеджмента информационной безопасности. Требования;
• Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства;
• Защита информации. Основные термины и определения.