В очередном выпуске нашего Compliance-дайджеста подборка новостей законодательства в области ИБ за прошедший март. Какие изменения в порядке размещения биометрических персональных данных в ЕБС? Как ГИС будут переходить на «ГосТех»? Какие новые понятия планируется ввести в законе о гостайне? Какие требования к обеспечению защиты информации при переводах денег планирует ввести ЦБ РФ? Об этом и других изменениях читайте в этом посте.
Биометрические персональные данные
Опубликовано постановление Правительства Российской Федерации от 17.03.2023 № 405, утверждающее порядок получения согласия физического лица на размещение его биометрических ПДн в региональном сегменте единой биометрической системы (далее – ЕБС), порядок передачи и обработки биометрических ПДн в ЕБС. Также утверждена форма согласия физического лица на размещение его биометрических ПДн в региональном сегменте ЕБС.
Постановление Правительства РФ от 27.03.2023 № 478 утвердило правила представления физическим лицом в МФЦ отказа от сбора и размещения биометрических ПДн в целях проведения идентификации и (или) аутентификации и отзыва такого отказа.
При подаче в МФЦ заявления об отказе от сбора биометрических ПДн или отзыве такого отказа нужно будет предъявить один из документов, удостоверяющих личность:
паспорт гражданина РФ;
паспорт иностранного гражданина;
документы, удостоверяющие личность лица без гражданства.
При этом надо собственноручно заполнить заявление на бумажном бланке и подписать его.
МФЦ в течение одного календарного дня направляет через единую систему межведомственного электронного взаимодействия (СМЭВ) оператору ЕБС сведения об отказе или отзыве отказа. Информация о том, что оператор ЕБС получил эти сведения, поступит в МФЦ автоматически – также через СМЭВ.
Постановление вступает в силу с 1 июня 2023 года.
Постановление Правительства Российской Федерации от 24.03.2023 № 451 устанавливает порядок направления оператором регионального сегмента ЕБС мотивированного запроса оператору ЕБС о предоставлении информации о результатах проверки соответствия предоставленной биометрии физлица его биометрии, содержащейся в ЕБС.
Запрос оператору регионального сегмента направляет субъект ПДн в случае выявления неправомерной обработки его биометрических ПДн и (или) в случае оспаривания результатов проведения аутентификации с использованием его данных, хранящихся в ЕБС.
Государственные информационные системы
Подписан указ президента РФ, определяющий порядок создания, развития и эксплуатации государственных информационных систем (далее – ГИС) с использованием платформы «ГосТех».
Создание, развитие и эксплуатация ГИС должны осуществляться с помощью платформы «ГосТех» с 1 апреля 2023 для федеральных государственных систем, с 1 января 2024 года – для региональных информационных систем.
Переход ГИС на «ГосТех» происходит по результатам оценки экономической и (или) технологической целесообразности. Оценку проводят в соответствии с методическими рекомендациями, утвержденными в порядке, который определило Правительство РФ.
Оператор платформы «ГосТех» заключает соглашения с операторами государственных информационных систем о распределении ответственности между этими лицами.
Правительство РФ должно в 10-месячный срок обеспечить внесение в законодательство изменений, необходимых для развития платформы «ГосТех».
Государственная тайна
В Государственной Думе находится на рассмотрении законопроект «О внесении изменений в Закон Российской Федерации "О государственной тайне" и Федеральный закон "О порядке выезда из Российской Федерации и въезда в Российскую Федерацию», которым предлагается:
Ввести понятие «Режим секретности». Правительство РФ наделить полномочиями по установлению порядка обеспечения режима секретности.
Уточнить понятие «Допуск к государственной тайне». Установить процедуру его оформления должностным лицам и гражданам РФ, которым допуск оформляется в особом порядке, также определяются условия прекращения допуска к государственной тайне, обязанности и условия ограничения прав граждан, допущенных или ранее допускавшихся к государственной тайне.
Предусмотреть наделение Межведомственной комиссии по защите государственной тайны полномочиями принимать решения о допуске к государственной тайне заместителей руководителей федеральных органов исполнительной власти и государственных корпораций «Росатом» и «Роскосмос».
Финансовый сектор
Банк России представил для общественного обсуждения проект положения «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Проект устанавливает:
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются субъектами национальной платежной системы для осуществления переводов денежных средств;
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений;
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые в отношении технологии обработки информации, подготавливаемой, обрабатываемой и хранимой субъектами национальной платежной системы в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств, в том числе к регистрации результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, которая включает регистрацию действий работников, а также регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения;
требования об информировании Банка России об инцидентах, связанных с нарушением требований защиты информации субъектами национальной платежной системы;
требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием средств криптографической защиты информации в отношении субъектов национальной платежной системы.
Предполагается, что новое положение вступит в силу с 1 апреля 2024 года (отдельные положения – с 1 января 2031 года). С этого момента утратит силу положение Банка России № 719-П.
Для общественного обсуждения представлен проект положения Банка России, в котором указаны требования к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования.
Информационные сообщения регуляторов
ФСТЭК России сообщает о прекращении применения с 1 мая 2023 года отдельных средств активной акустической и вибрационной защиты акустической речевой информации в связи с несоответствием требованиям по технической защите информации и отсутствием технической поддержки.
Владельцы аттестованных объектов информатизации, на которых перечисленные средства защиты информации (далее – СЗИ) установлены, должны спланировать и осуществить замену на СЗИ, у которых есть действующие сертификаты соответствия, и провести дополнительные аттестационные испытания объектов информатизации.
ФСТЭК России информирует о возможности применения в составе аттестованных объектов информатизации отдельных средств активной акустической и вибрационной защиты акустической речевой информации.
Новости в области стандартизации
Техническим комитетом по стандартизации «Криптографическая защита информации» (ТК 26) опубликованы для обсуждения:
Отраслевые изменения
ФСБ России признала утратившим силу Административный регламент Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны.
Опубликован приказ Минцифры России, утверждающий перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи.
Минцифры подготовило методические рекомендации по информационной безопасности репозитория открытого программного обеспечения.
Методические рекомендации определяют, как обеспечить защиту открытых репозиториев программного обеспечения. Также они задают единые подходы для формирования требований к информационной безопасности в подобных системах.
Правительство установило возможность проведения плановых проверок до 2030 года только в отношении объектов контроля, отнесенных к категориям чрезвычайно высокого и высокого риска причинения вреда, а также опасных производственных объектов и гидротехнических сооружений II класса опасности.
Для публичного рассмотрения представлен проект методического документа «Руководство по управлению уязвимостями программного обеспечения и программно-аппаратных средств в органе (организации)».
Документ предназначен для организации процессов управления уязвимостями в органах (организациях). Это основа для разработки детальных регламентов по управлению уязвимостями с учетом особенностей функционирования органов (организаций) и организации взаимодействия между их структурными подразделениями по вопросам устранения уязвимостей.
Предложения и замечания по проекту принимаются до 17 апреля 2023 года.