Меня зовут Катя, в «Solar Интеграция» я отвечаю за комплаенс и пристально слежу за всеми изменениями законодательства в области кибербезопасности. В свежем выпуске нашего compliance-дайджеста я собрала краткую выжимку из новостей за декабрь 2021 года и по традиции разбила их на тематические блоки: функционирование ГосСОПКА, безопасность объектов КИИ, биометрические персональные данные, документы для служебного пользования, проверки регуляторов, планы ФСТЭК России на 2022 год, новости в области стандартизации, отраслевые изменения. Если вам важно быть в курсе изменений в требованиях регуляторов, добро пожаловать под кат!
Функционирование ГосСОПКА
1. ФСБ расширила список должностных лиц, уполномоченных составлять протоколы об административных правонарушениях по нарушениям, связанным с обеспечением функционирования ГосСОПКА. Нововведение в том числе касается рассмотрения дел об административных правонарушениях, предусмотренных частями 2 и 3 статьи 13.12.1 и частью 2 статьи 19.7.15 КОАП. Соответствующий приказ об этом опубликован на официальном интернет-портале правовой информации (приказ ФСБ России от 29.11.2021 № 472).
Безопасность объектов КИИ
2. Правительство своим постановлением внесло изменения в правила категорирования объектов критической информационной инфраструктуры. Ключевые новшества документа:
Субъект КИИ должен сообщать во ФСТЭК России об изменении сведений о значимых объектах КИИ не позднее 20 рабочих дней со дня их изменения.
Государственные органы и российские юридические лица должны вести мониторинг представления актуальных и достоверных сведений субъектами КИИ.
При выявлении нарушения сроков работ по категорированию и случаев представления неактуальных либо недостоверных сведений информация об этом направляется во ФСТЭК России.
Биометрические персональные данные
3. Единая биометрическая система (ЕБС) получила статус государственной информационной системы. Соответствующий Федеральный закон (441-ФЗ) вступил в силу 30 декабря 2021 года. Теперь россияне могут размещать свои биометрические данные в ЕБС с помощью одноименного мобильного приложения. При этом, согласно закону, у граждан должна быть подтверждённая учётная запись в ЕСИА и действительный заграничный паспорт с биометрическими данными.
Документы для служебного пользования
4. Минцифры вынесло на общественное обсуждение проект постановления Правительства РФ «Об утверждении Положения о порядке обращения с документами для служебного пользования». Проект разработан на смену действующему документу, который был принят еще в 1994 году (Постановление Правительства РФ № 1233 от 03.11.1994).
Новое положение включает следующие изменения:
Распространяется в федеральных органах государственной власти и государственных корпорациях, а также на подведомственных им предприятиях, учреждениях и организациях.
Для предупреждения несанкционированного доступа к документам в электронной форме, содержащим служебную информацию ограниченного распространения, при их передаче предусматривается возможность использовать транспортную шину межведомственного электронного документооборота. При этом у отправителя и получателя должны быть системы электронного документооборота или иные программные (программно-аппаратные) решения.
Устанавливается необходимость аттестации систем электронного документооборота или иных программных решений, а также систем хранения электронных документов на соответствие требованиям ФСБ России и ФСТЭК России.
Проверки регуляторов
5. Роскомнадзор разработал новые формы проверочных листов (списки контрольных вопросов), используемые ведомством при проведении выездных проверок. Речь идет о плановых проверках по соблюдению обязательных требований в области обработки персональных данных в отношении юридических и физических лиц, индивидуальных предпринимателей, а также операторов, являющихся государственными или муниципальными органами. Соответствующий проект приказа Роскомнадзора представлен для общественного обсуждения.
6. ФСТЭК России представила для общественного обсуждения проекты ведомственных приказов, направленные на установление форм оценочных листов, в соответствии с которыми регулятор планирует проводить оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении:
деятельности по разработке и производству средств защиты конфиденциальной информации;
деятельности по технической защите конфиденциальной информации.
7. ФСБ России представила для общественного обсуждения проект приказа, утверждающий формы документов, которые служба использует в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности».
Проект включает формы документов, а также перечни вопросов, отражающих выполнение лицензионных требований при осуществлении следующих видов деятельности:
разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);
разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации;
выявление электронных устройств, предназначенных для негласного получения информации;
разработка и производство средств защиты конфиденциальной информации.
Планы ФСТЭК России на 2022 год
8. В этом году ФСТЭК России планирует разработать ряд нормативных правовых актов:
проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 133»;
проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134»;
проект приказа ФСТЭК России «Об утверждении формы оценочного листа, в соответствии с которым проводится оценка соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации»;
проект приказа ФСТЭК России «Об утверждении формы оценочного листа, в соответствии с которым проводится оценка соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации»;
проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 20 июля 2012 г. № 89»;
проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 20 июля 2012 г. № 90»;
проект приказа ФСТЭК России «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17».
9. ФСТЭК России своим приказом утвердила программу профилактики нарушений обязательных лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации на 2022 год.
Новости в области стандартизации
10. С 1 января 2022 года вступил в силу ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования». Этот ГОСТ идентичен международному стандарту ISO/IEC 27001:2013 и принимается взамен ГОСТ Р ИСО/МЭК 27001-2006.
11. Федеральное агентство по техническому регулированию и метрологии опубликовало на своем сайте новые ГОСТы:
Документы вступят в силу 30 апреля 2022 года.
Отраслевые изменения
12. Банк России разработал требования для участников финансового рынка по обеспечению защиты информации в целях противодействия осуществлению незаконных финансовых операций. Соответствующий проект положения опубликован на официальном интернет-портале правовой информации.
13. Росгвардия представила для общественного обсуждения проект приказа, утверждающий перечень сведений ведомства, подлежащих отнесению к служебной тайне в области обороны.