Автор: Татьяна Пермякова, старший аналитик
В обзоре изменений за октябрь 2022 года рассмотрим: поручения о размещении согласий субъектов персональных данных на Госуслугах, назначение оператора единой биометрической системы и законопроект о системе, порядок ведения реестра инцидентов Роскомнадзора и обмена сведениями об инцидентах с ФСБ России, а также внутренние документы об обработке персональных данных в Роскомнадзоре, изменения в правила категорирования объектов критической информационной инфраструктуры, методические рекомендации об импортозамещении, положение о платформе для создания государственных информационных систем, дополнение к правилам допуска к государственной тайне, публикация профессиональных стандартов специалистов в области ИБ и ИТ, изменения в порядок сертификации средств защиты в системе ФСТЭК России, результаты работы ТК 362 и т.д.
Изменения в области регулирования персональных данных
Госуслуги и согласия на обработку ПДн
По итогам совещания с членами Правительства Российской Федерации (далее – РФ) Президент утвердил перечень поручений, согласно которым Правительство РФ должно представить предложения по внесению изменений в законодательство РФ в области обеспечения безопасности персональных данных (далее – ПДн), обеспечивающих возможность:
- размещения на едином портале государственных и муниципальных услуг (далее – Госуслуги) перечня согласий на обработку ПДн, которые были даны гражданами органам и организациям, в том числе при получении государственных, муниципальных и коммерческих услуг;
- давать согласие на обработку ПДн и отзывать такое согласие с использованием Госуслуг.
Срок исполнения поручений – 15 ноября 2022 года.
Оператор ЕБС
Официально опубликован Указ Президента Российской Федерации от 30.09.2022 №693 «Об определении организации, обеспечивающей развитие цифровых технологий идентификации и аутентификации».
Оператором Единой биометрической системы (далее – ЕБС) определено Акционерное общество «Центр Биометрических Технологий».
Указ также содержит ряд поручений в адрес Правительства РФ, в том числе образование Координационного совета по развитию цифровых технологий идентификации и аутентификации на основе биометрических ПДн, а также определение в течение 3-х месяцев порядка передачи организации исключительных прав на ЕБС.
Указ вступил в силу с 30.09.2022.
Координационный совет
Для общественного обсуждения представлен проект постановления «О Координационном совете по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных», в котором предлагается утвердить Положение о Совете.
Координационный совет предлагается образовать как консультационный (совещательный) орган, в целях выработки рекомендаций и предложений, определения направлений развития и совершенствования биометрических технологии (технологий идентификации и аутентификации на основе биометрических ПДн). Срок образования Совета проектом не предлагается.
В состав Совета предлагается включить роли:
- Председатель – осуществляет общее руководство, формирование поручений, планирование заседаний и контроль выполнения принятых решений.
- Заместитель Председателя – исполняет обязанности Председателя в его отсутствие, взаимодействует с членами Совета, исполняет поручения председателя.
- Ответственный секретарь – осуществляет организацию заседаний Совета, сбор и структурирование материалов заседаний, формирует повестки и протоколы заседаний, докладывает председателю о работе Совета.
- Члены Координационного совета – выполняют поручения Председателя, исполняют принятые на заседаниях Совета решения в рамках основных видов деятельности Совета.
Положение также содержит порядок планирования и проведения заседаний Совета. Всем членам Координационного совета предлагается осуществлять свою деятельность безвозмездно, на общественных началах.
Обсуждение проекта завершится 14 ноября.
Законопроект про ЕБС
Государственная Дума представила законопроект «О государственной информационной системе «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».
Проект Федерального закона включает статьи, определяющие:
- порядок размещения сведений в ЕБС;
- порядок образования региональных сегментов ЕБС (по обращению субъекта РФ);
- права и полномочия федерального органа исполнительной власти, осуществляющего регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических ПДн (Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры), в соответствии с постановлением Правительства РФ от 19.06.2021 №943);
- полномочия Центрального банка РФ и иных федеральных органов исполнительной власти:
- Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор);
- Федеральной службы безопасности РФ (далее – ФСБ России);
- Федеральной службы по техническому и экспортному контролю РФ (далее – ФСТЭК России);
- полномочия и обязанности Оператора ЕБС;
- порядок и допустимые условия осуществления идентификации и аутентификации физических лиц на основе их биометрических ПДн (в том числе отдельно в случаях прохода на территорию организаций);
- равнозначность использования ЕБС и единой системы идентификации и аутентификации (ЕСИА) при проверке документов, удостоверяющих личность;
- взимание платы за использование ЕБС;
- порядок использования иных информационных систем при обработке биометрических ПДн с целью идентификации и аутентификации;
- порядок аккредитации организаций, осуществляющих аутентификацию на основе биометрических ПДн;
- ответственность за нарушение положений законопроекта, порядок государственного контроля и иное.
Согласно пояснительной записке, законопроект предусматривает проведение идентификации физических лиц на основе биометрических ПДн, в том числе в случаях, предусмотренных нормативными правовыми актами государственных органов, органов местного самоуправления и т.д., только с использованием ЕБС. При этом аутентификацию допускается осуществлять с использованием иных аккредитованных информационных систем. Кроме прочего, проект предлагает расширение способов самостоятельной регистрации физических лиц в ЕБС.
Таким образом предлагается векторная модель, при которой биометрические ПДн будут централизованно храниться в ЕБС, а внешние аккредитованные информационные системы могут хранить и использовать в определенном порядке только векторы данных, полученные из ЕБС. Обработка биометрических ПДн с целью идентификации физических лиц без использования ЕБС (в случае принятия проекта) будет возможна только в случаях:
- осуществления федеральными органами исполнительной власти идентификации и(или) аутентификации с использованием биометрических ПДн физических лиц в целях оперативно-розыскной, контрразведывательной или разведывательной деятельности, обороны страны, обеспечения безопасности государства и охраны правопорядка, функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность, обеспечения санитарно-эпидемиологического благополучия (безопасности);
- если при осуществлении идентификации и(или) аутентификации проверка соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в информационной системе государственного органа, органа местного самоуправления, организации, индивидуального предпринимателя, нотариуса, не осуществляется автоматизированным способом, а осуществляется с участием уполномоченного должностного лица.
В официальном ответе Правительства РФ отмечено, что предлагаемый механизм централизации хранения биометрических ПДн в ЕБС и переход на векторную модель работы иных информационных систем, позволит обеспечить надежное хранение и повысить эффективность защиты биометрических ПДн.
На текущий момент законопроект в статусе принятия профильным комитетом решения о представлении законопроекта в Совет Государственной Думы.
Реестр инцидентов Роскомнадзора: порядок взаимодействия
Для общественного обсуждения представлен проект приказа Роскомнадзора «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».
Проект содержит порядок подачи оператором ПДн и содержание первичного (о наступлении инцидента) и дополнительного (о результатах расследования и ликвидации последствий) уведомлений об инцидентах ИБ (утечках ПДн). Требования синхронизируются с порядком подачи таких электронных уведомлений, которые были опубликованы в сентябре (см. Обзор изменений законодательства за сентябрь 2022 года). Однако кроме электронной формы Оператор должен направить уведомление в виде документа на бумажном носителе по адресу Роскомнадзора.
После получения ведомством уведомления, оператору направляется письмо о факте передачи его уведомления в информационную систему Роскомнадзора. Номер и ключ такого письма необходимо указать при направлении оператором дополнительного уведомления (о расследовании инцидента).
Проект также содержит порядок и сроки ответа Оператором на запросы ведомства о представлении дополнительной информации по уведомлению.
Согласно проекту, приказ вступает в силу с 1 марта 2023 года. Общественное обсуждение завершится 10 ноября.
Порядок взаимодействия Роскомнадзора и ФСБ России
Для общественного обсуждения представлен проект совместного приказа Роскомнадзора и ФСБ России «Об утверждении Порядка передачи информации о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных».
Проект содержит состав и порядок обмена между Роскомнадзором и ФСБ России информацией об инцидентах, повлекших утечку ПДн, полученной от Операторов ПДн. Обмену подлежит следующая информация об инцидентах:
- факт произошедшего компьютерного инцидента;
- предполагаемые причины компьютерного инцидента;
- предполагаемый вред, нанесенный правам субъектов ПДн;
- принятые оператором меры по устранению последствий соответствующего компьютерного инцидента;
- сведения о лице, уполномоченном оператором на взаимодействие с уполномоченными органами;
- результаты внутреннего расследования выявленного компьютерного инцидента;
- сведения о лицах, действия которых стали причиной произошедшего компьютерного инцидента (при наличии).
Обмен данными об инцидентах предлагается осуществлять ответственными должностными лицами, определенными в ведомствах, в электронном виде в течение 3 дней с момента получения сведений от Оператора. Формат и канал передачи сведений определяются назначенными в ведомствах ответственными лицами (четко в приказе не закреплены).
Общественное обсуждение проекта завершилось 3 ноября.
Об обработке ПДн в Роскомнадзоре
Для общественного обсуждения представлен проект приказа Роскомнадзора «Об обработке персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций».
Проектом предлагается утвердить ряд внутренних организационно-распорядительных документов ведомства в области обработки и защиты ПДн.
Правила обработки ПДн – представляет собой политику обработки ПДн, содержащую:
- перечень субъектов ПДн, данные которых обрабатываются в Роскомнадзоре;
- цели, условия и порядок обработки ПДн в связи с реализацией служебных или трудовых отношений, выполнении государственный функций, оказании государственных услуг;
- порядок обработки ПДн в информационных системах (принципы обеспечения безопасности ПДн при автоматизированной обработке);
- порядок работы с обезличенными данными;
- сроки и порядок обработки, хранения и уничтожения ПДн;
- порядок рассмотрения запросов субъектов ПДн;
- полномочия и обязанности лица, ответственного за организацию обработки ПДн.
Правила осуществления внутреннего контроля соответствия. Контроль осуществляется лицом, ответственным за организацию обработки ПДн на основании ежегодного плана. Документ содержит принципы независимости контрольных мероприятий, критерии контроля, требования к длительности проверок и конфиденциальности ПДн, доступ к которым получен в ходе проверки, а также требования к отчетности.
Должностная инструкция лица, ответственного за организацию обработки ПДн. Ответственный назначается из числа руководителей. Инструкция устанавливает права и обязанности ответственного лица, предусмотренные в Федеральном законе от 27.07.2006
№152-ФЗ «О персональных данных».
Порядок доступа служащих Роскомнадзора в помещения, в которых ведется обработка ПДн. Доступ в помещения, где ведется обработка ПДн (на бумажных и электронных носителях) осуществляется в соответствии со списком должностей, допущенных к обработке ПДн, утвержденном соответствующим приказом (см. далее). Документ устанавливает средства контроля и ограничения допуска, правила обеспечения служащими безопасности ПДн в случае такого допуска, а также устанавливает ответственность за их нарушение.
Кроме этого, проектом предлагается утвердить:
- перечень информационных систем ПДн;
- перечень должностей, замещение которых предусматривает участие в обработке ПДн (иначе: перечень должностей, допущенных к обработке ПДн);
- типовое обязательство служащего Роскомнадзора, осуществляющего обработку ПДн, прекратить обработку при расторжении служебного контракта (иначе: соглашение о неразглашении);
- типовая форма согласия на обработку ПДн;
- типовая форма разъяснения субъекту ПДн юридических последствий отказа предоставить ПДн.
Публичное обсуждение приказа завершится 9 ноября.
Изменения в правила категорирования
Опубликован проект постановления правительства РФ «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127».
Проектом предлагается введение обязательства отраслевых ведомств осуществлять регулярный мониторинг актуальности и достоверности сведений о результатах категорирования объектов критической информационной инфраструктуры (далее – КИИ), предоставляемых подведомственными субъектами КИИ и субъектами, осуществляющими деятельность в сфере, регулируемой ведомством. Такой мониторинг предлагается осуществлять как в формате заочного запроса сведений, так и в формате очного обследования («путем ознакомления с объектами КИИ в условиях их эксплуатации»).
Проект также предлагает внесение изменений в Перечень показателей критериев значимости объектов КИИ.
Предлагается внести изменения в следующие критерии:
1. Показатели социальной значимости. Нижний порог по количеству людей, на которых может быть оказано негативное воздействие, увеличился с 2-3 до 10 и по численности муниципальных образований с 2 тыс. человек до 10 тыс. человек для следующих показателей:
- показатели нарушения функционирования объектов обеспечения жизнедеятельности населения (показатель 2);
a. показатели нарушения транспортного сообщения (показатель 3);
b. показатель нарушения функционирования сетей связи (показатель 4).
2. Показатели экономической значимости. Снизился порог оценки ущерба бюджету РФ или бюджету субъекта РФ и ущерба от прекращения/нарушения проведения операций финансовыми организациями.
3. Показатели экологической значимости. Нижний порог численности муниципальных образований, подверженных вредным воздействиям, с 2 тыс. человек увеличился до 10 тыс.мости позволит исключить из значимых объектов КИИ объекты, обеспечивающие функционирование мелких сельских поселений.
Согласно пояснительной записке к проекту, уточнение критериев показателей социальной значимости позволит исключить из значимых объектов КИИ объекты, обеспечивающие функционирование мелких сельских поселений.
Предлагается добавить следующие показатели:
- Показатель социальной значимости: время отсутствия доступа к государственной услуге (невозможности ее оказания), оцениваемое с момента приема запроса о предоставлении услуги.
- Показатели экономической значимости:
- прекращение/нарушение проведения операций по исполнению обязательств центральным контрагентом;
- прекращение/нарушение проведения учетных и расчетных операций, осуществляемых центральным депозитарием и регистратором финансовых транзакций;
- прекращение/нарушение проведения операций по выплатам, передаче и размещению денежных средств, осуществляемых негосударственным пенсионным фондом;
- прекращение/нарушение проведения операций по выплатам, перестрахованию, инвестициям, осуществляемых страховыми организациями;
- прекращение/нарушение выполнения функций по переводу денежных средств, осуществляемых операторами услуг информационного обмена.
Полная сводная таблица с отображением предлагаемых изменений в исходный перечень приведена в приложении к обзору.
Общественное обсуждение проекта завершилось 28 октября.
Импортозамещение
Вице-премьер Дмитрий Чернышенко утвердил Методические рекомендации по формированию отраслевых планов мероприятий по обеспечению готовности заказчиков к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры РФ.
Рекомендации направлены на формирование методологических основ по подготовке отраслевых планов: их рекомендуется формировать на период до 1 января 2027 года. Допускается привлечение Отраслевых центров компетенций.
Документ содержит также рекомендации к структуре отраслевого плана, в который следует включить:
- Мероприятия по обеспечению готовности перехода заказчиков (организаций, осуществляющих закупки программного обеспечения) на преимущественное использование российского программного обеспечения (далее – ПО):
- назначение работника ведомства, ответственного за формирование и реализацию отраслевого плана (не ниже заместителя руководителя ведомства);
- формирование рабочей группы по переходу заказчиком на преимущественное использование российского ПО;
- определение перечня заказчиков в отрасли (в т.ч. являющихся субъектами КИИ и имеющих значимые объекты КИИ);
- определение факторов, препятствующих такому переходу;
- формирование функциональных и технических требований к ПО;
- определение ресурсных (финансовых) отраслевых потребностей заказчиков;
- мониторинг хода реализации отраслевого плана и т.д.
Полная версия методических рекомендаций приведена в приложении к обзору.
Положения о платформе ГосТех
Состоялось общественное обсуждение проекта постановления Правительства РФ «Об утверждении Положения о единой цифровой платформе Российской Федерации «ГосТех» и внесении изменений в постановление Правительства Российской Федерации от 6 июля 2015 г. № 676».
Проект предлагает обязательные изменения для государственных информационных систем (далее – ГИС) и носит рекомендательных характер для муниципальных информационных систем (далее – МИС).
Положение о платформе «ГосТех» определяет основные термины, назначение платформы, ее цель, задачи и основные принципы функционирования.
Платформа «ГосТех» создается в целях сокращения сроков, повышения эффективности и результативности процессов по созданию и развитию ГИС на платформе с переходом на качественно новый уровень их эргономичности, совместимости, надежности и защищенности.
Платформа позволяет:
- проектировать архитектуру ГИС, обеспечивать итерационный подход к ее созданию и развитию;
- обеспечивать информационную безопасность облачных вычислений и ГИС на всех этапах их жизненного цикла;
- реализовать повторное использование типовых программных компонентов ГИС;
- формировать методическую и правовую базу для функционирования платформы и т.д.
Для создания, развития и эксплуатации платформы «ГосТех» используются в том числе:
- сервисы конфигурирования;
- сервисы аудита событий безопасности;
- сервисы управления учетными записями пользователей;
- сервисы управления базами данных;
- сервисы управления микросервисами и процессами;
- сервисы интеграции с инфраструктурой электронного правительства;
- средства защиты от сетевых атак и т.д.
Технологическую и финансовую целесообразность создания и развития ГИС на платформе «ГосТех» предлагается определять с использованием критериев, определяемых президиумом Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности.
При этом ПО, созданное с использованием цифровых продуктов платформы «ГосТех», представляет собой самостоятельный результат интеллектуальной деятельности, отделенный на уровне объектного и исходного кода от базовых сервисов платформы «ГосТех».
Положение также определяет зоны ответственности участников платформы, принципы функционирования платформы, общие требования к защите информации в ГИС на платформе и прочее.
Также в продолжение Положения о платформе «ГосТех» предлагаются изменения в постановление Правительства РФ от 06.07.2025 №676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»:
- Аналогично пунктам Положения, требования предлагается рекомендовать к использованию в МИС (расширить область действия постановления).
- Дополнить постановление терминами, используемыми при описании платформы, ее целей, задач, структуры и принципов создания ГИС на платформе.
- Ввести положения, касающиеся определения целесообразности, технико-экономического обоснования и порядка создания и ввода в эксплуатацию ГИС на платформе «ГосТех» (формирование технического задания, модели угроз и т.д.).
Общественное обсуждение проекта завершилось 26 октября. В случае утверждения проекта изменения вступят в силу с 1 января 2023 года.
Допуск к гостайне
Официально опубликовано постановление Правительства Российской Федерации от 29.10.2022 №1932 «О внесении изменений в Инструкцию о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне».
Постановление вводит изменения в Инструкцию о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне, утвержденную постановлением Правительства РФ от 06.02.2010 №63 (далее ‑ Инструкция).
Допуск к государственной тайне (далее – ГТ) по третьей форме с проведением проверочных мероприятий органами безопасности теперь также обязателен для:
- руководителей территориально обособленных подразделений, работающих с ГТ;
- заместителям руководителей по режиму безопасности ГТ;
- работников структурных подразделение по защите ГТ;
- лицам, которые назначаются уполномоченными режимно-секретного подразделения.
Уточняется порядок составления номенклатуры должностей (перечня должностей, при назначении на которые гражданам необходимо оформление допуска к ГТ): в участии формирования номенклатуры теперь должны принимать участие также руководители подразделений. Она должна формироваться на основании штатного расписания организации и полученных от руководителей подразделений предложений с обоснованием необходимости такого допуска.
В пунктах 23, 70 и 71 исключили отдельные требования для подписания документов в органах государственной власти, госкорпорациях «Роскосмос» и «Росатом» и ввели общее требование: номенклатуру должностей, задания (при получении допуска командированных лиц к ГТ) и письменное разрешение на допуск командированных граждан к ГТ подписывает руководитель организации или уполномоченное им должностное лицо.
Профессиональные стандарты по ИБ
Официально опубликованы некоторые профессиональные стандарты для специалистов по информационной безопасности и в смежных областях, содержащие описание трудовых функций специалистов:
1. Специалист по безопасности компьютерных систем и сетей:
- техническое обслуживание средств защиты информации в компьютерных системах и сетях;
- администрирование средств защиты информации в компьютерных системах и сетях;
- оценивание уровня безопасности компьютерных систем и сетей;
- разработка программно-аппаратных средств защиты информации компьютерных систем и сетей;
- руководство разработкой программно-аппаратных средств защиты информации компьютерных систем и сетей.
2. Специалист по защите информации в автоматизированных системах:
- обслуживание систем защиты информации в автоматизированных системах, используемых в том числе на объектах КИИ, в отношении которых отсутствует необходимость присвоения им категории значимости (далее – АС и объекты КИИ без категории значимости);
- обеспечения защиты информации в АС и объектах КИИ без категории значимости;
- разработка систем защиты АС и объектов КИИ без категории значимости;
- формирование требований к защите информации в АС и объектах КИИ без категории значимости.
3. Специалист по защите информации в телекоммуникационных системах и сетях:
- выполнение комплекса мер по обеспечению функционирования средств связи сетей электросвязи (за исключением сетей связи специального назначения) и средств их защиту о несанкционированного доступа (далее – НСД) и компьютерных атак;
- обеспечение защиты от НСД и компьютерных атак сооружений и средств связи сетей электросвязи (за исключением сетей связи специального назначения) в процессе их эксплуатации;
- обеспечение функционирования средств связей сетей связи специального назначения;
- разработка средств защиты средств связи сетей электросвязи (за исключением сетей связи специального назначения) от НСД и компьютерных атак;
- обеспечение защиты средств связей сетей связи специального назначения от НСД;
- управление развитием средств и систем защиты средств связи сетей электросвязи от НСД;
- экспертиза проектных решений в сфере защиты средств связи сетей электросвязи от НСД и компьютерных атак.
4. Технический писатель (специалист по технической документации в области информационных технологий):
- оформление и компоновка технической документации на продукцию в сфере информационно-коммуникационных технологий (далее – ИКТ);
- разработка документации, ориентированной на конечного пользователя, на продукцию в сфере ИКТ, разработка стандартизированных технических документов на основе предоставленного материала;
- управление знаниями о продукте;
- описание продуктов с точки зрения инженера или разработчика;
- руководство разработкой технической документации продукта;
- создание и внедрение средств разработки технической документации;
- руководство отделом технического документирования;
- руководство функциональным подразделением технической коммуникации.
Стандарты описывают необходимые знания и умения, возможные наименования должностей, профессий, а также требования к условиям работы, допуску, образованию и иное.
Сертификация ФСТЭК России
Изменения в Положение о системе сертификации СрЗИ
Официально опубликован приказ ФСТЭК России от 19.09.2022 №172 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55».
Приказ корректирует сроки некоторых мероприятий в рамках сертификации средств защиты информации:
Также добавлен пункт, позволяющий разработчикам средств защиты, имеющим сертификат соответствия процедур безопасной разработки ПО требованиям национальных стандартов в области зашиты информации в случае внесения изменений в средство защиты, в том числе связанных с добавлением или изменением существующих функций безопасности, проводить сертификационные испытания самостоятельно. Однако в нормативных правовых документах, а также опубликованных проектах ведомства на текущий момент не определен/не предложен порядок такой сертификации разработчиков. В форму заявки на сертификацию средства защиты добавлено поле для указания номера такого сертификата.
Напомним, что ранее при добавлении новых или внесении изменений в существующие функции безопасности ПО испытания возможно было проводить только с привлечением испытательной лаборатории (в остальных случаях – самостоятельно).
Изменения в Правила аккредитации органов по сертификации и испытательных лабораторий
Для обсуждения опубликован проект постановления Правительства РФ «О внесении изменений в Правила аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, утвержденные постановлением Правительства Российской Федерации от 3 ноября 2014 г. № 1149».
Проект предлагает ввести систему аттестации экспертов органов по сертификации и специалистов испытательных лабораторий. В пояснительной записке к проекту отмечено, что изменения позволят обеспечить повышение качества оценки уровня знаний экспертов (специалистов), в том числе за счет установления единых детализированных требований к уровню знаний экспертов (специалистов), а также порядка их оценки. Проект предусматривает наделение уполномоченных федеральных органов исполнительной власти правами по установлению порядка оценки знаний.
Общественное обсуждение проекта завершится 10 ноября.
Справки-доклады о работе ТК 362
Опубликованы доклады о ходе работ по плану Технического комитета по стандартизации «Защита информации» (далее – ТК 362) по состоянию на 30.09.2022 и 30.10.2022.
Подведем суммарный итог:
1. Проведено публичное обсуждение проектов национальных стандартов:
- ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения»;
- ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (идентичный на основе ISO/IEC 15408-1:2022);
- ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (идентичный на основе ISO/IEC 15408-2:2022);
- ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по оценке безопасности разработки программного обеспечения»;
- ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации».
Получены замечания организаций-членов ТК 362. Скорректированные проекты готовятся к представлению в секретариат в декабре 2022 года.
2. В рамках взаимодействия с другими комитетами: в ТК 164 «Искусственный интеллект» направлены результаты рассмотрения первой редакции проекта национального стандарта ГОСТ Р «Искусственный интеллект. Нейросетевые алгоритмы в защищенном исполнении. Автоматическое обучение нейросетевых моделей на малых выборках в задачах классификации».
3. Проводятся работы по издательскому редактированию и подготовке к утверждению проектов национальных стандартов:
- ГОСТ Р 59709-20ХХ «Защита информации. Управление компьютерными инцидентами. Термины и определения»;
- ГОСТ Р 59710-20ХХ «Защита информации. Управление компьютерными инцидентами. Общие положения»;
- ГОСТ Р 59711-20ХХ «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами»;
- ГОСТ Р 59712-20ХХ «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты».
Плановый срок завершения работ – ноябрь 2022 года.
4. Завершена процедура рассмотрения организациями-членами рабочей группы 1 (РГ 1) первой редакции проекта национального стандарта ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества» Редакция представлена на согласование председателю ПК 3. В ноябре 2022 года планируется представить проект председателю ТК 362 для принятия решения об организации его публичного обсуждения.
5. Секретариатом ТК 362 совместно с руководителем рабочей группы 4 (РГ 4) подготовлено и направлено в Федеральное агентство по техническому регулированию и метрологии заключение по вопросу (не)эквивалентности национальных стандартов ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Требования» и ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
6. Подготовлено и разослано председателям подкомитетов, руководителям рабочих групп, руководителям организаций-членов ТК 362-разработчикам проектов национальных стандартов информационное письмо о подготовке планов работы рабочих групп и предложений в план работы ТК 362 на 2023 год. Плановый срок представления предложений – 15.11.2022.
Также опубликованы результаты анализа работы ТК 362 за III квартал. Подведены общие итоги работы комитета за III квартал 2022 года, а также приведены результаты анализа активности организаций-членов ТК 362 в обсуждении проектов стандартов: отмечены наиболее активные участники, а также организации, не принимавшие участия в деятельности комитета.
Изменения в ГОСТ 34.13-2018 (ТК 26)
Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) представил для общественного обсуждения проект изменений в ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».
Изменения предполагают дополнение стандарта описанием двух режимов работы алгоритмов блочного шифрования: режима гаммирования с преобразованием ключа и режима аутентифицированного шифрования с ассоциированными данными.
Новости спорта: требования к системам контроля доступа
Официально опубликован приказ Министерства спорта Российской Федерации от 22.08.2022 № 676 «Об утверждении требований к информационным системам контроля доступа».
В части требований по защите информации приказ содержит:
- требование об использовании частично-маскированных данных фамильно-именной группы посетителя;
- журналирование событий безопасности и передачу их в режиме реального времени;
- использование сертифицированных средств криптографической защиты информации при обмене между Системой идентификации болельщиков (далее – СИБ) и Системой контроля доступа (класс средства защиты определяется в соответствии с приказом ФСБ России от 10.07.2014 №378);
- запрет записи данных СИБ на съемные машинные носители;
- требования к резервированию технических средств систем контроля доступа.
Обсуждение проекта продлится до 20 января 2023 года.