На связи Катя, консультант по информационной безопасности «Solar Интеграция», и я хочу поделиться с вами ежемесячной подборкой новостей из мира комплаенса в области кибербезопасности. В этом выпуске дайджеста вы узнаете об основных изменениях января, а чтобы вам было удобно его читать, я разбила все новости на тематические блоки: биометрические персональные данные, безопасность объектов КИИ, планы ФСТЭК России, новости в области стандартизации, отраслевые изменения.
Биометрические персональные данные
1. Правительство разработало проекты постановлений в развитие федерального закона (441-ФЗ), с принятием которого Единая биометрическая система получила статус ГИС. Один из документов определяет, как теперь ЕБС будет функционировать и взаимодействовать с другими информационными системами, в другом прописано, как россияне смогут размещать в ней свои биометрические персональные данные. По закону, для отправки биометрических образцов в ЕБС можно использовать одноименное мобильное приложение при наличии подтвержденной учетной записи в ЕСИА и действительного заграничного паспорта с биометрическими данными.
Безопасность объектов КИИ
2. Для общественного обсуждения представлен проект федерального закона, предусматривающий дополнительные меры ответственности для субъектов КИИ. Документ содержит изменения в статью 19.7.15 КоАП РФ, которыми предлагается ужесточить наказание за нарушения в части информирования ФСТЭК России о результатах категорирования объектов КИИ. Согласно действующей редакции статьи, субъектам КИИ грозят штрафы за непредставление и нарушение сроков представления таких данных регулятору. Поправки расширяют их действие на случаи, когда подаются неактуальные или недостоверные сведения, а также вводят ответственность за повторные нарушения в этой области.
Планы ФСТЭК России
3. ФСТЭК России опубликовала перспективную программу работы технического комитета по стандартизации «Защита информации» (ТК 362) на 2022-2024 годы. Регулятор планирует разработать и пересмотреть 38 национальных стандартов, среди которых стандарты по идентификации и аутентификации, разработке безопасного программного обеспечения, разработке доверенных систем, ГОСТ 15408 и 18045, ГОСТ 52447, 53113 и 56939.
Новости в области стандартизации
4. С января в России начали действовать обновленные ГОСТы 34-й серии:
базовый стандарт ГОСТ 34.201-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем»;
основной стандарт при разработке технических заданий ГОСТ 34.602-2020 «Информационные технологии. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы».
5. Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) представил для обсуждения проект предварительного национального стандарта (ПНСТ) «Информационная технология. Криптографическая защита информации. Термины и определения».
6. ТК26 подготовил проект рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Контрольные примеры использования российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3)».
Отраслевые изменения
7. Министерство просвещения РФ представило для общественного обсуждения проект приказа, определяющий угрозы безопасности, актуальные при обработке персональных данных в информационных системах персональных данных ведомства.
8. Министерство цифрового развития, связи и массовых коммуникаций РФ представило для общественного обсуждения проект приказа, утверждающий форму проверочного листа (списка контрольных вопросов), используемого ведомством при осуществлении федерального государственного контроля в сфере идентификации и (или) аутентификации.
Zed-nsk
Я отстал от жизни? Есть требование проводить общественное обсуждение внутренних документов госорганов? Тем более, что перечень закрытых дыр автоматически формирует список дыр НЕзакрытых.