Обзор изменений в законодательстве за март 2024 года / forpes.ru

Главная
Обзор изменений в законодательстве за март 2024 года

Обзор изменений в законодательстве за март 2024 года

17.04.2024 14:01

USSCLTD 0 1900 Источник

В обзоре изменений за март 2024 года рассмотрим: изменения в 187-ФЗ, сведения, размещаемые в ЕБС и ее региональных сегментах, рекомендации по управлению риском ИБ и стандарт по обеспечению безопасной дистанционной идентификации и аутентификации Банка России, состав информации, подлежащей хранению организаторами распространения информации в сети «Интернет», расширение критериев запрещенной к распространению информации, изменения в классификаторе программ для ЭВМ и баз данных и иное.

Критическая информационная инфраструктура

Изменения в 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

На рассмотрение в Государственную думу внесен законопроект № 581689-8, предлагающий внести изменения в Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации (далее – РФ)» (далее – 187-ФЗ).

Проект федерального закона направлен на обеспечение технологической независимости и безопасности критической информационной инфраструктуры (далее – КИИ) РФ в условиях санкций, введенных в отношении государства, и при наличии рисков нарушения работоспособности объектов КИИ по причине введения таких санкций.

Первые положения проекта федерального закона направлены на изменение части 2 статьи 6 187-ФЗ, то есть на расширение полномочий Правительства РФ. Согласно предлагаемым изменениям, Правительство РФ будет устанавливать:

требования к программному обеспечению (далее – ПО), программно-аппаратным комплексам (далее – ПАК), радиоэлектронному и телекоммуникационному оборудованию, используемым в составе значимых объектов КИИ, а также случаи и порядок согласования использования таких составляющих, происходящих из иностранных государств;
сроки и порядок перехода субъектов КИИ на использование российского ПО и отечественной аппаратной продукции на значимых объектах КИИ;
порядок осуществления мониторинга такого перехода.

На данный момент Правительством РФ утверждено два постановления в рамках указанных выше полномочий:

постановление Правительства РФ от 22.08.2022 № 1478 (далее – ПП-1478);
постановление Правительства РФ от 14.11.2023 № 1912 (далее – ПП-1912).

ПП-1478 устанавливает требования к ПО, используемому на значимых объектах КИИ, правила перехода на преимущественное использование российского ПО, а также правила согласования закупок иностранного ПО для его использования на значимых объектах КИИ. Срок перехода ограничен 1 января 2025 года.

ПП-1912 утверждает порядок и правила перехода на преимущественное использование доверенных ПАК в составе значимых объектов КИИ, в том числе постановлением определены уполномоченные органы, ответственные за организацию такого перехода. Сроки перехода ограничены 1 января 2030 года.

ПП-1478 распространяется на субъекты КИИ, осуществляющие закупочную деятельность в соответствии с Федеральным законом от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» (далее – 223-ФЗ), а ПП-1912 – на все субъекты КИИ. После вступления в силу предлагаемых изменений будет утвержден порядок мониторинга перехода субъектов КИИ на отечественные ПО и продукцию, а также могут появиться новые требования к ПО, применяемому на значимых объектах КИИ всех субъектов КИИ.

Согласно изменениям, требования, сроки и порядок перехода на российское ПО и отечественную аппаратную продукцию на значимых объектах КИИ, функционирующих в банковской сфере и иных сферах финансового рынка, подлежат согласованию с Центральным банком РФ (далее – Банк России). Соответствующие полномочия Банка России в области импортозамещения закреплены Федеральным законом от 13.06.2023 № 243-ФЗ.

Предложения законопроекта также направлены на уточнение обязанностей субъектов КИИ, которым на законном основании принадлежат значимые объекты КИИ (часть 3 статьи 9 187-ФЗ). Предлагаемые дополнительные пункты закрепят следующие обязанности субъектов КИИ:

соблюдение требований к используемым на значимых объектах КИИ ПО и радиоэлектронной продукции, в том числе к телекоммуникационному оборудованию и ПАК, в целях обеспечения безопасности КИИ;
переход на преимущественное использование российского ПО и отечественной радиоэлектронной продукции, в том числе телекоммуникационного оборудования и ПАК, в соответствии с порядком и сроками, определенными Правительством РФ.

Следующие изменения предлагается внести в статью 7 187-ФЗ – дополнить порядок категорирования объектов КИИ. Согласно изменениям, субъекты КИИ при категорировании должны будут учитывать методические указания, регламентирующие отраслевые особенности. На момент рассмотрения законопроекта разработаны и утверждены методические указания по категорированию объектов КИИ в следующих сферах деятельности, определенных в пункте 8 статьи 2 187-ФЗ:

Также в рамках проекта федерального закона предлагается дополнить статью 7 187-ФЗ новыми частями, в рамках которых:

на государственные органы, Банк России и отдельные юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности (далее – государственные органы и юридические лица), возлагаются обязанности по разработке перечней типовых отраслевых объектов КИИ;
методические указания, регламентирующие отраслевые особенности категорирования объектов КИИ с учетом установленных перечней типовых отраслевых объектов, утверждаются государственными органами и юридическими лицами по согласованию с Федеральной службой по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России);
законодательно закрепляется процесс мониторинга представления субъектами КИИ актуальных и достоверных сведений об имеющихся у них объектах КИИ, а также устанавливаются сроки уведомления субъекта КИИ о выявленных неактуальных сведениях и сроки предоставления актуализированных сведений или обоснований об отсутствии необходимости исправления сведений.

При категорировании объектов КИИ субъекты КИИ обязаны будут учитывать утвержденные перечни типовых объектов КИИ в рамках своей сферы деятельности, а также следить за актуальностью сведений о принадлежащих им объектах КИИ и предоставлять информацию по запросу государственных органов или юридических лиц. На текущий момент утверждены перечни типовых объектов КИИ для следующих сфер деятельности:

Порядок процедуры оценки (мониторинг) актуальности и достоверности сведений об объектах КИИ в общем виде регламентирован в Правилах категорирования объектов КИИ, утвержденных постановлением Правительства РФ от 08.02.2018 № 127. В отношении субъектов КИИ оборонной, металлургической и химической промышленности издан «Порядок проведения в отношении субъектов КИИ РФ, осуществляющих деятельность в области оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений…», утвержденный приказом Министерства промышленности и торговли РФ от 31.05.2023 № 1981, который устанавливает порядок и сроки проведения процедуры оценки актуальности и достоверности сведений для соответствующих сфер субъектов КИИ.

Планируется, что предлагаемые изменения вступят в силу с 1 марта 2025 года.

Порядок представления сведений об объектах КИИ в сфере транспорта

На официальном сайте ФСТЭК России опубликовано Информационное сообщение «О порядке представления субъектами КИИ сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий», согласно которому субъектам КИИ, осуществляющим деятельность в сфере транспорта, необходимо направлять указанные выше сведения на рассмотрение:

‒ в центральный аппарат ФСТЭК России, если субъект КИИ является федеральным органом исполнительной власти, подведомственным учреждением или организацией, осуществляющей деятельность в двух и более субъектах РФ;

‒ в управление ФСТЭК России по федеральному округу для всех остальных субъектов КИИ.

Персональные данные

Изменение сведений, размещаемых в ЕБС и региональных сегментах

Официально опубликовано постановление Правительства РФ от 23.03.2024 № 367 «О внесении изменений в некоторые акты Правительства РФ», согласно которому признаются утратившими силу:

В Состав сведений, размещаемых в единой биометрической системе (далее – ЕБС), в том числе в ее региональных сегментах, утвержденный постановлением Правительства РФ от 30.06.2018 № 772, вносятся следующие изменения:

наименования сведений, содержащихся в ЕБС, приводятся в соответствие Федеральному закону от 29.12.2022 № 572-ФЗ;

перечень сведений, содержащихся в ЕБС, дополнен следующими:

идентификатор учетной записи в государственной информационной системе персональных данных (далее – ИСПДн) или в иной информационной системе (далее – ИС), если такая ИС обеспечивает взаимодействие с единой системой идентификации и аутентификации (далее – ЕСИА);
страховой номер индивидуального лицевого счета физического лица, представившего в многофункциональный центр предоставления государственных и муниципальных услуг отказ от сбора и размещения биометрических персональных данных (далее – ПДн) в целях проведения идентификации или аутентификации;
информация о виде электронной подписи, которой подписано согласие на размещение и обработку ПДн в ЕСИА и ЕБС;
векторы ЕБС;

добавляется пункт со сведениями, содержащимися в региональных сегментах ЕБС:

изображение лица человека и запись голоса человека;
идентификатор учетной записи в ЕСИА;
идентификатор учетной записи в государственной ИСПДн или в иной ИС, если такая ИС обеспечивает взаимодействие с ЕСИА;
контактные данные (номер телефона, адрес электронной почты);
дата рождения и сведения о гражданстве;
векторы ЕБС.

Перечень сведений, содержащихся в региональных сегментах ЕБС, будет актуален до 1 января 2027 года, затем в региональных сегментах ЕБС будут размещаться только векторы ЕБС.

Безопасность финансовых организаций

Стандарт «Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации»

Банк России опубликовал стандарт Банка России СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации».

Стандарт определяет, какие меры защиты информации следует применять финансовым организациям при проведении дистанционной идентификации и аутентификации клиентов, а также при делегировании дистанционных идентификации и (или) аутентификации поставщикам услуг.

Состав мер предусматривает уровни доверия и критерии, определяющие соответствующий уровень уверенности в результатах идентификации и аутентификации.

Положения стандарта могут применяться в целях реализации требований ГОСТ Р 57580.1-2017 к подпроцессу «Идентификация, аутентификация, авторизация (разграничение доступа) при осуществлении логического доступа» при проведении идентификации и (или) аутентификации:

работников;
эксплуатационного персонала;
программных сервисов финансовой организации с целью предоставления финансовых услуг из-за пределов ее вычислительных сетей;
аутсорсинговых организаций при осуществлении логического доступа к инфраструктуре финансовой организации из-за пределов ее вычислительных сетей;
в рамках иных сценариев.

Документ носит рекомендательный характер и вступит в силу 1 июля 2024 года. К этому времени финансовые организации смогут оценить, соответствуют ли их действующие бизнес-процессы положениям стандарта.

Иное

Изменения в составе информации, подлежащей хранению организаторами распространения информации в сети «Интернет»

Официально опубликовано постановление Правительства РФ от 20.03.2024 № 342 «О внесении изменений в постановление Правительства Российской Федерации от 23.09.2020 № 1526». Изменения вносятся в Правила хранения организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных электронных сообщений пользователей информационно-телекоммуникационной сети «Интернет» и информации об этих пользователях и предоставления ее уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности РФ.

Согласно изменениям в состав информации, подлежащей хранению организатором распространения информации в сети «Интернет» при обеспечении функционирования коммуникационного интернет-сервиса, добавляются сведения о:

геолокации пользователей;
способах и средствах платежей.

Условия установки средств противодействия угрозам и требования к сетям связи

Опубликован приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) от 19.02.2024 № 25 «Об утверждении технических условий установки технических средств противодействия угрозам, а также требований к сетям связи при использовании технических средств противодействия угрозам».

Приказом утверждаются:

‒ условия установки технических средств противодействия угрозам устойчивости, безопасности и целостности функционирования сети «Интернет» и сети связи общего пользования (далее – технические средства противодействия угрозам);

‒ требования к сетям связи при использовании технических средств противодействия угрозам.

Требования и условия распространяются на сети операторов связи, оказывающих услуги по предоставлению доступа к сети «Интернет», а также на владельцев точки обмена трафиком, если к их точке подключаются сети связи, с использованием которых предоставляется доступ к сети «Интернет».

Требования и условия включают:

возможность установки технических средств противодействия угрозам в соответствии с эксплуатационной документацией;
возможность прохождения всего трафика сети оператора связи через технические средства противодействия угрозам;
обеспечение доступа Центру мониторинга и управления сетью связи общего пользования;
соблюдение значений климатических воздействий, бесперебойного питания, доступа сотрудников службы по обеспечению регулирования использования радиочастот и радиоэлектронных средств;
обеспечение защиты от несанкционированного доступа к техническим средствам противодействия угрозам и иные.

Ранее действующий приказ Роскомнадзора от 31.07.2019 № 228 «Об утверждении технических условий установки технических средств противодействия угрозам, а также требований к сетям связи при использовании технических средств противодействия угрозам» признается утратившим силу.

Приказ вступает в силу с 6 апреля 2024 года.

Продление эксперимента по повышению уровня защищенности ГИС

Опубликовано постановление Правительства РФ от 18.03.2024 № 323 «О внесении изменения в постановление Правительства РФ от 13.05.2022 № 860», согласно которому проведение эксперимента по повышению уровня защищенности государственных ИС федеральных органов исполнительной власти и подведомственных им учреждений продлевается до 31 декабря 2024 года.

Расширение критериев запрещенной к распространению информации

1 марта 2024 года вступил в силу приказ Роскомнадзора от 08.11.2023 № 168 «О внесении изменений в Критерии оценки материалов и (или) информации, необходимых для принятия Роскомнадзором решений, являющихся основаниями для включения доменных имен и (или) указателей страниц сайтов в сети «Интернет», а также сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», в единую автоматизированную ИС «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в РФ запрещено», утвержденные приказом Роскомнадзора от 27.02.2023 № 25».

Подробнее с изменениями можно ознакомиться в обзоре изменений законодательства за декабрь 2023 года, подготовленном Аналитическим центром УЦСБ.

Изменения в классификаторе программ для ЭВМ и баз данных

Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) опубликовало приказ от 04.12.2023 № 1041 «О внесении изменений в классификатор программ для электронных вычислительных машин и баз данных, утвержденный приказом Минцифры России от 22.09.2020 № 486», согласно которому:
раздел «Офисные приложения» переименован в «Офисное ПО» и дополняется новым классом «Программы для обмена мгновенными сообщениями»;
раздел «Отраслевое прикладное ПО» дополнен классом «ПО для решения отраслевых задач в области здравоохранения»;
раздел «Средства управления процессами организации» дополнен классами «ПО для функционирования системы юридически значимого электронного документооборота» и «Системы роботизации процессов (RPA)»;
а также были внесены иные изменения в части кодов и описаний классов.

Изменения в порядке получения государственной аккредитации ИТ-компаний

Минцифры России подготовило проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 30.09.2022 № 1729 «Об утверждении Положения о государственной аккредитации российских организаций, осуществляющих деятельность в области информационных технологий».

Изменениями предлагается:

дополнить перечень требований, которым должна соответствовать организация для получения государственной аккредитации, требованием по владению, управлению либо контролю организацией в отношении более 50 процентов общего количества голосов российскими юридическими или физическими лицами;
не осуществлять проверку соответствия размера среднемесячных выплат и иных вознаграждений, начисленных в пользу работников организации, за последние 3 месяца последнего отчетного периода установленным требованиям для организаций, зарегистрированных на территории Донецкой Народной Республики, Луганской Народной Республики, Запорожской области или Херсонской области и подавших заявление о предоставлении государственной аккредитации до 1 июля 2025 года;
включить в перечень организаций, которые могут претендовать на получение государственной аккредитации, стартапы, включенные в реестр малых технологических компаний в качестве стартапа с минимальным показателем выручки в значении, определенном в постановлении Правительства РФ от 02.11.2023 № 1847 и иное.

Планируется, что постановление вступит в силу 1 мая 2024 года.

Субсидии на создание и развитие ГИС

20 марта 2024 года вступило в силу постановление Правительства РФ от 20.03.2024 № 335 «О порядке предоставления предусмотренных федеральным законом о федеральном бюджете субсидий на осуществление капитальных вложений в создание и развитие государственных ИС».

Документом утверждаются правила принятия решений о предоставлении субсидий и правила предоставления субсидий на осуществление капитальных вложений в создание и развитие государственных ИС.

Решение в части создания ИС принимается при условии наличия концепции, утвержденной в соответствии с Требованиями, утвержденными постановлением Правительства РФ от 06.07.2015 №676. Принятие решения осуществляется с учетом Положения о ведомственных программах цифровой трансформации, утвержденного постановлением Правительства РФ от 10.10.2020 №1646 на условиях последующего достижения корпорацией (компанией) планируемых показателей результативности цифровой трансформации, а также с учетом:

обеспечения единства и комплексности при планировании и реализации мероприятий по информатизации органами государственной власти;
повышения эффективности и открытости деятельности органов государственной власти за счет использования информационно-коммуникационных технологий;
обеспечения эффективности расходов федерального бюджета на реализацию мероприятий по информатизации.

Проект решения содержит следующую информацию:

наименование ИС в соответствии с федеральным законом, устанавливающим правовые основания ее создания;
указание цели предоставления субсидии (создание или развитие ИС);
наименование главного распорядителя и корпорации (компании), являющейся оператором ИС;
срок ввода ИС в эксплуатацию;
стоимость создания ИС или предполагаемый объем затрат на развитие ИС и распределение по годам реализации стоимости создания или развития ИС;
общий объем капитальных вложений в создание или развитие ИС и распределение вложений по годам;
информация об источнике финансового обеспечения затрат на эксплуатацию ИС и иное.
Затраты на разработку технического задания на создание или развитие ИС не субсидируются.

Стандартизация

Принятые стандарты за I квартал 2024 года

ФСТЭК России на официальном сайте опубликовала Сведения о принятых национальных и международных стандартах за I квартал 2024 года.

Федеральным агентством по техническому регулированию и метрологии (далее – Росстандарт) утверждены два национальных стандарта в области защиты информации ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования» и ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования». Подробнее со стандартами можно ознакомиться в обзоре изменений законодательства за февраль 2024 года, подготовленном Аналитическим центром УЦСБ.

Международной организацией по стандартизации и Международной электротехнической комиссией утверждены следующие стандарты:

ISO/IEC 27006-1:2024 «Требования к органам, осуществляющим аудит и сертификацию систем менеджмента ИБ. Часть 1. Основные положения» («Requirements for bodies providing audit and certification of information security management systems – Part 1: General») (взамен ISO/IEC 27006:2015);
ISO/IEC 27040:2024 «Информационная технология. Методы и средства обеспечения безопасности. Обеспечение безопасности хранения данных»
(«Information technology – Security techniques – Storage security») (взамен ISO/IEC 27040:2015);
ISO/IEC 29100:2024 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты ПДн» («Information technology – Security techniques – Privacy framework») (взамен ISO/IEC 29100:2011);
ISO/IEC 29146:2024 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом» («Information technology – Security techniques – A framework for access management») (взамен ISO/IEC 29146:2016).

Деятельность ТК 362

Технический комитет по стандартизации «Защита информации» (далее – ТК 362) приступил к рассмотрению следующих проектов национальных стандартов:

Рассмотрим каждый стандарт подробнее:

ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения»

Целью стандарта является определение состава участников и основного содержания процессов, направленных на обеспечение защиты информации от утечки из программной среды ИС в результате действий пользователей, имеющих права доступа к защищаемой информации.
Стандарт предназначен для пользователей программной среды и обслуживающего персонала ИС и содержит рекомендации по:
реализации мероприятий по защите информации от утечки из программной среды ИС;
применению средств защиты информации (далее – СрЗИ);
защите данных, собираемых и формируемых в рамках мероприятий по защите информации от утечки из программной среды ИС.

ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»

Стандарт определяет и систематизирует перечень типовых угроз, характерных для процессов идентификации и аутентификации субъектов и объектов доступа, а также перечень типовых угроз, которые могут быть использованы для нарушения установленного порядка и правил их выполнения.

Перечень типовых угроз и уязвимостей, приведенный в стандарте, не включает угрозы и уязвимости, обусловленные программной или программно-аппаратной реализацией процессов идентификации и аутентификации в СрЗИ или средствах обеспечения безопасности информационных технологий.

Также стандарт:

описывает компоненты процессов идентификации и аутентификации, которые могут являться объектами воздействий, реализующих типовые угрозы или содержащие типовые уязвимости;
определяет особенности применения приведенных перечней типовых угроз и уязвимостей для СрЗИ, средств вычислительной техники, ИС и других систем.

ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»

Стандарт определяет состав структуры, обеспечивающей формирование, администрирование и использование идентификационной и аутентификационной информации, рекомендуемые правила взаимодействия для сторон, участвующих в идентификации и аутентификации, а также меры защиты, применяемые для минимизации потенциально возможного воздействия типовых угроз на процессы идентификации и аутентификации.

Положения стандарта могут использоваться при планировании, проектировании и реализации процедур управления доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных, информационных и других систем.

ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке» и ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»

Первый стандарт содержит рекомендации по разработке и описанию формальных моделей управления доступом, на основе которых разрабатываются СрЗИ, реализующие политики управления доступом.

Второй стандарт содержит рекомендации по верификации СрЗИ, реализующих политики управления доступом, на основе формализованного описания модели управления доступом.

Оба стандарта предназначены для разработчиков СрЗИ, реализующих политики управления доступом, а также для органов по сертификации и испытательных лабораторий при проведении сертификации таких СрЗИ.

ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации».

На момент публикации обзора ТК 362 проводит голосование по вопросу представления данного стандарта в Росстандарт на утверждение.

Стандарт устанавливает единообразие процесса аутентификации субъектов и объектов доступа в СрЗИ, в том числе реализующих криптографическую защиту, средствах вычислительной техники и автоматизированных (информационных) системах, а также определяет общие правила аутентификации, применяемые методы и используемые средства, которые обеспечивают необходимую уверенность в ее результатах.

Стандарт не устанавливает требования по реализации криптографических и биометрических методов аутентификации.

Стандарт описывает состав участников, их ролей и действий при аутентификации, а также сам процесс аутентификации, рекомендуемый к использованию при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом. Также стандарт устанавливает уровни доверия аутентификации для используемых видов аутентификации и применяемых при аутентификации средств.

Автор: Любовь Лобачева, аналитик УЦСБ