Автор: Татьяна Пермякова, старший аналитик.

В обзоре изменений за апрель 2023 года рассмотрим: дополнительные требования для значимых объектов КИИ с удаленным управлением, госконтроль и аккредитация операторов в ЕБС, удостоверение личности с помощью Госуслуг, изменения в список контрольных вопросов Роскомнадзора, цифровые отпечатки в приложениях финансовых организаций, замена административных регламентов ФСТЭК России, порядок обращения с ДСП-документами, а также результаты работы ТК 362.

Требования Минэнерго по обеспечению безопасности значимых объектов КИИ

 Для общественного обсуждения представлен проект приказа Министерства энергетики Российской Федерации (далее ‑ Минэнерго России) «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры при организации ‎и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики ‎из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».

Проектом предлагается установить дополнительные требования к обеспечению безопасности значимых объектов критической информационной инфраструктуры (далее – КИИ) теплоэнергетического комплекса, при организации или осуществлении дистанционного управления технологическими процессами. Проект в явном виде устанавливает область действия требований, а также требования как для организации дистанционного управления, так и для тех субъектов КИИ, которые до вступления проекта в силу уже организовали и осуществляют дистанционное управление.

Требования включают ряд мер, в том числе:

• требования к положению ключа дистанционного управления;

• защита трафика команд дистанционного управления (в том числе криптографическая защита);

• обеспечение межсетевой защиты;

• поддержка безопасности программного обеспечения.

Оценка соблюдения требований, предусмотренных проектом приказа, будет осуществляться в рамках государственного контроля в области обеспечения безопасности значимых объектов КИИ (в соответствии со ст.13 187-ФЗ).

Общественное обсуждение проекта завершится 12 мая.

ЕБС

Положение о госконтроле

Официально опубликовано постановление Правительства Российской Федерации от 11.04.2023 № 585 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации и признании утратившими силу некоторых актов Правительства Российской Федерации».

Согласно постановлению, государственный контроль в сфере идентификации и (или) аутентификации осуществляет Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России).

Положение утверждает перечень должностных лиц, уполномоченных на осуществление контрольных мероприятий, объекты контроля и порядок его проведения. Согласно Положению, на сайте Минцифры России будет вестись учет объектов контроля в виде постоянно обновляемого реестра.

При осуществлении государственного контроля применяется уже известная система оценки и управления рисками причинения вреда охраняемым законом ценностям. Минцифры России при планировании контрольных мероприятий оценивает объекты контроля по трем уровням риска в соответствии с приложением к Положению:

• высокий – проверка 1 раз в 2 года;

•  средний – 1 раз в 2,5 года;

•  низкий – не установлена периодичность.

При проведении контрольных мероприятий допускается фото-, видеосъемка, аудиозапись для фиксации свидетельств выявленных нарушений (при этом требуется фиксировать факт нарушения не менее чем 2 снимками). Указанные материалы являются приложением к Акту о результатах контрольного (надзорного) мероприятия.

Положение вступает в силу с 1 июня 2023 года.

Аккредитация владельцев и операторов

Официально опубликовано постановление Правительства Российской Федерации от 28.04.2023 № 670 «Об аккредитации государственных органов, Центрального банка Российской Федерации для осуществления аутентификации, о требованиях к организациям, привлекаемым государственными органами, Центральным банком Российской Федерации для осуществления функций операторов информационных систем, обеспечивающих аутентификацию физических лиц с использованием векторов единой биометрической системы, и о признании утратившим силу постановления Правительства Российской Федерации от 26 августа 2022 г. № 1498».

Постановлением утверждены требования к владельцам и операторам информационных систем, обеспечивающих аутентификацию физических лиц. Требования включают в том числе:

• необходимость владения шифровальными средствами и лицензии на деятельность по разработке, производству, распространению шифровальных (криптографических) средств (последнее актуально для операторов);

• наличие в штате не менее 2 работников, осуществляющих эксплуатацию указанных информационных систем;

• обязательное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА);

• использование для аутентификации программного обеспечения, входящего в единый реестр российского программного обеспечения;

• использование для обработки биометрических ПДн векторов ЕБС, находящихся только на территории Российской Федерации;

• для операторов – обязательность выполнения требований по обеспечению безопасности информации в соответствии с ч.4 ст.19 152-ФЗ и т.д.

Постановление также утверждает Правила осуществления аккредитации для владельцев и операторов информационных систем, обеспечивающих аутентификацию физических лиц. Согласно Правилам, аккредитация проводится Минцифры России. Правила включают порядок подачи и рассмотрения заявления на аккредитацию, содержание такого заявления, сроки мероприятий в рамках получения аккредитации, основания для приостановления и прекращения действия аккредитации, внесения изменений в перечень аккредитованных органов, а также порядок обжалования полученных решений.

Постановление вступает в силу с 1 июня 2023 года и действует до 1 июня 2029 года.

Электронные документы, удостоверяющие личность

Для общественного обсуждения представлен проект Указа Президента Российской Федерации «О предъявлении документов с использованием информационных технологий».

Общественное обсуждение проекта завершилось 27 апреля, по итогам обсуждения опубликована версия, доработанная в соответствии с поступившими предложениями.

Согласно проекту, предъявление сведений из документов, удостоверяющих личность, размещенных в мобильном приложении федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг» (Госуслуги) будет приравниваться к предъявлению оригинала таких документов. Использование мобильного приложения для указанных целей осуществляется гражданами добровольно.

Согласно проекту, Президент РФ постановляет Правительству РФ определить порядок и условия применения мобильного приложения, а также состав и порядок обработки и защиты предъявляемых сведений. При этом для использования мобильного приложения необходимо применять шифровальные (криптографические) средства защиты, указанные в ч1. Ст. 19 572-ФЗ.

Проект находится на стадии независимой антикоррупционной экспертизы.

Изменения в список контрольных вопросов для проверок в области обработки ПДн

Официально опубликован приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее ‑ Роскомнадзора) от 10.01.2023 № 1 «О внесении изменений в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. № 253».

Приказ вносит ряд изменений, в том числе:

• уточнены критерии проверки требований, предъявляемых к организации обработки персональных данных (далее – ПДн) по поручению;

• уточнены критерии проверки выполнения требований в части трансграничной передачи данных;

• добавлена проверка обязательности обслуживания клиента при его отказе в предоставлении биометрических ПДн;

• добавлены критерии проверки соблюдения требований по уведомлению об инцидентах защиты ПДн;

• добавлены критерии проверки соблюдения требований по процедурам прекращения обработки ПДн и их уничтожению и т.д.

Цифровые отпечатки в финансовых сервисах

Центральный Банк Российской Федерации опубликовал Стандарт обеспечения безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств. Стандарт устанавливает рекомендации по формированию цифровых отпечатков устройств в рамках дистанционного предоставления финансовых и банковских услуг для кредитных и некредитных финансовых организаций.

Под цифровым отпечатком в стандарте понимается идентификатор устройства, сформированный в виде производного значения из значений параметров устройства, позволяющий идентифицировать устройство пользователя при получении им банковских и финансовых услуг. Стандарт формируется для противодействия осуществлению переводов денежных средств без согласия клиента, расследования инцидентов защиты информации, использования в качестве фактора аутентификации.

Стандарт содержит общее описание технологии цифрового отпечатка и ограничения ее использования, алгоритм формирования отпечатка, рекомендации по его хранению и применению.

Административные регламенты ФСТЭК России

Опубликован проект приказа Федеральной службы по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России), предлагающий отменить административные регламенты по исполнению государственной функции по контролю за соблюдением лицензионных требований при:

• осуществлении деятельности по технической защите конфиденциальной информации;

• осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации.

Службой также опубликованы для общественного обсуждения проекты приказов, предлагающие утвердить сроки и последовательность административных процедур при осуществлении лицензионного контроля:

• «Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю лицензионного контроля за деятельностью по технической защите конфиденциальной информации»;

• «Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)».

Скорректированы формулировки предмета лицензионного контроля, наименование административных процедур. Исключена блок-схема исполнения государственной функции.

Согласно проектам для осуществления контрольных мероприятий предлагается возможность привлечения сторонних экспертов по решению директора ФСТЭК России. Такие эксперты не должны состоять в гражданско-правовых и трудовых отношениях с проверяемой организацией или быть аффилированными лицами лицензиата.

Основанием для включения в ежегодный план проведения проверок теперь является истечение трех лет со дня:

• государственной регистрации юридического лица, индивидуального предпринимателя (ранее был установлен срок – по истечении одного года);

•  окончания проведения последней плановой проверки юридического лица, индивидуального предпринимателя (осталось без изменений).

Публичное обсуждение проектов завершилось 25 апреля.

Положение о порядке обращения с ДСП-документами

Для общественного обсуждения опубликован проект приказа Минцифры России «Об утверждении Положения о порядке обращения с документами для служебного пользования в федеральных органах исполнительной власти, государственных корпорациях, а также подведомственных им организациях , о внесении изменений в отдельные положения некоторых актов Правительства Российской Федерации ‎и признании утратившими силу некоторых актов и отдельных положений некоторых актов Правительства Российской Федерации».

Действующее постановление Правительства Российской Федерации от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности» распространяется только на документы в бумажной форме и другие материальные носители с пометкой «Для служебного пользования», обращение которых осуществляется в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии ‎и уполномоченном органе по космической деятельности. Проект приказа разработан с целью устранить существующий пробел, а также унифицировать порядок обращения со служебной информацией для иных государственных органов, органов государственных внебюджетных фондов, органов местного самоуправления, а также организаций, осуществляющим в соответствии с федеральными законами отдельные публичные полномочия, при обращении со служебной информацией. При этом конкретизируется область действия положений, вводятся отдельно термины «служебная информация ограниченного доступа» и «документ для служебного пользования», а также иная терминология для уточнения порядка обращения с указанными сведениями и документами. Согласно проекту, внутренний порядок обращения с документами для служебного пользования в органах и организациях определяется самостоятельно руководителем.

Общественное обсуждение приказа завершилось 5 мая.

ТК 362

На странице технического комитета по стандартизации «Защита информации» (далее – ТК 362) опубликован ряд отчетных документов о выполненных работах: традиционные справки-доклады о ходе работ по плану по состоянию на 29.03.2023 и 28.04.2023, а также результаты анализа работы в I квартале 2023 года.

Согласно указанным документам выполнены следующие работы:

1. Подготовлены первые версии проектов национальных стандартов:

• ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»;

• ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»;

• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;

• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средств защиты информации, реализующих политики управления доступом, на основе формальных описаний модели безопасности»;

•  ГОСТ Р ИСО/МЭК 27005 «Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства» (идентичный на основе ISO/IEC 27005:2022);

• ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения».

2. Рассмотрены первые редакции проектов национальных стандартов:

• ГОСТ Р ИСО/МЭК 27001 «Информационная безопасность, кибербезопасность и защита частной жизни. Система управления информационной безопасностью. Требования» (пересмотр) (Идентичный на основе ISO/IEC 27001:2022);

• ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества».

3. Доработаны первые редакции проектов национальных стандартов:

• ГОСТ Р «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие положения»;

• ГОСТ Р 52447-20ХХ «Защита информации. Техника защиты информации. Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества».

4. Разосланы на рассмотрение в организации-члены ТК 362 проект Рекомендаций по стандартизации «Информационная технология. Криптографическая защита информации. Защищенный протокол взаимодействия квантово-криптографической аппаратуры выработки и распределения ключей и средства криптографической защиты информации». Плановый срок рассмотрения - апрель 2023 года. 

5. Представлены председателю ТК 362 для принятия решения об организации их публичного обсуждения проекты национальных стандартов:

• ГОСТ Р «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования»;

•  ГОСТ Р ИСО/МЭК 27001 «Информационная безопасность, кибербезопасность и защита частной жизни. Система менеджмента информационной безопасности. Требования».

6. Представлен председателю ТК 362 для принятия решения об организации голосования по вопросу его представления в Федеральное агентство по техническому регулированию и метрологии (Росстандарт) на утверждение проект национального стандарта ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения».

7. Проводятся работы по доработке:

• ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (идентичный на основе ISO/IEC 15408-1:2022);

• ГОСТ Р ИСО/МЭК 15408-2-20ХХ»"Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (идентичный на основе ISO/IEC 15408-2:2022).