В новом дайджесте вы узнаете об основных новшествах из мира комплаенса ИБ за прошедший август. Какие подзаконные акты появились в развитие 266-ФЗ, который внес масштабные поправки в Федеральный закон «О персональных данных»? Как изменились требования регуляторов к защите критической информационной инфраструктуры и каким образом в стране предлагается перейти на преимущественное применение доверенных программно-аппаратных комплексов на значимых объектах КИИ? Каким требованиям должны соответствовать госорганы для аккредитации на работу с государственными информационными системами, используемыми для идентификации и аутентификации? Об этом и многом другом расскажу в сегодняшнем выпуске.
Персональные данные
1. Опубликован проект приказа Роскомнадзора «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных».
2. Роскомнадзор представил для общественного обсуждения проект приказа «Об утверждении Требований к подтверждению уничтожения персональных данных», который определяет необходимость составления акта об уничтожении ПДн. Предполагается, что приказ вступит в силу 1 марта 2023 года и будет действовать до 1 сентября 2029 года.
3. Опубликован проект приказа Роскомнадзора «Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Согласно документу, регулятор предлагает ввести три степени вреда: высокую, среднюю и низкую. Для каждой из них в проекте приказа приводится список потенциальных нарушений со ссылками на требования нормативных правовых актов. Например, вред высокой степени субъектам ПДн может причинить раскрытие их персональных данных третьим лицам и распространение таких сведений без их согласия. К средней степени вреда в проекте приказа относятся случаи, когда оператор нарушает требования к содержанию и объему персональных данных в части соответствия заявленным целям обработки. Вред низкой степени, согласно документу, субъектам ПДн может быть причинен в случаях несоблюдения оператором требований к содержанию типовых форм документов, характер информации которых предполагает или допускает включение в них персональных данных.
При определении степени вреда в соответствии с проектом приказа операторы должны учитывать следующие факторы:
цели обработки ПДн;
количество субъектов ПДн;
категории обрабатываемых ПДн;
перечень действий с ПДн;
способ обработки ПДн;
количество третьих лиц, которым поручена обработка ПДн.
Результаты оценки вреда, согласно документу, необходимо оформлять соответствующим актом. Предполагается, что приказ вступит в силу 1 марта 2023 года.
Критическая информационная инфраструктура
4. Опубликовано постановление Правительства РФ от 19.08.2022 № 1463, в котором утверждаются правила оценки актуальности и достоверности сведений об объектах критической информационной инфраструктуры в рамках отраслевого мониторинга с привлечением специализированных организаций.
В качестве специализированных могут рассматриваться подведомственные организации соответствующих отраслевых ведомств, имеющие лицензию на проведение работ с использованием сведений, составляющих гостайну, и лицензию на деятельность по технической защите конфиденциальной информации.
5. ФСБ России своим приказом внесла изменения в порядок информирования службы о компьютерных инцидентах, реагирования на них и принятия мер по ликвидации последствий компьютерных атак на значимые объекты КИИ.
Приказ содержит следующие изменения:
Разработанный план реагирования на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак подлежит утверждению руководителем субъекта КИИ.
Копия утверждённого плана должна быть направлена в НКЦКИ в течение семи календарных дней.
Проект плана должен разрабатываться субъектом КИИ при методическом обеспечении НКЦКИ.
6. Минпромторг России представил для общественного обсуждения проект постановления Правительства РФ «О порядке перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры».
Согласно проекту, субъекты КИИ должны будут провести аудит своих объектов КИИ и разработать проект плана перехода на преимущественное применение доверенных программно-аппаратных комплексов. Под ними подразумеваются решения, в составе которых используются российская радиоэлектронная продукция и ПО, соответствующие требованиям безопасности ФСТЭК России и ФСБ России.
Проект плана перехода должен включать перечень используемой радиоэлектронной продукции, телекоммуникационного оборудования и ПО, сроки амортизации и действия прав на используемое ПО, а также предложения по переходу на применение доверенных программно-аппаратных комплексов, российской радиоэлектронной продукции и ПО.
Форма плана перехода утверждается в течение месяца научно-производственным объединением, которое специализируется на разработке, производстве, технической поддержке и сервисном обслуживании доверенных программно-аппаратных комплексов для КИИ.
7. В Госдуму внесен законопроект № 176874-8, которым предлагается внести поправки в статью 19.7.15. КоАП «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры РФ».
Изменения направлены на установление мер ответственности субъектов КИИ не только за непредоставление сведений, но и за предоставление недостоверных сведений о результатах категорирования объектов КИИ. Также предлагается ввести административные штрафы за повторное совершение таких правонарушений:
для должностных лиц – от 50 до 100 тысяч рублей;
для юрлиц – от 100 до 200 тысяч рублей.
8. Правительство РФ утвердило требования к программному обеспечению, используемому на значимых объектах критической информационной инфраструктуры. Соответствующее постановление об этом опубликовано на официальном интернет-портале правовой информации. В документе также прописаны правила согласования закупок иностранного ПО и услуг, необходимых для его использования на объектах КИИ. Кроме того, постановление содержит правила перехода на преимущественное использование российского ПО на объектах КИИ.
Государственные информационные системы
9. Правительство РФ утвердило требования к госорганам для прохождения аккредитации на право владения и выполнение функций операторов государственных информационных систем, которые используются для идентификации и аутентификации. Соответствующее постановление опубликовано на официальном интернет-портале правовой информации. Аккредитацию государственных органов, согласно документу, будет проводить Минцифры России.
Постановление содержит следующие требования к госорганам:
Наличие права собственности или иного вещного права на аппаратные шифровальные (криптографические) средства, применяемые для осуществления идентификации и (или) аутентификации с использованием биометрических ПДн, и наличие права использования криптографических средств на законных основаниях;
Наличие в штате не менее двух работников, обеспечивающих эксплуатацию ГИС, имеющих высшее образование в области информационных технологий или информационной безопасности;
Обеспечение взаимодействия с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА);
Соответствие информационных технологий и технических средств, предназначенных для обработки биометрических ПДн в целях проведения идентификации и аутентификации, требованиям Федерального закона «Об информации, информационных технологиях и о защите информации». Это требование распространяется на случаи, когда ГИС используется для сбора и передачи биометрических ПДн в ЕБС, а также если для аутентификации физических лиц в ней используется информация, полученная в результате обработки биометрических ПДн в ЕБС, не подпадающая под действие статьи 11 Федерального закона «О персональных данных»;
Использование программного обеспечения, включенного в реестры российского и евразийского ПО, для обработки биометрических ПДн в целях проведения идентификации и аутентификации.
10. Минцифры России представило для общественного обсуждения проект Федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации».
Законопроектом предлагается ввести определения:
федеральные государственные информационные системы (ГИС);
региональные ГИС;
муниципальные информационные системы.
Также устанавливаются цели создания ГИС. Если информационная система создается для осуществления одной из этих целей, то она является государственной информационной системой.
Новости в области стандартизации
11. Утвержден ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации». Документ начнет действовать с 1 января 2023 года.
12. ФСТЭК России опубликовала приказ об отмене ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации». Документ отменен с 1 сентября 2022 года.
Отраслевые изменения
13. Минцифры России опубликовало проект административного регламента по предоставлению государственной услуги «Аккредитация удостоверяющих центров».
14. Опубликован проект постановления Правительства РФ «О внесении изменений в пункт 3.1 Требований к федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме"».
Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности направления «Solar Интеграция» компании «РТК-Солар»