Автор:
Татьяна Пермякова, старший аналитик
В обзоре изменений за июль 2023 года рассмотрим: изменения в 187-ФЗ и подзаконные акты, требования к защите информации на платформе цифрового рубля, образовательные программы и проект по расширению полномочий ФСТЭК России, требования по безопасности к многофункциональным межсетевым экранам уровня сети и к системам управления базами данных, результаты работ ТК 362, а также изменения в федеральные законы об информации (149-ФЗ) и о связи (126-ФЗ).
Изменения в законы об информации и о связи
Официально опубликованы федеральные законы, вносящие изменения в Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149-ФЗ и Федеральный закон «О связи» от 07.07.2003 № 126-ФЗ. Законы вносят изменения в ряд формулировок, а также дополняют новыми требованиями.
В соответствии с Федеральным законом от 31.07.2023 №406-ФЗ вступают в силу следующие требования:
1. С 01.12.2023 владельцы информационных ресурсов, являющиеся российскими юридическими лицами или гражданами Российской Федерации (далее – РФ) и осуществляющие деятельность на территории РФ для пользователей РФ, проходящих процедуру авторизации, должны реализовать процедуру с помощью:
- номера мобильного телефона;
- Федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем (далее – ИС), используемых для предоставления государственных и муниципальных услуг в электронной форме» (ЕСИА);
- Единой биометрической системы (ЕБС);
- иных информационных систем, соответствующих требованиям защиты информации, владельцами которых являются граждане РФ или российские юридические лица.
2. С 01.12.2023 провайдеры хостингов обязаны направить в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее ‑ Роскомнадзор) уведомление об осуществлении деятельности по предоставлению вычислительной мощности для размещения информации в ИС, подключенной к сети «Интернет» (далее – провайдеры).
3. С 01.12.2023 Роскомнадзор будет вести реестр провайдеров, включение в реестр осуществляется на основании уведомления от провайдера. С 01.02.24 не допускается осуществление деятельности по предоставлению вычислительных мощностей провайдерами, не включенными в реестр.
4. С 01.09.2024 операторы государственных и муниципальных ИС, ИС государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений обязаны использовать вычислительные мощности провайдера хостинга, включенного в реестр провайдеров и не вправе использовать вычислительные мощности, принадлежащие иностранным юридическим и физическим лицам и т.д.
В соответствии с Федеральным законом от 31.07.2023 №408-ФЗ владельцы информационных ресурсов в сети «Интернет» с 01.10.2023 обязаны:
- не допускать применение технологий предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет» (далее ‑ рекомендательных технологий), которые нарушают права и интересы граждан и организаций, а также в целях предоставления информации с нарушением законодательства РФ;
- не допускать предоставление информации с применением рекомендательных технологий без информирования пользователей о применении таких технологий;
- разместить на информационном ресурсе документ, устанавливающий правила применения рекомендательных технологий на русском языке;
- разместить на информационном ресурсе контакты для направления юридически значимых сообщений и т.д.
В случае нарушения правил Роскомнадзор вправе запросить доступ к проверке применяемых рекомендательных технологий, потребовать устранения выявленных нарушений или прекратить использование рекомендательных технологий. При не устранении нарушения Роскомнадзор вправе ограничить доступ к ресурсу.
Изменения в 187-ФЗ
Официально опубликован Федеральный закон от 10.07.2023 № 312-ФЗ «О внесении изменения в статью 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», в соответствии с которым понятие субъекта критической информационной инфраструктуры (далее ‑ КИИ) теперь также включает сферу государственной регистрации прав на недвижимое имущество и сделок с ним.
Отметим, что регистрация прав на недвижимое имущество и сделок с ним регулируется Федеральным законом от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости». К объектам КИИ в сфере государственной регистрации прав на недвижимое имущество и сделок с ним относится информационная система Единого государственного реестра недвижимости (ЕГРН). Соответствующая система эксплуатируется органами государственной власти в рамках межведомственного взаимодействия, а также двумя основными типами субъектов (субъектами КИИ):
- Федеральная служба государственной регистрации, кадастра и картографии (Росреестр) и региональные управления Росреестра;
- публично-правовая компания «Роскадастр».
Изменения в Указ № 166 и постановление Правительства РФ № 1478
Для общественного обсуждения представлен проект Указа Президента Российской Федерации «О внесении изменений в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».
Проектом предлагается дополнить необходимость согласования закупок иностранного программного обеспечения (далее – ПО) или услуг, необходимых для использования иностранного ПО на значимых объектах КИИ, Центральным Банком Российской Федерации (далее ‑ Банком России) (для банковской сферы и иных сфер финансового рынка).
Для общественного обсуждения также опубликован проект постановления Правительства Российской Федерации, которым предлагается внести соответствующие изменения в Постановление Правительства Российской Федерации от 22.08.2022 № 1478.
Общественное обсуждение проектов завершилось 17 июля. Согласно текстам проектов, изменения вступят в силу с 12.09.2023.
Индикаторы риска нарушения требований по защите персональных данных
Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) опубликован проект приказа «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15.11.2021 № 1187».
Перечень индикаторов предлагается дополнить следующим пунктом: «3. Установление контролирующим органом трех и более фактов несоответствия информации, указанной контролируемым лицом в уведомлениях, подлежащих направлению в соответствии с Федеральным законом «О персональных данных», сведениям, размещенным на принадлежащем такому контролируемому лицу сайте в информационно-телекоммуникационной сети «Интернет».
Согласно пояснительной записке к проекту, предлагаемое дополнение направлено на проведение операторами персональных данных (далее ‑ ПДн) процедур внутреннего контроля (аудита), поддержания в актуальном виде документов по ПДн, которые размещаются в открытом доступе.
Общественное обсуждение проекта завершится 10 августа.
Платформа цифрового рубля: требования к обеспечению защиты информации
Банк России представил для общественного обсуждения проект положения «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля».
Предлагаемые требования распространяются на объекты информационной инфраструктуры, которые используются участниками платформы цифрового рубля (кредитными финансовыми организациями) при формировании, обработке, передаче и хранении защищаемой информации.
Согласно проекту положения, участники платформы цифрового рубля должны обеспечить:
- размещение объектов информационной инфраструктуры в выделенных сегментах (группах сегментов);
- стандартный уровень защиты выделенных сегментов (групп сегментов) согласно ГОСТ Р 57580.1-2017 (системно значимые кредитные организации – усиленный уровень защиты), а также уровень соответствия не ниже третьего уровня соответствия (для системно значимых кредитных организаций – не ниже четвертого), предусмотренного разделом 6 ГОСТ Р 57580.2-2018;
- проведение оценки соответствия выполнения мер ГОСТ Р 57580.1-2017 в соответствии с ГОСТ Р 57580.2-2018 не реже одного раза в два года, а также проведение ежегодного тестирования на проникновение и анализа уязвимостей;
- защиту информации с использованием средств криптографической защиты (далее ‑ СКЗИ) в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005);
- применение электронной подписи, сертификат ключа проверки которой выдан удостоверяющим центром Банка России и т.д.
Общественное обсуждение проекта завершилось 4 августа.
Программы повышения квалификации и профессиональной переподготовки ФСТЭК России
На сайте ФСТЭК России опубликованы информационные сообщения:
- О разработанных ФСТЭК России примерных дополнительных профессиональных программах в области обеспечения безопасности критической информационной инфраструктуры;
- О разработанной ФСТЭК России примерной программе профессиональной переподготовки «Информационная безопасность. Техническая защита конфиденциальной информации»;
- О разработанных ФСТЭК России новых редакциях примерных программах профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам, технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры.
На сайте также обновлена выписка из перечня примерных программ профессиональной переподготовки и повышения квалификации специалистов. Обеспечение полным перечнем примерных программ и примерными программами производится только на основании обращений:
- федеральных органов исполнительной власти в центральный аппарат ФСТЭК России;
- органов и организаций, осуществляющих образовательную деятельность, в территориальные органы ФСТЭК России.
Полномочия ФСТЭК России
Для общественного обсуждения опубликован проект указа Президента Российской Федерации «О внесении изменений в Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» и в Положение, утвержденное этим Указом».
Проектом предлагается:
1. Увеличить количество штатных единиц ФСТЭК России.
2. Добавить к основным задачам ФСТЭК России оперативное управление деятельностью по обеспечению безопасности значимых объектов КИИ, технической защите информации.
3. Добавить в полномочия ФСТЭК России:
- централизованный учет и организацию мониторинга текущего состояния защищенности защищаемых объектов информатизации государственных органов, органов местного самоуправления и организаций (далее – органов и организаций) с учетом отраслей экономики и дифференциации по уровню их критичности;
- оперативное информирование органов и организаций об угрозах безопасности и уязвимостях в объектах информатизации, а также мерах по защите;
- разработку и организацию внедрения совместно с органами и организациями процессов управления защитой информации и безопасностью значимых объектов КИИ;
- организацию взаимодействия органов и организаций при реализации ими мер по повышению защищенности объектов информатизации от угроз безопасности информации;
- организационно-методическое сопровождение и руководство деятельностью по защите информации и обеспечению безопасности значимых объектов КИИ органов и организаций, оценку эффективности такой деятельности и реализованных ими мер.
Согласно пояснительной записке, закрепление указанных полномочий и зон ответственности позволит повысить уровень защищенности информационных систем государственных органов и организаций, а также значимых объектов КИИ. Потребность в повышении уровня защищенности, обусловлена усилением информационно-технического воздействия на информационные ресурсы Российской Федерации в период проведения специальной военной операции.
Общественное обсуждение проекта завершится 14 августа.
Требования по безопасности ФСТЭК России
ФСТЭК России информирует об утверждении Требований по безопасности информации к многофункциональным межсетевым экранам уровня сети (далее – МЭ). В том числе, требования применимы к Next-Generation Firewall (NGFW).
Требования по безопасности информации предъявляются к:
- уровню доверия МЭ;
- управлению доступом в МЭ;
- идентификации и аутентификации пользователей МЭ;
- фильтрации сетевого трафика;
- обнаружению и блокированию компьютерных атак;
- обнаружению и блокированию вредоносного программного обеспечения;
- доверенной загрузке МЭ;
- тестированию и контролю целостности МЭ;
- производительности МЭ;
- аппаратной платформе МЭ;
- режимам работы МЭ;
- регистрации событий безопасности в МЭ;
- обеспечению бесперебойного функционирования и восстановления МЭ;
- взаимодействию с иными средствами защиты информации;
- централизованному и удаленному управлению МЭ.
На сайте ФСТЭК России опубликована выписка из утвержденных требований.
Также ФСТЭК России информирует об утверждении Требований по безопасности информации к системам управления базами данных (далее – СУБД).
Требования по безопасности информации предъявляются к:
- уровню доверия СУБД;
- операционной системе, в среде которой функционирует СУБД;
- управлению доступом в СУБД;
- идентификации и аутентификации пользователей в СУБД;
- контролю целостности в СУБД;
- регистрации событий безопасности в СУБД;
- резервному копированию и восстановлению в СУБД;
- обеспечению доступности СУБД;
- очистке памяти в СУБД;
- производительности СУБД;
- ограничению программной среды в СУБД.
На сайте ФСТЭК России опубликована выписка из утвержденных требований.
Выполнение требований по безопасности к МЭ и СУБД обязательно при проведении работ по оценке соответствия (включая работы по сертификации) согласно Положению о системе сертификации средств защиты информации. При этом устанавливается соответствие классов защиты МЭ и СУБД и уровней доверия, установленных приказом ФСТЭК России от 02.06.2020 №76.
ТК 362
Справка-доклад на 28.06
На сайте ФСТЭК России опубликована традиционная справка-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) (по состоянию на 28.06.2023).
Согласно справке в июне 2023 года проведены следующие работы:
- Представлены председателю ТК 362 для принятия решения об организации его публичного обсуждения проекты национальных стандартов:
o ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения»;
o ГОСТ Р ИСО/МЭК 27005 «Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства» (идентичный на основе ISO/IEC 27005:2022);
o ГОСТ Р 52447 «Защита информации. Техника защиты информации. Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества» (пересмотр ГОСТ Р 52447-2005);
- По результатам публичного обсуждения доработаны и подготовлены для принятия решения об организации голосования по вопросу их представления в Федеральное агентство по техническому регулированию и метрологии (далее – Росстандарт) на утверждение проекты национальных стандартов:
o ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (идентичный на основе ISO/IEC 15408-1:2022);
o ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (идентичный на основе ISO/IEC 15408-2:2022);
- Принято решение подготовить и рассмотреть на заседании рабочей группы 5 (РГ 5) первую редакцию проекта национального стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
- Принято решение организовать голосование по вопросу представления в Росстандарт на утверждение окончательной редакции проектов национальных стандартов:
o ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению статического анализа программного обеспечения. Требования»;
o ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования»;
- Проводятся работы по обсуждению и подготовке редакций, доработке проектов национальных стандартов:
o ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Управление безопасностью программного обеспечения при использовании заимствованных и привлекаемых компонентов»;
o ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению динамического анализа программного обеспечения»;
o ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие требования»;
- Разосланы на рассмотрение в организации-члены ТК 362 проекты предварительных национальных стандартов:
o ПНСТ «Обеспечение безопасности искусственного интеллекта. Роль аппаратного обеспечения в безопасности искусственного интеллекта»;
o ПНСТ «Обеспечение безопасности искусственного интеллекта. Постановка задачи»;
o ПНСТ «Обеспечение безопасности искусственного интеллекта. Безопасность цепочки поставок данных»;
o ПНСТ «Обеспечение безопасности искусственного интеллекта. Онтология угроз искусственного интеллекта».
Анализ работы ТК 362
На сайте ФСТЭК России также опубликованы результаты анализа работы ТК 362 и активности организаций-членов ТК 362 во II квартале 2023 года.
Справка содержит перечень проектов национальных стандартов, разработка и согласование которых проводились в рамках работы ТК 362 во II квартале 2023 года, результаты планирования работ ТК 362, анализа активности членов ТК 362 и отчет о проведении заседания с рабочими группами и подкомитетами.