В обзоре изменений за октябрь 2024 года рассмотрим следующие темы:
1. Критическая информационная инфраструктура
Представлен проект постановления Правительства РФ, согласно которому предлагается возложить на Минтруд России ответственность за организацию перехода на преимущественное использование доверенных ПАК субъектами КИИ, осуществляющими функции государственного пенсионного обеспечения и обязательного социального страхования.
2. Персональные данные
Перечень индикаторов риска нарушения требований при осуществлении контроля за обработкой ПДн дополняется новым индикатором риска.
Роскомнадзор сможет запрещать трансграничную передачу ПДн иностранному лицу, включенному в перечень иностранных и международных организаций, деятельность которых признана нежелательной на территории РФ.
3. Безопасность финансовых организаций
Банк России опубликовал Методические рекомендации по нейтрализации угроз при обработке биометрических ПДн, а также Указание, регламентирующее осуществление Банком России надзора за порядком размещения и обновления сведений в ЕСИА и ЕБС.
4. Иное
Рассмотрим новый Перечень индикаторов риска нарушения требований в сфере идентификации и аутентификации, изменения в перечне служебной информации ограниченного распространения и составе информации, подлежащей хранению организатором распространения информации в сети «Интернет», проект изменений в 149-ФЗ и проект концепции Федерального закона «Цифровой кодекс РФ».
5. Деятельность ФСТЭК России
Рассмотрим стандарты, опубликованные в 3 квартале 2024 года, деятельность ТК 362, а также продление сроков лицензионного контроля в соответствии с 294-ФЗ
Критическая информационная инфраструктура
Назначение Минтруда России ответственным за организацию перехода на преимущественное использование доверенных ПАК на значимых объектах КИИ
Для общественного обсуждения представлен проект постановления Правительства Российской Федерации (далее – РФ) «О внесении изменений в постановление Правительства РФ от 14.11.2023 № 1912 «О порядке перехода субъектов критической информационной инфраструктуры (далее – КИИ) РФ на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ РФ».
Проект предусматривает передачу ответственности по организации перехода субъектов КИИ РФ, осуществляющих функции:
- государственного пенсионного обеспечения;
- обязательного социального страхования (за исключением функций, осуществляемых на основании лицензии на осуществление деятельности по пенсионному обеспечению и социальному страхованию),
на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ РФ от Министерства финансов РФ к Министерству труда и социальной защиты РФ (далее – Минтруд России).
Если проект будет принят, то до 1 декабря 2024 года Минтруд России должен будет определить должностное лицо, ответственное за организацию перехода, а также утвердить План организации перехода.
Общественное обсуждение проекта постановления завершилось 23 октября 2024 года.
Персональные данные
Дополнение Перечня индикаторов риска нарушения требований при осуществлении контроля за обработкой ПДн
Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры РФ) представило для общественного обсуждения проект приказа «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных (далее – ПДн), утвержденный приказом Минцифры РФ от 15.11.2021 № 1187»
Проект предлагает дополнить Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн новым индикатором риска – наличие информации о двух и более случаях в течение календарного года трансграничной передачи ПДн контролируемым лицом без уведомления о намерении осуществлять трансграничную передачу ПДн, если передача осуществлялась при помощи программных средств, принадлежащих иностранному юридическому или физическому лицу.
Общественное обсуждение проекта завершилось 16 октября 2024 года.
Уточнение случаев запрета трансграничной передачи ПДн
23 октября 2024 года вступило в силу постановление Правительства РФ от 14.10.2024 № 1371 «О внесении изменения в постановление Правительства РФ от 16.01.2023 № 24», согласно которому в целях защиты нравственности, здоровья, прав и законных интересов граждан РФ Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций может принимать решение о запрещении трансграничной передачи ПДн, если передача планируется иностранному юридическому лицу, включенному в перечень иностранных и международных организаций, деятельность которых признана нежелательной на территории РФ.
Ранее возможность запрета трансграничной передачи ПДн была только в отношении иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ.
Безопасность финансовых организаций
Методические рекомендации по нейтрализации угроз при обработке биометрических ПДн
Центральный банк РФ (далее – Банк России) опубликовал Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических ПДн, векторов единой биометрической системы (далее – ЕБС), проверке и передаче информации о степени соответствия векторов ЕБС предоставленным биометрическим ПДн физического лица:
- при взаимодействии информационных систем организаций финансового рынка с ЕБС (от 08.10.2024 №18-МР);
- в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических ПДн физических лиц, за исключением ЕБС, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами (от 09.10.2024 №19-МР).
Рекомендации разработаны в целях обеспечения единства подходов организаций финансового рынка, указанных в Федеральном законе от 29.12.2022 № 572-ФЗ (далее – 572-ФЗ), к нейтрализации угроз безопасности, определенных Указаниями Банка России от 25.09.2023 № 6540-У и № 6541-У.
Рекомендации определяют перечень технологических участков, на которых рекомендуется принимать меры, направленные на нейтрализацию угроз, меры, которые необходимо реализовать на каждом из технологических участков, а также порядок информирования Банка России об инцидентах.
Организациям финансового рынка рекомендуется информировать Банк России о:
- выявленных инцидентах защиты информации и инцидентах операционной надежности, включенных в Перечень типов инцидентов, определенный СТО БР БФБО-1.5-2023 «Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности»;
- причинах возникновения инцидента, принятых мерах и проведенных мероприятиях по реагированию на инцидент.
Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических ПДн, их проверке и передаче информации о степени их соответствия предоставленным биометрическим ПДн гражданина РФ от 14.02.2019 № 4-МР признаются утратившими силу.
Контроль за порядком размещения и обновления сведений в ЕСИА и ЕБС
15 октября 2024 года вступило в силу Указание Банка России от 17.06.2024 № 6756-У «О порядке осуществления Банком России надзора за соблюдением банками и операторами финансовых платформ порядка размещения и обновления сведений, указанных в п. 5.6 ст. 7 Федерального закона от 07.08.2001№ 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее – 115-ФЗ).
Согласно Указанию Банк России в рамках осуществления надзора за порядком размещения и обновления сведений, необходимых для регистрации клиента в единой системе идентификации и аутентификации (далее – ЕСИА), и биометрических ПДн физического лица в ЕБС:
‒ запрашивает у банков и операторов финансовых платформ документы и информацию, в том числе содержащие ПДн, подтверждающие соблюдение порядка размещения и обновления информации в ЕСИА и ЕБС;
‒ проводит проверки полноты внесения сведений в ЕСИА и ЕБС.
Указание Банка России от 21.09.2021 № 5936-У «О порядке осуществления Банком России надзора за соблюдением банками и операторами финансовых платформ порядка размещения и обновления сведений, указанных в п. 5.6 ст. 7 115-ФЗ» признается утратившим силу.
Иное
Перечень индикаторов риска нарушения требований в сфере идентификации и аутентификации
22 октября 2024 года был опубликован приказ Минцифры России от 16.09.2024 № 773 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации (далее – Перечень)».
Приказ отменяет действовавший ранее Перечень. Новый Перечень содержит индикаторы из старого Перечня, приведенные в соответствие 572-ФЗ:
- выявление в течение 14 дней со дня фиксации первого случая 5 случаев технического сбоя в работе аппаратных шифровальных (криптографических) средств, используемых аккредитованной организацией, осуществляющей аутентификацию на основе биометрических ПДн физических лиц (далее – организацией);
- возникновение у организации в течение 14 календарных дней со дня фиксации первого случая более 10 случаев ложного совпадения предоставленных биометрических ПДн с векторами ЕБС;
- возникновение у организации в течение 14 календарных дней со дня фиксации первой ошибки более 10 ошибок при обнаружении атак на биометрическое предъявление в процессе прохождения аутентификации.
Также Перечень включает новый индикатор риска – поступление в Минцифры России заявления об аккредитации организации, осуществляющей аутентификацию на основе биометрических ПДн физических лиц, содержащего информацию о:
- работнике, осуществляющем деятельность по аутентификации на основе биометрических ПДн, имеющем высшее образование в области информационных технологий или информационной безопасности, который ранее был заявлен как работник, осуществляющий такую деятельность;
- аккредитованной организации, осуществляющей аутентификацию на основе биометрических ПДн физических лиц.
Расширение перечня служебной информации ограниченного распространения
17 октября 2024 года вступило в силу постановление Правительства РФ от 09.10.2024 № 1350 «О внесении изменений в постановление Правительства РФ от 03.11.1994 № 1233 (далее ПП-1233)».
Согласно постановлению к перечню служебной информации ограниченного распространения, указанной в ПП-1233, добавляется несекретная информация, распространение которой может создать потенциальную угрозу интересам РФ, содержащаяся в документах Архивного фонда РФ, хранящихся в государственных, муниципальных архивах и архивах федеральных органов исполнительной власти, иных федеральных органов, уполномоченного органа управления использованием атомной энергии и уполномоченного органа по космической деятельности.
Изменения в составе информации, подлежащей хранению организатором распространения информации в сети «Интернет»
Официально опубликовано постановление Правительства РФ от 09.10.2024 № 1348
«О внесении изменений в постановление правительства РФ от 23.09.2020 № 1526», согласно которому вносятся изменения в состав информации, подлежащей хранению организатором распространения информации в сети «Интернет» при обеспечении функционирования коммуникационного интернет-сервиса.
Теперь организаторам распространения информации необходимо хранить данные о сетевых адресах и портах пользователя, сетевых адресах и портах коммуникационного интернет-сервиса, с использованием которых осуществлялись:
- регистрация и авторизация пользователя;
- прекращение регистрации;
- прием, передача, доставка или обработка электронных сообщений.
Ранее необходимо было хранить только информацию о сетевом адресе пользователя.
Постановление вступает в силу с 1 января 2025 года.
Изменения в 149-ФЗ
В Государственную думу на рассмотрение внесен законопроект № 729110-8 «О внесении изменения в статью 15.3 Федерального закона «Об информации, информационных технологиях и о защите информации», согласно которому перечень распространяемой с нарушением закона информации в сети «Интернет» предлагается расширить информацией, содержащей предложения о предоставлении незаконных услуг в сфере миграции, а также о способах организации незаконной миграции.
Проект концепции Федерального закона «Цифровой кодекс РФ»
Представлен проект Концепции Федерального закона «Цифровой кодекс РФ», которым планируется:
- урегулировать весь понятийный аппарат, применяемый в области информационно - коммуникационных технологий и связи, который на данный момент располагается в более чем 10 нормативных правовых актах;
- урегулировать основные принципы функционирования цифрового профиля, включая автоматизированное предоставление необходимых сведений по указанию субъекта ПДн;
- закрепить механизмы контроля субъекта ПДн за предоставленными согласиями на обработку ПДн;
- закрепить единый подход и систематизировать положения, касающиеся защиты ПДн и конфиденциальности;
- разработать правовые основы регулирования инфраструктуры информационной безопасности, в том числе упорядочить отношения в сфере технологической независимости КИИ РФ и другое.
Деятельность ФСТЭК России
Продление сроков лицензионного контроля в соответствии с 294-ФЗ
Федеральная служба по техническому и экспортному контролю РФ (далее – ФСТЭК России) подготовила проект постановления Правительства РФ, согласно которому лицензионный контроль за:
- деятельностью по технической защите конфиденциальной информации;
- за разработкой и производством средств защиты конфиденциальной информации,
планируется осуществлять в соответствии с Федеральным законом от 26.12.2008 № 294-ФЗ (далее – 294-ФЗ) «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» до 31 декабря 2025 года.
В настоящее время согласно постановлению Правительства РФ от 03.03.2012 № 171 «О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации» и постановлению Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» контроль за данными видами деятельности осуществляется в соответствии с 294-ФЗ в до 31 декабря 2024 года.
Публичное обсуждение проекта завершится 8 ноября 2024 года.
Стандарты, принятые в 3 квартале
На официальном сайте ФСТЭК России опубликованы Сведения о принятых национальных и международных стандартах за 3 квартал 2024 года.
С июля по сентябрь 2024 года стандарты в области защиты информации не утверждались, однако, на официальном сайте Федерального агентства по техническому регулированию и метрологии (далее – Росстандарт) были официально опубликованы стандарты, утвержденные в июне 2024 года:
- ГОСТ Р 71303-2024 «Системная и программная инженерия. Возможности программных инструментариев для организационного управления инцидентами. Общие положения», разработанный на основе положений международного стандарта ISO/IEC 23531:2020 «Системная и программная инженерия. Возможности инструментов управления инцидентами» («Systems and software engineering – Capabilities of issue management tools»);
- ГОСТ Р 71440-2024 «Информационные технологии. Оценка процессов. Руководство по определению рисков в процессах», разработанный на основе международного документа ISO/IEC TR 33015:2019 «Информационные технологии. Оценка процессов. Руководство по определению риска в процессах» («Information technology – Process assessment – Guidance for process risk determination»);
- ГОСТ Р 71452-2024 «Требования к функциональной безопасности и защите системы контроля промышленной автоматизации (IACS) на протяжении жизненного цикла», разработанный на основе положений международного документа IEC/PAS 63325:2020 «Требования жизненного цикла функциональной безопасности и защиты для IACS» («Lifecycle requirements for functional safety and security for IACS»).
Деятельность ТК 362
На официальном сайте ФСТЭК России опубликована справка-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2024 год по состоянию на 30.09.2024.
В интересах выполнения плана проведены следующие работы над проектами национальных стандартов ГОСТ Р:
- «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке» и «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом» – завершено голосование по представлению окончательных редакций проектов в Росстандарт для утверждения;
- «Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования» прошел издательское редактирование;
- «Защита информации. Разработка безопасного программного обеспечения (далее – ПО). Композиционный анализ ПО. Общие положения» доработан по замечаниям и представлен в секретариат ТК 362;
- «Защита информации. Разработка безопасного ПО. Методика оценки уровня внедрения процессов разработки безопасного ПО». Проведено рассмотрение первой редакции проекта;
- «Аэродромы гражданские. Искусственные покрытия. Искусственный интеллект при распознавании дефектов. Общие положения» разослан на рассмотрение в организации-члены ТК 362.
Помимо работ над проектами национальных стандартов, были проведены следующие работы:
- проведено рассмотрение организациями-членами ТК 362 проекта правил стандартизации «Порядок проведения экспертизы проектов документов национальной системы стандартизации в области обеспечения информационной безопасности»;
- подготовлено информационное письмо о несогласовании включения в проект программы национальной стандартизации на 2025 год пересмотра национального стандарта ГОСТ Р ИСО/МЭК 27006-2020 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности».