Авторы: Кузнецова Ксения, аналитик
Соколова Полина, младший аналитик
В обзоре изменений за июнь 2022 года рассмотрим: новые документы во исполнение Указа Президента №250; Концепцию информационной безопасности в сфере здравоохранения; постановления Правительства РФ о размещении биометрических персональных данных в единой биометрической системе, проекты федеральных законов, предлагающих ввести ответственность за нарушение обработки биометрических персональных данных; изменения в программы профессиональной переподготовки от ФСТЭК России; новые условия по защите информации от Банка России и другие новости в нормативном поле информационной безопасности.
В июне Минцифры России на своем сайте опубликовало типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры, типовую форму отчета и пример ее заполнения. Напомним, что речь идет о мероприятиях по оценке уровня защищенности информационных систем ключевых организаций, которым согласно Указу Президента РФ от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» необходимо было провести в срок до 01.07.2022 указанные мероприятия.
Также стало известно, какие организации относятся к ключевым: Распоряжением Правительства РФ от 22.06.2022 №1661-р утвержден перечень ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России. В перечень вошли 72 организации, среди которых органы государственной власти, акционерные общества и другие крупные компании.
С комментариями Аналитического центра ООО «УЦСБ» к Указу Президента №250 можно ознакомиться на нашем официальном сайте.
На сайте Минздрава России 22 июня впервые опубликована Концепция информационной безопасности в сфере здравоохранения, которая определяет принципы и подходы к обеспечению защиты информации и построению единой системы обеспечения информационной безопасности в сфере здравоохранения. Минздрав России сообщает, что документ направлен на повышение эффективности защиты персональных данных и медицинской информации, обрабатываемой в медицинских информационных системах, а также на повышение эффективности обеспечения безопасности объектов критической информационной инфраструктуры РФ в сфере здравоохранения. Документ определяет направления развития системы обеспечения информационной безопасности. Концепция предусматривает эскизные решения по реализации мер защиты информации и по построению системы реагирования на компьютерные атаки в информационных системах сферы здравоохранения.
Положение о ЕБС
17 июня опубликовано и вступило в силу Постановление Правительства РФ №1089 «Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» (далее – ПП-1089), которое определяет цели и задачи создания единой биометрической системы (далее - ЕБС), а также порядок ее функционирования и взаимодействия с информационными системами.
Согласно ПП-1089 целью использования ЕБС является идентификация и (или) аутентификация физического лица с использованием биометрических персональных данных (далее - БПДн). Задачами ЕБС являются: размещение и хранение БПДн, проверка соответствия представленных БПДн фактическим, предоставление БПДн уполномоченным органам и иные задачи.
Также в ПП-1089 определен ряд функций оператора ЕБС, среди которых:
- методическая и консультационная поддержка юридических и физических лиц по вопросам размещения БПДн в ЕБС;
- защита информации в ЕБС;
- оценка соответствия информационных технологий и технических средств требованиям Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- обеспечение доступа к ЕБС, внесение изменений в сведения, содержащиеся в ЕБС, и иные функции.
ПП-1089 также устанавливает ряд требований, предъявляемых к программно-техническим средствам ЕБС, в том числе требования по защите информации. Согласно ПП‑1089 программно-технические средства должны обеспечивать проверки биометрических образцов, возможность обрабатывать одновременно все виды БПДн, работать с мобильными устройствами и взаимодействовать с ЕБС и иными системами.
В целях защиты персональных данных, обрабатываемых в ЕБС, ПП-1089 предусматривает обязательное взаимодействие ЕБС с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак.
Правительство РФ 17 июня опубликовало Постановление №1066 «О размещении физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» (далее - ПП-1066), которое вступают в силу с дня опубликования. ПП-1066 определяет правила, порядок и условия размещения БПДн в ЕБС, а также закрепляет функции и обязанности Минцифры России, ФСБ России и оператора ЕБС.
Согласно ПП-1066 Минцифры России до 30.07.2022 должно обеспечить возможность применения сертифицированных ФСБ России средств криптографической защиты информации (далее - СКЗИ) при использовании Единой системы идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме (далее - ЕСИА) и ЕБС и функционирование технических решений, используемых для проверки действительности документа, удостоверяющего личность.
Оператору ЕБС рекомендовано до 30.07.2022:
- создать мобильное приложение для обработки БПДн в ЕБС;
- разработать программу и методику оценки алгоритмов проверок на обнаружение атаки в соответствии с ГОСТ Р 58624.3-2019;
- провести оценку соответствия мобильного приложения требованиям ГОСТ Р 58624.3-2019.
Напомним, что Распоряжением Правительства Российской Федерации от 22.02.2018 №293-р функции оператора единой биометрической системы возложены на ПАО «Ростелеком».
Также оператору ЕБС до 30.09.2022 рекомендовано согласовать с Минцифры России и ФСБ России системный проект технического решения по размещению БПДн в ЕБС и обеспечить подключение разработанного мобильного приложения к ЕСИА и ЕБС. ФСБ России в рамках данного ПП-1066 выступает органом, уполномоченным в проведении оценки соответствия мобильного приложения и согласования системного проекта.
ПП-1066 также утверждает правила размещения физическими лицами своих БПДн в ЕБС, которые вступают в силу с 30.09.2022. В правилах указаны перечень БПДн, размещаемых в ЕБС, необходимость согласия физического лица на обработку БПДн в ЕБС, процедуры размещения БПДн в ЕБС и необходимость проведения проверок на обнаружение атаки на биометрическое предъявление.
В дополнение к ПП-1066 было опубликовано Постановление Правительства РФ №1067 «О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица» (далее – ПП-1067), которое вступает в силу 01.03.2023 и действует до 01.03.2029.
Согласно ПП-1067 БПДн, размещенные в ЕБС, могут быть использованы в случаях:
- проведения промежуточной и итоговой аттестации по образовательным программам высшего образования;
- осуществления операций платежными картами до 1000 рублей в организациях торговли и сферы услуг;
- дополнительной аутентификации клиента финансовыми организациями;
- аутентификации клиента организациями финансового рынка;
- оплаты проезда с применением информационных систем г. Москвы;
- прохода на территорию государственных органов и организаций посредством системы контроля и управления доступом (случай не распространятся на организации, являющиеся субъектами КИИ, режимными объектами, дошкольными образовательным и общеобразовательными организациями);
- заключения договоров об оказании услуг связи;
- выдачи персонифицированной карты на посещение спортивных соревнований;
- аутентификации на сайте Госуслуг.
Также стоит отметить, что БПДн, размещенные в ЕБС в соответствии с ранее упомянутыми правилами из ПП-1067, должны использоваться не более трех лет со дня их размещения в ЕБС. При этом, физическое лицо добровольно обновляет БПДн до или после истечения трех лет.
Минцифры России 01.06.2022 опубликовало проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», в который предлагает введение новой статьи 13.49 КоАП РФ о нарушении порядка применения информационных технологий в целях идентификации и (или) аутентификации физических лиц. В статье указана ответственность за нарушение порядка обработки БПДн в ЕБС и за нарушение требований, предъявляемых к технологиям и средствам, предназначенным для обработки БПДн. В предлагаемой статье также предусмотрена ответственность за обработку БПДн в информационных системах, владельцами и операторами которых являются неаккредитованные государственные органы. Напомним, что для обработки БПДн необходимо пройти процедуру аккредитации в Минцифры России, установленной в Постановлении Правительства РФ от 20.10.2021 №1799 «Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц», обзор которого мы делали в октябре 2021 г.
Предполагаемые меры ответственности для должностных и юридических лиц приведены в таблице ниже.
Рассмотрение дел об указанных административных правонарушениях возложено на Роскомнадзор, за исключением правонарушений, совершенных финансовыми организациями, где дела рассматривает Банк России.
Таблица 1. Сведения об ответственности за нарушение обработки биометрических ПДн
№ п/п |
Вид нарушения |
Ответственность |
|
Должностное лицо |
Юридическое лицо |
||
1 |
Нарушение порядка обработки, размещения, обновления БПДн и требований, предъявляемых к технологиям и средствам обработки БПДн для проведения идентификации физических лиц |
от 100 000 до 300 000 руб. |
от 300 000 до 500 000 руб. |
2 |
Обработка БПДн для идентификации и (или) аутентификации физических лиц в информационных системах (кроме ЕБС), владельцами и (или) операторами которых являются неаккредитованные государственные органы |
от 300 000 до 600 000 руб. |
от 500 000 до 1 000 000 руб. |
Уголовная ответственность за внесение недостоверных сведений в ЕСИА и ЕБС
Минцифры России 03.06.2022 опубликовало проект Федерального закона «О внесении изменений в Уголовный Кодекс Российской Федерации и статью 151 уголовно-процессуального кодекса Российской Федерации», который предлагает введение новой статьи 274.2. УК РФ о внесении в ЕСИА и ЕБС заведомо недостоверных сведений. Так, за умышленное внесение должностным лицом в ЕСИА или ЕБС заведомо недостоверных сведений из корыстной или личной заинтересованности наказывается штрафом или исправительными и принудительными работами, а также лишением свободы. В предлагаемой статье в том числе рассмотрены случаи предварительного сговора должностных лиц. Мера наказания определяется тяжестью последствий (точные меры наказаний приведены в таблице ниже).
Таблица 2. Сведения об ответственности за внесение недостоверных сведений в ЕСИА и ЕБС
№ п/п |
Вид нарушения |
Штраф |
Право занимать должность |
Право заниматься деятельностью |
Обязательные/ исправительные/ принудительные работы |
Лишение свободы |
1 |
Умышленное внесение должностным лицом в ЕСИА или ЕБС недостоверных сведений из корыстных или личных целей |
до 300 тысяч рублей/ в размере заработной платы или иного дохода за период до 6 месяцев |
Лишение на срок до 3 лет |
Лишение на срок до 3 лет |
Обязательные работы до 480 часов/ Исправительные работы до 2 лет/ Принудительные работы до 5 лет |
до 5 лет |
2 |
Предварительной сговор (об умышленном внесении должностным лицом в ЕСИА или ЕБС недостоверных сведений из корыстной или личной заинтересованности) |
до 500 тысяч рублей/ в размере заработной платы или иного дохода за период от 1 года до 3 лет |
Принудительные работы до 5 лет |
до 6 лет (в случае возникновения тяжких последствий до 10 лет) |
||
3 |
Размещение или обновление должностным лицом в ЕСИА или ЕБС недостоверных сведений, повлекшее тяжкие последствия в результате ненадлежащего исполнение своих обязанностей |
до 300 тысяч рублей/ в размере заработной платы или иного дохода за период до 6 месяцев |
Обязательные работы до 480 часов/ Исправительные работы до 2 лет |
- |
Отмена платы за использование единой биометрической системы
В июне вступил в силу Приказ Минцифры России №455 «О внесении изменений в приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 19.05.2021 №474 «Об утверждении методики расчета взимания платы за использование единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия представленным биометрическим персональным данным физического лица», который отменяет взимание платы за использование ЕБС в срок до 31.12.2022.
Напомним, что ранее базовый тариф ЕБС составлял 50 рублей, а итоговый размер платы за использование ЕБС зависел от объема успешных сравнений (позволял определить дифференциальный тариф за использование ЕБС) и наличия обязанности по использованию ЕБС со стороны законодательства.
Информационным сообщением от 22.06.2022 №240/11/3357 ФСТЭК России сообщает о внесении изменений в примерные программы профессиональной переподготовки и повышения квалификации специалистов, работающих в области технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры, утвержденные ФСТЭК России. Указанные в письме изменения рекомендовано внести образовательным организациям, имеющим согласованные со ФСТЭК России программы профессиональной переподготовки и повышения квалификации (далее – рабочие программы). При внесении изменений в рабочие программы рекомендовано проинформировать Управление ФСТЭК России по федеральному округу, в пределах которого расположена образовательная организация. Пересогласовывать рабочие программы со ФСТЭК России не требуется.
На сайте Банка России размещены новые условия по защите информации, которые должны применяться с 13.07.2022 клиентами, участвующими в обмене электронными сообщениями в платежной системе Банка России. Изменения коснулись клиентов, являющихся участниками системы быстрых платежей (далее – СБП) с доступом к услугам по трансграничному переводу денежных средств с использованием сервиса быстрых платежей платежной системы Банка России (далее – ТПСБП) и косвенных участников с доступом к ТПСБП (иностранный банк). Указанным лицам теперь необходимо выполнять меры по защите информации при осуществлении переводов денежных средств в платежной системе Банка России.
Так, клиенты, являющиеся участниками СБП с доступом к ТПСБП, должны включать в договор с косвенными участниками с доступом к ТПСБП следующие требования по защите информации:
- Косвенные участники с доступом к ТПСБП обеспечивают выполнение требований по защите информации в соответствии с требованиями законодательства иностранного государства по вопросам защиты информации и иных правовых актов, принятых в соответствии с ним.
- Косвенный участник с доступом к ТПСБП осуществляет формирование индикатора уровня риска операции и его направление в электронном сообщении участнику СБП, имеющему доступ к ТПСБП.
- Косвенный участник с доступом к ТПСБП осуществляет:
- выявление информации о компьютерных атаках, проводимых с использованием перебора идентификаторов клиентов;
- блокировку идентификатора клиента косвенного участника с доступом к ТПСБП, используемого для осуществления переборов идентификаторов клиентов участника СБП, имеющего доступ к ТПСБП;
- уведомление участника СБП, имеющего доступ к ТПСБП, о блокировке идентификатора клиента косвенного участника с доступом к ТПСБП;
- проверку информации о переборах идентификаторов клиентов участника СБП, имеющего доступ к ТПСБП;
- доведение до участника СБП, имеющего доступ к ТПСБП, информации о результатах проведенной проверки.
На официальном интернет-портале правовой информации был зарегистрирован Приказ Минцифры России от 02.03.2022 №156 «Об утверждении Порядка защиты сетей связи и информационных систем операторов связи от несанкционированного доступа к ним и передаваемой по ним информации при функционировании системы обеспечения вызова экстренных оперативных служб по единому номеру «112» (далее – Приказ). Приказ вступает с 01.09.2022 и распространяется на сети связи и информационные системы операторов связи, взаимодействующие в системе обеспечения вызова экстренных оперативных служб по единому номеру «112» (далее – система-112).
Согласно Приказу региональные операторы должны обеспечить информационную безопасность системы-112, а информационную безопасность ее сетей связи – операторы связи.
Так в Приказе закреплены следующие обязанности оператора системы-112:
- организация использования каналов передачи данных от центра обработки вызовов системы-112 (далее – ЦОВ-112) до точки присоединения;
- предоставление информации об используемых в системе-112 СКЗИ оператору связи;
- определение, администрирование и передача оператору связи параметров протокола межсистемного информационного взаимодействия.
Также в Приказе определены обязанности для операторов связи:
- организация в своей сети связи точки присоединения для систем вызова экстренных оперативных служб;
- обеспечение установки и эксплуатации СКЗИ, которые имеют одинаковый тип с СКЗИ системы-112, в конфигурации, достаточной для обеспечения межсистемного взаимодействия;
- определение правил идентификации и аутентификации при организации доступа технических средств системы-112 к своей информационной системе.
В Приказе отмечается, что для защиты конфиденциальных сведений должны применяться криптографические средства класса КСЗ и выше.
Приказ предусматривает возможность размещения СКЗИ оператора связи на территории ЦОВ-112 субъекта РФ по согласованию с оператором системы-112.
Следует отметить, что в целях защиты от несанкционированного доступа к абонентским линиям связи при подключении ЦОВ-112 и (или) единой диспетчерской службы для радиоэлектрических средств обеспечивается защитное кодирование (шифрование) информации в радиоканале, а для проводных абонентских линий используются средства в соответствии с Постановлением Правительства Российской Федерации от 09.06.1995 №578 «Об утверждении Правил охраны линий и сооружений связи Российской Федерации» и Приказом Мининформсвязи России от 09.01.2008 №1 «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации».
В июне был опубликован проект Постановления Правительства РФ «О внесении изменений в отдельные акты Правительства Российской Федерации» (далее – Проект ПП), продлевающий эксперимент по использованию усиленной электронной подписи при предоставлении услуг и осуществлении иных действий с использованием ЕСИА с 31.07.2022 до 31.12.2022. Проект ПП предусматривает расширение круга участников должностными лицами государственных органов, должностными лицами Федерального казначейства и должностными лицами удостоверяющего центра Казначейства России. А также учитывает возможность использования усиленной неквалифицированной электронной подписи посредствам применения мобильного клиента автоматизированной системы.
Минцифры России 7 июня опубликовало проект Приказа «О внесении изменений в Требования к техническим и программным средствам информационных систем, содержащих базы данных абонентов оператора связи и предоставленных им услугах связи, а также информацию о пользователях услугами связи и о предоставленных им услугах связи, обеспечивающих выполнение установленных действий при проведении оперативно-розыскных мероприятий, утвержденные приказом Министерства связи и массовых коммуникаций Российской Федерации от 29.10.2018 № 573» (далее – проект Приказа).
Проект Приказа дополняет функционал информационной системы оперативно-розыскных мероприятий (далее – ИС ОРМ) с целью улучшения анализа получаемой информации. Так, ИС ОРМ теперь должна формировать статистические записи об использовании абонентами протоколов HTTP и STUN, VoIP-соединений и DNS-запросов и обеспечивать передачу на пульт управления результатов поисковых задач. Перечень сведений, накапливаемых в ИС ОРМ, также предлагается дополнить информацией, необходимой для сбора статистических записей. Согласно Проекту Приказа ИС ОРМ обеспечивает возможность настройки фильтров содержимого соединений сети передачи данных и фильтров протоколов потокового медиаконтента.
Проект Приказа предлагает расширение записи информации в виде архивированных недекодированных файлов:
- о соединениях и сеансах связи абонентов, реализованных посредством сетей телефонной связи;
- о соединениях, инициированных абонентами и другими пользователями и реализованных посредством услуг сети передачи данных;
- о подключении, отключении и изменении местоположения абонентов.
Проект Приказа также предусматривает включение положений по декодированию информации при ее передаче между пультом управления и ИС ОРМ и взаимной аутентификации технических средств ИС ОРМ и пультом управления.
В конце июня был зарегистрирован Приказ Министерства просвещения РФ от 14.02.2022 № 74 «Об обработке и обеспечении защиты персональных данных в Министерстве просвещения Российской Федерации», который утверждает правила обработки персональных данных (далее – ПДн), правила рассмотрения запросов субъектов ПДн или их представителей, правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите информации в Министерстве просвещения РФ и иные правила, применяемые в Министерстве просвещения РФ, в рамках реализации Федерального закона РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Информационная безопасность детей в республике Дагестан
В целях повышения эффективности деятельности по защите детей от информации, причиняющей вред их здоровью и (или) развитию, Правительство Республики Дагестан подписало постановление от 29.06.2022 №198 «Об утверждении Перечня мероприятий, направленных на обеспечение информационной безопасности детей, производство информационной продукции для детей и оборот информационной продукции в Республике Дагестан, на 2022-2027 годы», которое определяет мероприятия, направленные на обеспечение информационной безопасности детей, сроки исполнения указанных мероприятий и ответственных исполнителей.
В перечень включены пять основных групп мероприятий:
- создание организационно-правовых механизмов защиты детей от распространения информации, причиняющей вред их здоровью и направленной на распространение антиобщественных тенденций, а также внедрение систем исключения доступа к информации, в том числе средств фильтрации и иных устройств;
- формирование у несовершеннолетних навыков ответственного и безопасного поведения в современной информационно-телекоммуникационной среде посредством обучения их способам защиты в информационном пространстве и профилактики негативных явлений и правонарушений с использованием информационно-телекоммуникационных технологий;
- информационное просвещение совершеннолетних граждан о защите детей от информации, причиняющей вред их здоровью и развитию;
- создание механизмов по поддержке и развитию детского и безопасного информационного контента федерального и регионального уровней для детской аудитории;
- внедрение системы мониторинговых исследований по вопросам обеспечения безопасности и развития детей в информационном пространстве.