На связи Катя, консультант «Solar Интеграция» по информационной безопасности. В свежем дайджесте я собрала ключевые новости из мира комплаенса ИБ за минувший май. Вы узнаете об основных моментах главного нормативного правового акта, появившегося в отрасли в прошедшем месяце: Указе Президента России о дополнительных мерах по обеспечению информационной безопасности в стране. Также я расскажу о новшествах в области защиты персональных и биометрических персональных данных, поделюсь отраслевыми изменениями и другими новостями законодательства в области кибербезопасности. Для вашего удобства все новости по традиции разбиты на тематические блоки.
Дополнительные меры по обеспечению ИБ
1. Официально опубликован Указ Президента РФ от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности РФ». Он распространяется на органы госвласти, высшие исполнительные органы госвласти, госфонды, госкорпорации, другие организации, созданные на основании федеральных законов, стратегические предприятия, стратегические акционерные общества, системообразующие организации российской экономики, субъекты КИИ РФ.
Вот что они должны делать, согласно указу:
возложить на заместителя руководителя полномочия по обеспечению ИБ, а также по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты;
создать структурное подразделение, выполняющее функции по обеспечению ИБ, а также по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты (или возложить эти функции на уже существующее подразделение);
в случае необходимости для осуществления мероприятий по обеспечению ИБ и обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты подключать только лицензиатов ФСТЭК России и (или) ФСБ России, а также аккредитованные центры ГосСОПКА;
предоставлять должностным лицам ФСБ России беспрепятственный доступ, в том числе удалённый, к своим информационным ресурсам, доступ к которым осуществляется через сеть Интернет;
незамедлительно реализовывать организационные и технические меры в соответствии с поступающей на регулярной основе информацией от ФСТЭК и (или) ФСБ России;
в случае отнесения к ключевым органам или организациям оценить уровень защищённости своих информационных систем до 1 июля 2022 года. Для этого допускается подключать лицензиатов ФСТЭК и ФСБ России;
возложить на руководителя персональную ответственность за обеспечение ИБ.
Кроме того, с 1 января 2025 года всем попавшим под действие указа органам (организациям) запрещается использовать средства защиты информации из недружественных государств, а также иных организаций, которые прямо или косвенно подконтрольны таким государствам.
Правительству РФ в соответствии с указом предстоит утвердить:
типовое положение о заместителе руководителя органа (организации), ответственного за обеспечение ИБ;
типовое положение о подразделении органа (организации), ответственном за обеспечение ИБ;
перечень ключевых органов (организаций), которым необходимо оценить уровень защищённости своих информационных систем.
ФСБ России, согласно указу, должна:
организовать аккредитацию центров ГосСОПКА;
определить период, в течение которого центры ГосСОПКА могут оказывать соответствующие услуги органам и (или) организациям по старым (действующим) правилам;
определить порядок проведения мониторинга защищённости информационных ресурсов органов (организаций).
Персональные данные
2. Президент РФ подписал Федеральный закон от 28.05.2022 №145-ФЗ «О внесении изменения в статью 14.8 Кодекса РФ об административных правонарушениях». Согласно изменениям, за отказ в заключении, исполнении, изменении или расторжении договора с потребителем из-за его нежелания предоставить персональные данные вводятся административные штрафы:
для должностных лиц – от 5 до 10 тысяч рублей;
для юрлиц – от 30 до 50 тысяч рублей.
Ответственность не наступит в случаях, когда предоставление потребителем персональных данных является обязательным согласно федеральным законам и принятым в соответствии с ними иными нормативными правовыми актами или непосредственно связано с исполнением договора. Закон вступит в силу с 1 сентября 2022 года.
Биометрические персональные данные
3. Минцифры России опубликовало проект постановления Правительства РФ, предусматривающий сбор биометрических персональных данных в единую биометрическую систему путем самостоятельной регистрации физических лиц через мобильное приложение.
Государственные информационные системы
4. Опубликовано постановление Правительства РФ от 13.05.2022 № 860 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений».
5. Опубликовано постановление Правительства РФ от 14.05.2022 г. № 875 «О внесении изменений в некоторые акты Правительства РФ». Согласно документу, физические и юридические лица через личный кабинет на портале госуслуг с использованием ЕСИА могут получить санкционированный доступ к информации, содержащейся в государственных, муниципальных и иных информационных системах, посредством дополнительной аутентификации: с помощью ЕБС или кода в SMS.
Государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак
6. ФСБ России опубликовала проект приказа «Об определении переходного периода», согласно которому центрам ГосСОПКА предлагается разрешить осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах органов и организаций, определённых в Указе Президента РФ от 01.05.2022 № 250, без дополнительной аккредитации в течение одного года.
7. ФСБ России опубликовала проект приказа, предусматривающий закрепление задачи по аккредитации центров ГосСОПКА за НКЦКИ. Согласно документу, регулятора предлагается наделить функцией по определению порядка аккредитации и правом отказывать организациям в аккредитации, а также приостанавливать и прекращать её действие.
Криптография
8. Официально опубликовано постановление Правительства РФ от 09.05.2022 № 834 «Об установлении особенностей ввоза в РФ шифровальных (криптографических) средств и товаров, их содержащих», согласно которому упрощается ввоз шифровальных средств в Россию.
Информационные сообщения ФСТЭК России
9. ФСТЭК России информирует о начале тестовой эксплуатации нового раздела Банка данных угроз безопасности информации.
10. ФСТЭК России информирует о представлении ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации» в Росстандарт для утверждения.
11. ФСТЭК России публикует отчеты о результатах деятельности технического комитета по стандартизации «Защита информации» (ТК 362):
Отраслевые изменения
12. Официально опубликован приказ Министерства здравоохранения РФ от 25.03.2022 № 205н «Об утверждении Типового положения о медицинском информационно-аналитическом центре», согласно которому в структуре МИАЦ должен быть создан отдел защиты информации. Одними из основных функций МИАЦ являются:
формирование требований к защите информации ГИС субъекта РФ, медицинских и иных ИС, содержащих ПДн;
обеспечение безопасности значимых объектов КИИ;
организация работы защищенных сетей передачи данных, используемых для взаимодействия ИС в сфере здравоохранения субъекта РФ;
обнаружение компьютерных атак и ликвидация компьютерных инцидентов.
13. Официально опубликован Указ Президента РФ от 25.04.2022 № 228, согласно которому изменяется состав Межведомственной комиссии Совета Безопасности РФ по информационной безопасности. В состав комиссии теперь в том числе будут входить Первый заместитель Генерального прокурора РФ и Заместитель директора Росгвардии.
14. Опубликован приказ ФСБ России от 13.04.2022 № 179, вносящий изменения в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. № 796. Приказ вступает в силу с 1 сентября 2022 года и будет действовать до 1 января 2027 года.
15. Банк России опубликовал перечень мер по стабилизации ситуации на финансовом рынке в условиях реализации санкционных рисков.