Обзор изменений в законодательстве за октябрь 2020

В октябре 2020 года были внесены изменения в требования к порядку реализации мероприятий на этапах жизненного цикла государственных информационных систем, а ФСТЭК России сообщила об изменениях в требованиях к уровням доверия для сертификации средств защиты информации. До конца ноября можно принять участие в общественном обсуждении нормативных актов, опубликованных Минцифры России в октябре и направленных на импортозамещение для объектов критической информационной инфраструктуры. Также в обзоре рассмотрим нормотворческую деятельность Банка России в области защиты информации.

Государственные информационные системы

14 октября 2020 года официально опубликовано и вступило в силу постановление Правительства Российской Федерации от 10.10.2020 № 1650 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» (далее – ПП № 1650). ПП № 1650 вносит изменения в постановление Правительства РФ от 06.07.2015 № 676, в котором установлены требования к порядку реализации мероприятий на этапах жизненного цикла государственных информационных систем (далее – ГИС), осуществляемых федеральными органами исполнительной власти и органами исполнительной власти субъектов РФ.

ПП № 1650 вводит следующие основные изменения:

• Введен этап концептуального архитектурного проектирования ГИС, предусматривающий разработку концепции, включающей в себя технико-экономическое обоснование реализации ГИС. В соответствии с концепцией должно разрабатываться техническое задание (далее – ТЗ) ‎на ГИС.
• В случае если в соответствии с технико-экономическим обоснованием объем требуемого федеральным органом исполнительной власти финансирования на реализацию мероприятий для создания ГИС составляет более 100 миллионов рублей, то ТЗ на ГИС необходимо согласовать с Минцифры России.
• Сроки согласования моделей угроз безопасности информации и ТЗ на ГИС со ФСТЭК России, а также ТЗ на ГИС с Минцифры России (в случае необходимости) теперь не могут превышать 10 рабочих дней.
• Установлены условия запрета ввода ГИС в эксплуатацию без надлежащего оформления прав на использование ‎ее компонентов, являющихся объектами интеллектуальной собственности.

Новые требования к уровням доверия

Информационным сообщением от 15 октября 2020 г. № 240/24/4268 ФСТЭК России сообщает об утверждении новой редакции Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (далее – Требования к уровням доверия).

С 1 января 2021 г. признается утратившим силу предыдущая версия Требований к уровням доверия, установленных приказом ФСТЭК России от 30.07.2018 № 131. Новая версия Требований к уровням доверия утверждена Приказом ФСТЭК России от 02.06.2020 № 76 и вступает в силу с 1 января 2021 г., за исключением некоторых положений, вступающих в силу с 1 января 2022 г., 2024 г. и 2028 г.

Приказ ФСТЭК России от 02.06.2020 № 76, как и предыдущая версия Требований к уровням доверия, носит ограничительную пометку «ДСП». Отмечается, что Требования к уровням доверия предназначены для организаций, осуществляющих работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации (далее – средства), заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации. Однако применение Требований к уровням доверия с 1 января 2023 г. является обязательным в том числе при проведении работ по оценке соответствия в форме испытаний или приемки для средств защиты информации (далее – СрЗИ) значимых объектов критической информационной инфраструктуры (далее – КИИ).

Изготовителям средств, сертифицированных по схеме сертификации для серийного производства, необходимо привести средства в соответствие Требованиям к уровням доверия в сроки, установленные приказом ФСТЭК России от 02.06.2020 № 76, и проинформировать об этом ФСТЭК России для переоформления сертификатов соответствия.

Новая версия Требований к уровням доверия также вводит обязательность соответствия уровням контроля, соответствующим уровням доверия, которые определяют процессы исследования по выявлению уязвимостей и недекларированных возможностей.

Стандарты по управлению доступом

13 октября ФСТЭК России опубликовала окончательные редакции проектов национальных стандартов ГОСТ Р, разрабатываемых в соответствии с Программой разработки национальных стандартов на 2019 и 2020 годы в рамках работы технического комитета по стандартизации «Защита информации» (ТК 362):

• Защита информации. Формальная модель управления доступом. Часть 1. Общие положения.
• Защита информации. Формальная модель управления доступом. Часть 2. Рекомендации по верификации формальной модели управления доступом.

Стандарты предназначены для разработчиков СрЗИ, реализующих политики управления доступом, а также для органов по сертификации и испытательных лабораторий при проведении сертификации СрЗИ, реализующих политики управления доступом. Стандарты представляют собой рекомендации по верификации с применением инструментальных средств формальных моделей управления доступом, на основе которых разрабатываются СрЗИ, реализующие политики управления доступом (дискреционная, ролевая, мандатная или другие виды политик управления доступом).

Импортозамещение в критической информационной инфраструктуре

Минцифры России 29 октября 2020 г. представило к публичным обсуждениям Проект указа Президента Российской Федерации «О мерах по обеспечению информационной безопасности в экономической сфере при использовании программного обеспечения и оборудования на объектах критической информационной инфраструктуры» (далее – Проект Указа). Предыдущая версия Проекта Указа размещалась для общественного обсуждения в мае 2020 г., текущая версия Проекта Указа представлена к публичному обсуждению до 26 ноября 2020 г.

Проектом Указа предусматривается наделение Правительства РФ полномочиями по утверждению требований к программному обеспечению (далее – ПО) и оборудованию, используемому на объектах КИИ, и порядка перехода на преимущественное использование российского ПО и оборудования. Под преимущественным использованием понимается приоритетное использование российского ПО и (или) оборудования при наличии соответствующих российских аналогов. При этом, как ни странно, по Проекту Указа такие требования Правительство РФ должно было утвердить до 1 сентября 2020 г.

По Проекту Указа субъекты КИИ должны будут до 1 января 2024 г. осуществить переход на преимущественное использование российского ПО и до 1 января 2025 г. осуществить переход на преимущественное использование российского оборудования.

К Проекту Указа прилагается проект постановления Правительства РФ, согласно которому надзорным органом по контролю использования субъектами КИИ российского ПО будет Минцифры России, а по использованию российского оборудования – Минпромторг России.

При этом при использовании и (или) планировании использования иностранного ПО и (или) оборудования на объектах КИИ субъект КИИ должен будет направить на согласование перечень такого ПО и (или) оборудования в соответствующий надзорный орган: в части ПО – в Минцифры России; в части оборудования – в Минпромторг России. Рассмотрение перечней ПО и (или) оборудования должно будет осуществляться совместно Минцифры России, Минпромторгом России, ФСБ России и ФСТЭК России, в течение 30 рабочих дней с момента поступления в уполномоченный орган перечней.

В конечном итоге, с учетом сроков перехода на преимущественное использование российского ПО и оборудования, установленных проектами, субъекту КИИ необходимо будет до 1 июля 2021 г. подготовить и утвердить план перехода на преимущественное использование российского ПО и (или) оборудования (далее – План). Копию Плана в течение 30 рабочих дней с момента его утверждения необходимо направить в Минцифры России и Минпромторг России.

Обеспечение безопасности операторами финансовых платформ

6 октября 2020 г. Банк России опубликовал проект Указания «О ведении Банком России реестра операторов финансовых платформ, о требованиях к юридическому лицу, намеревающемуся получить статус оператора финансовой платформы, по защите информации, и о требованиях к порядку регистрации Банком России изменений в правила финансовых платформ» (далее – Проект Указания Банка России).

Проект Указания Банка России в том числе устанавливает требования по защите информации к юридическому лицу, намеревающемуся получить статус оператора финансовой платформы, а также требования к документам по защите информации, подтверждающим их выполнение таким юридическим лицом. Оператор финансовой платформы должен предоставить регламентированные Проектом Указания Банка России сведения, подтверждающие выполнение соискателем требований по защите информации.

Заполнение сведений осуществляется по результатам проведения оценки соответствия по следующим направлениям:

• оценка выполнения требований к технологическим мерам защиты информации (направление «технологические меры»);
• оценка выполнения требований к безопасности прикладного ПО автоматизированных систем и приложений (направление «безопасность ПО»);
• оценка выполнения требований к обеспечению защиты информации информационной инфраструктуры (направление «безопасность информационной инфраструктуры»).

При этом заполнение сведений об оценке выполнения требований по направлению «безопасность информационной инфраструктуры» по Проекту Указания Банка России должно осуществляться в соответствии с требованиями к методике оценки соответствия защиты информации, установленными разделом 7 ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» (далее – ГОСТ Р 57580.2-2018). В рамках направления «безопасность информационной инфраструктуры» проводится оценка применения организационных и технических мер процессов системы защиты информации, указанных в ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.1-2017).

По Проекту Указания Банка России оценка соответствия по направлению «безопасность информационной инфраструктуры» должна осуществляться с привлечением сторонних организаций, имеющих лицензию на деятельность по технической защите конфиденциальной информации.

Новое положение Банка России

Банком России 2 октября 2020 г. официально опубликовано Положение Банка России от 4 июня 2020 г. № 719 «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – 719-П).

719-П вступает в силу с 1 января 2022 г., за исключением положений, для которых установлены иные сроки вступления их в силу (1 января 2024 г. и 1 января 2031 г.). Со дня вступления в силу 719-П признается утратившим силу Положение Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – 382-П).

Согласно 719-П требования по обеспечению защиты информации при переводе денежных средств будут распространяться не только на операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов платежных систем, операторов услуг платежной, но и на операторов услуг информационного обмена и поставщиков платежных приложений.

Из основных отличий 719-П от «старого» 382-П можно выделить следующие:

• Обязательная реализация уровней защиты информации для объектов информационной инфраструктуры, определенных ГОСТ Р 57580.1-2017.
• Необходимость проведения сторонней организацией-лицензиатом оценки соответствия уровням защиты информации, в соответствии с ГОСТ Р 57580.2-2018.
• Обязанность операторов по переводу денежных средств выполнять требования Положения Банка России от 17 апреля 2019 г. № 683-П.
• Для прикладного ПО автоматизированных систем и приложений, с учетом особенностей, проведение оценки соответствия по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013, либо сертификация в системе сертификации ФСТЭК России. При этом стоит отметить, что 719-П ссылается на требования к уровням доверия, установленные Приказом ФСТЭК России от 30.07.2018 № 131, который будет отменен в январе 2021 г.
• Установлены требования к банковским платежных агентам и субагентам.