Обзор изменений в законодательстве за сентябрь 2020

В сентябре 2020 года:

• ФСТЭК России инициировала изменения по приведению в соответствие реестровой модели оказываемых ей государственных услуг по лицензированию.
• Минцифры России (в прошлом – Минкомсвязь России) разработало проект федерального закона, предлагающего изменения в законодательстве о персональных данных.
• В области обеспечения безопасности значимых объектов критической информационной инфраструктуры выпущены изменения в Приказ ФСТЭК России от 25 декабря 2017 г. № 239 и новый приказ о порядке согласования подключения значимых объектов к сетям связи общего пользования.
• Национальный координационный центр по компьютерным инцидентам запустил публикацию еженедельной статистики по своей работе.

Лицензирование видов деятельности по защите информации

ФСТЭК России 9 сентября 2020 г. опубликовала проект постановления Правительства РФ О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации (далее – СЗКИ), утвержденное постановлением Правительства РФ от 3 марта 2012 г. № 171 (далее – Проект).

Разработка Проекта обусловлена вступлением в силу с 1 января 2021 г. изменений, вводимых Федеральным законом от 27 декабря 2019 г. № 478-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части внедрения реестровой модели предоставления государственных услуг по лицензированию отдельных видов деятельности» (далее – Закон № 478-ФЗ). Проект направлен на приведение Положения о лицензировании деятельности по разработке и производству СЗКИ в соответствие ‎с внедренной Законом № 478-ФЗ реестровой моделью предоставления государственных услуг по лицензированию отдельных видов деятельности.

Кроме того, Проектом исключаются из Положения о лицензировании деятельности по разработке и производству СЗКИ ссылки на утратившие силу пункты Федерального закона ‎«О лицензировании отдельных видов деятельности» от 04.05.2011 № 99-ФЗ.

Следом 10 сентября 2020 г. был опубликован аналогичный Проект постановления Правительства РФ «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации», утвержденное Постановлением Правительства РФ от 3 февраля 2012 г. № 79. Предлагаемые этим проектом изменения также направлены на приведение деятельности по лицензированию в соответствие с новой реестровой моделью предоставления государственных услуг. Реестровая модель подразумевает переход от предоставления результата госуслуги в виде бумажного документа к записи в электронном реестре.

Следствием указанных инициатив стали проекты изменений в административные регламенты по предоставлению государственной услуги ФСТЭК России в связи с вводом реестровой модели:

• Проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134».
• Проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 133».

Персональные данные

9 сентября 2020 г. Минцифры России опубликовало Проект Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» в части установления основ правового регулирования обязательных требований» (далее – Проект ФЗ).

Проект ФЗ определяет конкретный перечень областей регулирования, связанных с обработкой персональных данных (далее – ПДн), требования которых определяются как обязательные, а именно:

• соблюдение принципов обработки ПДн;
• установление правовых оснований обработки ПДн;
• поручение оператором обработки ПДн другому лицу;
• соблюдение конфиденциальности ПДн;
• согласие субъекта ПДн на обработку его ПДн;
• обработка специальных категорий ПДн;
• обработка биометрических ПДн;
• трансграничная передача ПДн;
• обработка ПДн в государственных или муниципальных информационных системах ПДн;
• предоставление субъекту ПДн информации, касающейся обработки его ПДн;
• обработка ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации (в части установления правовых оснований для осуществления такой обработки и ее прекращения);
• защита прав субъектов ПДн при принятии решений на основании исключительно автоматизированной обработки их ПДн;
• действия оператора при сборе ПДн;
• обеспечение выполнения оператором обязанностей, предусмотренных Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ;
• действия оператора при обращении к нему субъекта ПДн либо при получении запроса субъекта ПДн или его представителя;
• устранение нарушений законодательства, допущенных при обработке ПДн, по уточнению, блокированию и уничтожению ПДн;
• уведомление уполномоченного органа по защите прав субъектов ПДн о намерении осуществлять обработку ПДн;
• порядок и условия назначения лица, ответственного за организацию обработки ПДн в организации;
• полномочия лица, ответственного за организацию обработки ПДн в организации;
• хранение и уничтожение ПДн;
• обработка ПДн, осуществляемая без использования средств автоматизации;
• обеспечение безопасности ПДн при их обработке;
• обезличивание ПДн.

Следует отметить, что была получена отрицательная оценка регулирующего воздействия Проекта ФЗ. В частности, отмечается, что используемые разработчиком в Проекте ФЗ формулировки ‎не позволяют систематизировать обязательные нормы в полной мере, поскольку перечень групп обязательных требований не является закрытым. Кроме того, отмечается, что систематизация обязательных требований должна иметь четкую структуру и определять все конкретные требования, которые будут полноценно раскрыты в подзаконных актах.

Обеспечение безопасности значимых объектов КИИ

14 сентября 2020 г. официально опубликован приказ ФСТЭК России от 20.02.2020 № 35 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239» (далее – Приказ № 35).

Приказ № 35 был подписан ФСТЭК России ещё 20 февраля 2020 г., но регистрацию в Минюст России прошел только в сентябре. В целом, основные изменения, вводимые Приказом № 35, были представлены еще в проекте приказа ФСТЭК России, который был рассмотрен в обзоре изменений законодательства за февраль.

Из новых положений в области защиты значимых объектов критической информационной инфраструктуры (далее – КИИ), вводимых Приказом № 35 и вступивших в силу с 25 сентября 2020 г., можно выделить следующие:

• Модернизацией теперь официально считается изменение архитектуры значимого объекта КИИ, в том числе подсистемы его безопасности, в соответствии с отдельным техническим заданием (далее – ТЗ) на модернизацию значимого объекта КИИ и (или) ТЗ (частным ТЗ) на модернизацию подсистемы безопасности значимого объекта.
• Оценка выполнения требований по безопасности, предъявляемых к программным и программно-аппаратным средствам, в том числе средствам защиты информации (далее – СрЗИ) должна включаться в программы и методики предварительных испытаний.
• Удаленный доступ к программным и программно-аппаратным средствам, в т.ч. СрЗИ, для обновления или управления можно предоставлять не только работникам субъекта КИИ, как это было раньше, но также работниками его дочерних и зависимых обществ. При этом сделано послабление и для предоставления удаленного доступа другим лицам, кроме вышеупомянутых, однако только при условии наличия компенсирующих мер по защите, установленных Приказом № 35.
• Теперь на территории РФ должны размещаться не только технические средства, осуществляющие хранение и обработку информации, значимых объектов КИИ 1 категории, но и технические средства объектов КИИ 2 категории значимости.

С 1 января 2023 года вступят в силу требования Приказа № 35 к оценке соответствия СрЗИ в форме приемки или испытаний, а также к прикладному программному обеспечению (далее – ПО) значимых объектов КИИ. Не встроенные в общесистемное и прикладное ПО СрЗИ, оценка соответствия которых проводится в форме испытаний или приемки, дополнительно должны будут соответствовать 6 или более высокому уровню доверия.

Таким образом, в действующей редакции Приказа ФСТЭК России № 239, оценку соответствия СрЗИ необходимо проводить только по тем требованиям к функциям безопасности, которые были установлены в ТЗ на создание значимого объекта КИИ и (или) ТЗ (частное ТЗ) на создание подсистемы безопасности значимого объекта КИИ. Для СрЗИ, планируемых к внедрению в рамках создания (модернизации или реконструкции, ремонта) значимых объектов КИИ, после 1 января 2023 г. кроме описанной выше оценки соответствия необходимо будет проводить оценку соответствия по 6 (шестому) или более высокому уровню доверия.

Прикладное ПО значимых объектов КИИ с января 2023 г. должно будет соответствовать требованиям:

• по безопасной разработке ПО;
• к испытаниям по выявлению уязвимостей в ПО;
• к поддержке безопасности ПО.

Подключение значимых объектов КИИ к сетям связи общего пользования

Следом, 15 сентября 2020 г. был официально опубликован Приказ ФСТЭК России от 28.05.2020 № 75 «Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования» (далее – Порядок).

Порядок вступил в силу 26 сентября 2020 г. и устанавливает процедуру согласования со ФСТЭК России подключения значимых объектов КИИ к сети связи общего пользования. При этом, если значимый объект КИИ с подключением к сети связи общего пользования уже был внесен в реестр значимых объектов КИИ с соответствующей информацией до 26 сентября 2020 г., то согласование со ФСТЭК России не нужно.

При этом для согласования необходимо будет также предоставить во ФСТЭК России:

• копии моделей угроз безопасности информации значимого объекта КИИ;
• копии протоколов испытаний, содержащих результаты оценки соответствия СрЗИ (для СрЗИ, прошедших оценку соответствия в форме испытаний, приемки);
• схему организации связи (в случае предоставления оператором связи субъекту КИИ цифровых каналов связи).

Инфографика от НКЦКИ

Из интересных новостей за сентябрь 2020 года стоит отметить, что с 7 сентября Национальный координационный центр по компьютерным инцидентам (НКЦКИ) еженедельно публикует статистику, полученную по результатам своей деятельности.

Статистика представляется в форме инфографики, содержащей информацию о количестве выявленных различных видов компьютерных инцидентов, а также о количестве выданных рекомендаций по повышению защищенности, бюллетеней об актуальных уязвимостях от НКЦКИ и др. Ознакомиться со статистикой можно в новом разделе сайта www.safe-surf.ru – «Статистика НКЦКИ». В заключении приведу пример основных результатов деятельности НКЦКИ за последнюю неделю сентября 2020 года.