Обзор изменений в законодательстве ИТ и ИБ за январь 2024 года

В обзоре изменений за январь 2024 года рассмотрим: подтверждение соответствия средств обработки биометрических ПДн требованиям 572-ФЗ, биометрические ПДн в паспорте гражданина РФ, перечни типовых объектов КИИ в области химической, горнодобывающей, металлургической, оборонной промышленности и в сфере здравоохранения, расширение перечня предоставляемой в Роскомнадзор информации о сетях связи, изменения в правилах государственной регистрации программ для ЭВМ и баз данных и другое.

 Персональные данные

Формы подтверждения соответствия информационных технологий и технических средств обработки биометрических ПДн требованиям 572-ФЗ

Официально опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) от 29.11.2023 № 1024 «О формах подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных (далее – ПДн), векторов единой биометрической системы (далее – ЕБС), требованиям, определенным в соответствии с подпунктом "е" пункта 1 части 2 статьи 6 Федерального закона от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты Российской Федерации (далее – РФ) и признании утратившими силу отдельных положений законодательных актов РФ», и о внесении изменений в приказ Минцифры России от 12 мая 2023 г. № 453», который устанавливает новые формы подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических ПДн и векторов ЕБС.

Формы включают информацию о наименовании, типе, версии, модальности информационных технологий, модели и типе технических средств, а также об их разработчиках и производителях.

Актуальный ранее приказ Минцифры России от 07.07.2021 № 685 «Об определении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, требованиям, определенным в соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-Ф3 «Об информации, информационных технологиях и о защите информации» и утвержденные им формы утратили силу.

Биометрические ПДн в паспорте гражданина РФ нового образца

В конце декабря 2023 года было опубликовано постановление Правительства РФ от 23.12.2023 № 2267 «Об утверждении Положения о паспорте гражданина Российской Федерации, образца и описания бланка паспорта гражданина Российской Федерации», согласно которому в паспорте гражданина РФ нового образца, если он оформлен в виде документа и содержит электронный носитель информации, будут указаны биометрические ПДн гражданина, а именно цифровая фотография лица владельца паспорта.

Вид документа, содержащего электронный носитель информации, должен быть определен отдельным нормативным правовым актом Президента РФ.

Требования по защите информации при исследовании структуры рынка потребления

Государственной Думой в первом чтении принят проект Федерального закона «О внесении изменения в главу 4 Федерального закона «Об основах государственного регулирования торговой деятельности в Российской Федерации».

Организатор исследований структуры рынка потребления обязан соблюдать требования законодательства РФ к обработке ПДн и иной информации ограниченного доступа, а также осуществлять обработку информации, полученной в результате проведенных исследований, с использованием баз данных, находящихся на территории РФ.

Порядок обработки и хранения такой информации будет определен Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) по согласованию с Федеральной службой безопасности РФ (далее – ФСБ России).

 

Критическая информационная инфраструктура

Перечни типовых объектов критической информационной инфраструктуры

Министерство промышленности и торговли РФ (далее – Минпромторг России) опубликовало перечни типовых объектов критической информационной инфраструктуры (далее – КИИ) в области:

• химической промышленности;
• горнодобывающей промышленности (в части руд, камней);
• металлургической промышленности;
• оборонной промышленности.

Для химической промышленности типовыми отраслевыми объектами КИИ являются системы управления оборудованием, объектами экспериментальной базы и испытательными стендами, предприятием, отдельными производствами, технологическими процессами, подготовки сырья и иные системы, связанные с производством удобрений и азотных соединений, пластмасс, синтетических смол, каучука, лакокрасочного материала, пестицидов и иных агрохимических продуктов.

Для горнодобывающей промышленности типовыми объектами КИИ определены системы управления технологическим процессом подготовки и хранения сырья, жизнеобеспечения и управления технологическим процессом в рудниках и шахтах, управления водоснабжением, водоотведением, процессом очистки вредных веществ, вентиляцией, фильтрации и нагревом воздуха, обезвреживания и утилизации радиоактивных отходов и иные.

Для оборонной промышленности типовыми объектами КИИ являются системы числового программного управления оборудованием, цифрового проектирования CAD, цифрового моделирования, системы управления цехами, технологическими процессами, жизненным циклом изделия, транспортом, лабораторной информацией, инженерными данными об изделии, складом, цепочками поставок, планирования потребности в материалах и иные.

Для металлургической промышленности типовыми объектами КИИ определены системы, предназначенные для управления технологическими процессами печей, выплавки металлов, обработки, разлива и вакуумирования стали, управления прокатными станками, литьем заготовок, подготовки сырья, процессами листопрокатного цеха, агрегатами горячего цинкования, электролиза металлов и иные.

Также Министерство здравоохранения РФ утвердило перечень типовых отраслевых объектов КИИ, функционирующих в сфере здравоохранения, среди которых государственные информационные системы (далее – ИС) в сфере здравоохранения субъектов РФ, медицинская ИС, ИС фармацевтических организаций, системы автоматизации медицинской деятельности и информационно-коммуникационная инфраструктура, обеспечивающая осуществление медицинской деятельности.

Инструкция по выполнению требований о защите КИИ в сфере оборонной, металлургической и химической промышленности

На сайте Минпромторга России опубликована Инструкция по выполнению требований законодательства РФ о защите КИИ организациями, осуществляющими деятельность в сфере оборонной, металлургической и химической промышленности.

Инструкция не содержит отличий от стандартной процедуры категорирования, установленной Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (далее – 187-ФЗ), и включает дополнительное требование о направлении в ФГУП «НПП «Гамма» – головную организацию по защите информации Минпромторга России, следующих данных:

•  перечня объектов КИИ;
•  паспорта системы обеспечения безопасности значимых объектов КИИ организации;
•  плана мероприятий, реализуемых при установлении в отношении объектов КИИ уровней опасности целевых компьютерных атак;
•  и результатов выполнения иных требований 187-ФЗ.

Иное

Расширение перечня предоставляемой в Роскомнадзор информации о сетях связи

Роскомнадзор представил проект приказа «О внесении изменений в приказ Роскомнадзора от 31.07.2019 № 221».

Проектом предлагается дополнить перечень информации, представляемой ‎в Роскомнадзор операторами связи, собственниками или иными владельцами технологических сетей связи, организаторами распространения информации ‎в сети «Интернет», а также иными лицами, имеющими номер автономной системы, следующей информацией:

•  об используемых ими и их клиентами сетевых адресах;
•  о местоположении использования диапазона сетевых адресов в соответствии с информацией, содержащейся в государственном адресном реестре, а также информацию о цели использования диапазона сетевых адресов;
•  о типах узлов связи (оконечный или транзитный), функционирующих в составе сети связи.

Согласно пояснительной записке, на основе предоставляемых данных должна быть сформирована доверенная база данных геолокации IP-адресов в России. Операторы связи и владельцы ресурсов смогут использовать базу данных для автоматизированного создания списков доступа к ресурсам.

Публичное обсуждение проекта завершилось 2 февраля 2024 года.

Внесение Роскомнадзором информации в реестр организаторов распространения информации

Представлен проект постановления Правительства РФ «О внесении изменения в Правила уведомления организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций о начале осуществления деятельности по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет», а также ведения реестра указанных организаторов, утвержденные постановлением Правительства Российской Федерации от 12 ноября 2020 г. № 1824», согласно которому в случае повторного нарушения организатором распространения информации обязанности по уведомлению Роскомнадзора о начале осуществления деятельности, Роскомнадзор формирует реестровую запись о включении нарушителя в реестр организаторов распространения информации (далее – реестр).

Такая мера предпринята в связи с устойчивой практикой неисполнения требований о представлении уведомления. Если организатор распространения информации не включен в реестр, то в его отношении невозможно проведение оперативно-розыскных мероприятий, подразумевающих получение доступа к обрабатываемой информации в целях реагирования на возможные угрозы террористического и иного характера, что негативно сказывается на обеспечении национальной безопасности РФ.

Публичное обсуждение проекта завершилось 7 февраля 2024 года.

Автоматизированная информационно-управляющая система единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций

Официально опубликовано постановление Правительства РФ от 24.01.2024 № 57 «О государственной информационной системе «Автоматизированная информационно-управляющая система единой государственной системы предупреждения и ликвидации чрезвычайных ситуаций».

Постановление включает следующие требования к техническим и программным средствам ИС:

•  размещение на территории РФ;
•  наличие действующих сертификатов ФСБ России или ФСТЭК России в отношении входящих в их состав средств защиты информации (далее – СрЗИ);
•  автоматизированное ведение электронных журналов учета операций, осуществляемых в системе, фиксация действий с информацией, времени совершения операций, информации о лицах, осуществивших указанные действия;
•  возможность идентификации и аутентификации в ИС с использованием Единой системы идентификации и аутентификации (ЕСИА) в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме.

А также с целью защиты информации, размещаемой в ИС, устанавливаются требования по:

•  разработке и внедрению подсистемы защиты информации;
•  проведению аттестации ИС на соответствие требованиям к защите информации;
•  предотвращению, обнаружению и недопущению несанкционированного доступа (далее – НСД) к информации в ИС.

Постановление вступило в силу 3 февраля 2024 года.

Научный совет Информационная безопасность при Российской академии наук

Президиум Российской академии наук постановил создать научный совет «Информационная безопасность» (далее – Совет). До 16 марта 2024 года планируется представить положение о Совете и его состав.

Защита информации в Единой централизованной цифровой платформе в социальной сфере

1 января вступило в силу постановление Правительства РФ от 29.12.2023 N 2386 «О государственной информационной системе «Единая централизованная цифровая платформа в социальной сфере».

Согласно постановлению, защита информации, содержащейся в единой цифровой платформе, осуществляется в соответствии с положениями Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» посредством применения организационных и технических мер защиты информации, а также осуществления контроля за эксплуатацией единой цифровой платформы.

Для обеспечения защиты информации, содержащейся в единой цифровой платформе, должны осуществляться:

•  формирование требований к защите информации;
•  разработка и внедрение системы защиты информации;
•  применение сертифицированных СрЗИ;
  
•  аттестация единой цифровой платформы на соответствие требованиям к защите информации;
  
•  защита информации при ее передаче по информационно-телекоммуникационным сетям, а также в ходе эксплуатации платформы;
  
•  организация обнаружения предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты в отношении информационных ресурсов единой цифровой платформы;
  
•  непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА).

А также в целях защиты информации оператором единой цифровой платформы должны быть обеспечены:

•  возможность обнаружения и предотвращения НСД, передачи информации лицам, не имеющим права на доступ к информации;
•  защита от НСД к техническим средствам обработки информации;
•  возможность выявления фактов модификации, уничтожения или блокирования информации, восстановление информации;
•  осуществление непрерывного контроля за уровнем защищенности информации, содержащейся на единой цифровой платформе.      

Изменения в правилах государственной регистрации программ для ЭВМ и БД

Опубликован приказ Министерства экономического развития РФ от 21 декабря 2023 № 904 «О внесении изменений в приказ Минэкономразвития России от 5 апреля 2016 № 211».

Приказом вносятся изменения в Правила оформления заявки на государственную регистрацию программы для электронных вычислительных машин (далее – ЭВМ) или базы данных (далее – БД) и Правила составления документов, являющихся основанием для осуществления юридически значимых действий по государственной регистрации программы для ЭВМ или БД, и их формы.

Если исключительное право на программу для ЭВМ или БД принадлежит РФ, субъекту РФ или муниципальному образованию, то в качестве заявителя в заявке необходимо указать правообладателя и наименование лица, который выступает от имени правообладателя.

Если программа для ЭВМ или БД создана с привлечением средств из бюджета РФ, то в заявке на оформление указывается:

•  за счет каких средств создана программа или БД;
•  полное наименование заказчика и кем он является (государственным, муниципальным заказчиком, федеральным органом государственной власти или иным лицом);
•  полное наименование или фамилия, имя, отчество исполнителя и сведения о документе, на основании которого он является исполнителем;
•  основания создания программы или БД (государственный, муниципальный контракт, договор, государственное задание и иные).
  

Также в соответствии с указанными выше изменениями скорректированы разделы формы в заявлении о государственной регистрации.

Приказ вступил в силу с 9 февраля 2024 года.

Стандарт о Доверенных программно-аппаратных комплексах

Опубликован предварительный национальный стандарт 905-2023 Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Термины и определения.

Стандарт вводится в действие с 1 апреля 2024 года и разработан с целью установления единообразия терминологии, относящейся к доверенным программно-аппаратным комплексам (далее – ПАК), применяемым на объектах КИИ.

В стандарте введены следующие понятия: ПАК и доверенный ПАК, КИИ, технологическая независимость КИИ, требования к доверенному ПАК по функциональности, надежности, защищенности, жизненный цикл ПАК, ПО для доверенного ПАК и другие термины, относящиеся к ПАК и их к компонентам.

Деятельность ФСТЭК России

Результаты работы ТК 362 за 4 квартал 2023 года

ФСТЭК России подвела итоги работы технического комитета по стандартизации «Защита информации» (далее – ТК 362) и активности организаций-членов в 4 квартале 2023 года.

В 4 квартале проводилась разработка и согласование проектов национальных стандартов:

•  Защита информации. Система организации и управления защитой информации. Общие положения;
•  Защита информации. Защита от утечки из программной среды информационных и автоматизированных систем. Общие положения;
•  Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации;
•  Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией;
  
•  ИСО/МЭК 27001 «Информационная безопасность, кибербезопасность и защита частной жизни. Система менеджмента информационной безопасности. Требования»;
  
•  ИСО/МЭК 27002 «Информационная безопасность, кибербезопасность и защита частной жизни. Меры обеспечения информационной безопасности»;
  
•  ИСО/МЭК 27005 «Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства»;
  
•  Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие положения;
  
•  Защита информации. Разработка безопасного ПО. Общие требования;
  
•  Защита информации. Разработка безопасного ПО. Управление безопасностью ПО при использовании заимствованных и привлекаемых компонентов;
  
•  и других стандартов.   

Членами ТК 362 было проведено рассмотрение проектов предварительных национальных стандартов (далее – ПНСТ), разработанных:

‒    ТК 167 «Программно-аппаратные комплексы для критической информационной инфраструктуры и программное обеспечение для них»:

> Инфраструктура критическая информационная. Доверенные интегральные микросхемы и электронные модули. Общие положения;

> Инфраструктура критическая информационная. Термины и определения;

> Инфраструктура критическая информационная. Доверенные программно-аппаратные комплексы. Общие положения.

‒    ТК 22 «Информационные технологии»:

> Информационные технологии. Методы и средства обеспечения безопасности. Основы доверенного взаимодействия устройства и сервисов.

Отчет о результатах ТК 362 за 2023 год

ТК 362 подготовил отчет о результатах деятельности за 2023 год. Согласно отчету ТК 362:

1)      разработал и представил в Росстандарт:

‒        ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования» (утвержден 18.01.2024);

‒        ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования» (утвержден 18.01.2024);

2)      провел работы по разработке 21 проекта национальных стандартов, часть из которых упомянута выше;

3)      провел 22 экспертизы 13 проектов документов по стандартизации, разработанных ТК 016 «Электроэнергетика», ТК 22 «Информационные технологии», ТК 26 «Криптографическая защита информация», ТК 164 «Искусственный интеллект» и других;

4)      подготовил предложения в проект Программы разработки национальных стандартов на 2024 год по техническому комитету по стандартизации «Защита информации» (ТК 362)

5)      и другое.

Планы ТК 362 на 2024 год

На сайте ФСТЭК России опубликован План работы ТК 362 на 2024 год, который включает проведение работ по разработке проектов национальных стандартов по вопросам:

•  организации и управления защиты информации;
•  защиты информации от утечки из программной среды информационных и автоматизированных систем;
•  идентификации и аутентификации;
  
•  требований к технике защиты информации (пересмотр ГOCT Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества»);
  
•  управления доступом;
  
•  разработки безопасного ПО.
  

Также планируются публичные обсуждения, доработка и утверждение ряда стандартов, разработка которых началась в 4 квартале 2023 года.