В свежем выпуске дайджеста вас ждет подборка основных изменений из мира комплаенса ИБ за прошедший октябрь. Как развивается нормативная база для защиты персональных данных? Какие новшества предусматривает законопроект, устанавливающий правовые основы обработки биометрических персональных данных? О чем говорится в проекте положения о платформе «ГосТех», предназначенной для создания государственных информационных систем? Сроки каких процедур по сертификации средств защиты сократила ФСТЭК России своим приказом? Об этом и многом другом расскажу в сегодняшнем посте.
Персональные данные
1. Президент России поручил Правительству проработать изменения в законодательство, позволяющие обеспечить гражданам возможность управлять согласиями на обработку персональных данных на портале Госуслуг. В частности, планируется разработать поправки, которые позволят:
размещать на едином портале Госуслуг перечень согласий на обработку персональных данных, предоставленных гражданами органам и организациям, в том числе при получении государственных, муниципальных и коммерческих услуг;
давать согласие на обработку персональных данных и отзывать такое согласие с использованием портала Госуслуг.
2. Для общественного обсуждения представлен проект приказа Роскомнадзора, устанавливающий порядок взаимодействия регулятора с операторами в рамках ведения реестра учета инцидентов в области персональных данных.
В случае утечки персональных данных операторы ПДн должны направить в Роскомнадзор два документа: первичное уведомление с информацией об инциденте и дополнительное уведомление с результатами внутреннего расследования.
Первый документ должен содержать следующие сведения:
дата и время выявления инцидента;
содержание скомпрометированной базы данных, количество содержащихся в ней записей, ее актуальность, период, в течение которого собраны ПДн;
возможные причины инцидента;
предполагаемый вред, нанесенный субъектам ПДн;
принятые меры по устранению последствий инцидента.
Дополнительное уведомление должно содержать итоговую информацию внутреннего расследования выявленного инцидента: причины инцидента, вред, нанесенный субъектам ПДн, дополнительно принятые меры по устранению последствий, информацию о лицах, действия которых стали причиной инцидента.
3. Для общественного обсуждения представлен совместный проект приказа Роскомнадзора и ФСБ России «Об утверждении Порядка передачи информации о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных».
ФСБ России и Роскомнадзор передают друг другу полученную от операторов информацию о компьютерных инцидентах, а именно:
факт произошедшего компьютерного инцидента;
предполагаемые причины компьютерного инцидента;
предполагаемый вред, нанесенный правам субъектов персональных данных;
принятые оператором меры по устранению последствий соответствующего компьютерного инцидента;
информация о лице, уполномоченном оператором на взаимодействие с уполномоченными органами;
результаты внутреннего расследования выявленного компьютерного инцидента;
информация о лицах, действия которых стали причиной произошедшего компьютерного инцидента (при наличии).
4. Для общественного обсуждения представлен проект приказа Роскомнадзора, в котором определяется порядок обработки персональных данных непосредственно в ведомстве. Также предлагается утвердить перечень внутренней организационно-распорядительной документации службы по обработке и защите ПДн.
Биометрические персональные данные
5. Президент России своим указом № 693 от 30.09.2022 определил АО «Центр Биометрических Технологий» организацией, обеспечивающей развитие цифровых технологий идентификации и аутентификации, в том числе на основе биометрических персональных данных.
Правительству РФ, согласно документу, поручено в течение трех месяцев:
возложить на АО «Центр Биометрических Технологий» функции оператора Единой биометрической системы (ЕБС);
образовать Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических ПДн, утвердить его состав и полномочия.
6. Государственная Дума представила законопроект о государственной информационной системе «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица». Проект устанавливает правовые основы обработки биометрических персональных данных для идентификации и (или) аутентификации с применением ЕБС и иных, в том числе государственных, информационных систем.
Законопроект предполагает возможность образования в составе ЕБС региональных сегментов. Предусматривается переходный период до 1 января 2027 года, в течение которого допускается хранить биометрические данные в региональном сегменте и использовать отдельное мобильное приложение для сбора биометрии. С 1 января 2027 года, согласно законопроекту, государственные органы перейдут на «векторную модель»: это значит, что они больше не смогут хранить биометрические персональные данные, а должны будут использовать «векторы» Единой биометрической системы.
Законопроект также предусматривает расширение способов саморегистрации физических лиц в Единой биометрической системе. Подписание согласий на сбор и обработку биометрических данных будет возможно с использованием усиленной неквалифицированной электронной подписи портала Госуслуг.
7. Минцифры России представило для общественного обсуждения проект постановления Правительства РФ о создании Координационного совета по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных.
Основные задачи Координационного совета будут следующими:
рассмотрение перспективных направлений для совершенствования и развития биометрических технологий в РФ;
консультирование и взаимодействие с органами государственной власти РФ;
рассмотрение вопросов и разработка предложений по развитию биометрических технологий, по унификации требований к инфраструктуре обработки данных с применением биометрических технологий в целях предоставления государственных и муниципальных услуг, в том числе в дистанционном формате, а также по развитию ЕБС.
Государственные информационные системы
8. Минцифры России представило для общественного обсуждения проект постановления Правительства РФ «Об утверждении Положения о единой цифровой платформе Российской Федерации "ГосТех"».
Платформа «ГосТех» представляет собой набор сквозных технологических решений, развернутых в облачной инфраструктуре и предназначенных для создания, развития и эксплуатации государственных информационных систем (ГИС).
Опубликованный проект определяет функции и основные принципы функционирования платформы, состав участников и их полномочия, порядок включения поставщиков и цифровых продуктов, а также общие требования к защите информации государственных информационных систем на платформе «ГосТех».
Угрозы информационной безопасности, связанные с использованием облачных вычислений, будут решаться совместно ФСБ России и ФСТЭК России.
Для предотвращения деструктивного информационно-технического воздействия на российские информационные ресурсы, включая объекты критической информационной инфраструктуры, проект устанавливает необходимость реализации унифицированных механизмов управления информационной безопасностью платформы «ГосТех» в национальных интересах.
Критическая информационная инфраструктура
9. ФСТЭК России опубликовала проект постановления Правительства РФ, которым предусматривается внесение изменений в правила категорирования объектов КИИ, перечень показателей критериев значимости таких объектов и их значений.
Например, в перечне показателей критериев значимости предлагается уточнить показатели, характеризующие прекращение или нарушение функционирования критических процессов на территории одного муниципального образования численностью менее 10 тысяч человек. Это позволит исключить из значимых объекты КИИ, обеспечивающие функционирование мелких сельских поселений.
Сертификация средств защиты информации
10. Официально опубликован приказ ФСТЭК России от 19.09.2022 № 172 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55».
Приказом предусматривается сокращение сроков для следующих процедур по сертификации средств защиты информации:
рассмотрение регулятором заявки на сертификацию средства защиты информации;
разработка, рассмотрение и утверждение программы и методик сертификационных испытаний средства защиты информации;
рассмотрение ФСТЭК России материалов по сертификации средства защиты информации;
устранение недостатков, выявленных ФСТЭК России при рассмотрении материалов по сертификации средства защиты информации.
Разработчики средств защиты информации, имеющие сертификат соответствия процедур безопасной разработки программного обеспечения требованиям национальных стандартов в области защиты информации, в случае внесения изменений в сертифицированное средство защиты информации могут самостоятельно проводить сертификационные испытания.
Государственная тайна
11. Официально опубликовано постановление Правительства РФ от 29.10.2022 № 1932 «О внесении изменений в Инструкцию о порядке допуска должностных лиц и граждан РФ к государственной тайне».
Допуск к государственной тайне (ГТ) по третьей форме с проведением проверочных мероприятий обязателен для:
руководителей территориально обособленных подразделений организаций, осуществляющих работу с ГТ;
заместителей руководителей по режиму (безопасности);
работников структурных подразделение по защите ГТ;
лиц, которые назначаются уполномоченными режимно-секретного подразделения или на которых возлагается исполнение функций структурных подразделений по защите ГТ.
Деятельность ФСТЭК России
12. ФСТЭК России представила для общественного обсуждения проект постановления Правительства РФ, в котором предусматривается наделение уполномоченных федеральных органов исполнительной власти правами по установлению порядка оценки знаний экспертов органов по сертификации и специалистов испытательных лабораторий в форме их аттестации.
13. ФСТЭК России опубликовала методики по безопасности программных и программно-аппаратных средств:
Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств;
Методика тестирования обновлений безопасности программных, программно-аппаратных средств.
14. ФСТЭК России опубликовала приказ «Об утверждении перечня функций ФСТЭК России, при реализации которых наиболее вероятно возникновение коррупции».
Новости в области стандартизации
15. Официально опубликованы профессиональные стандарты для специалистов по информационной безопасности:
Специалист по защите информации в автоматизированных системах;
Специалист по защите информации в телекоммуникационных системах и сетях;
«Технический писатель (специалист по технической документации в области информационных технологий)».
16. Технический комитет по стандартизации «Криптографическая защита информации» (ТК 26) представил для общественного обсуждения проект изменений в ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров».
17. ФСТЭК России опубликовала отчет о результатах деятельности Технического комитета по стандартизации «Защита информации» (ТК 362) по состоянию на 31.10.2022 г.
Отраслевые изменения
18. Опубликовано постановление Правительства РФ от 30.09.2022 № 1729 «Об утверждении Положения о государственной аккредитации российских организаций, осуществляющих деятельность в области информационных технологий».
Государственная аккредитация организаций проводится в целях оказания им мер государственной поддержки.
В документе приведен перечень видов экономической деятельности, в соответствии с которыми организация вправе получить государственную аккредитацию, а также перечень документов (сведений), необходимых для получения государственной аккредитации.
19. Официально опубликован приказ Министерства спорта РФ от 22.08.2022 № 676 «Об утверждении требований к информационным системам контроля доступа».
В части защиты информации устанавливаются следующие требования:
в системах контроля доступа (СКД) должна обеспечиваться защита обрабатываемой и хранящейся информации в соответствии с 152-ФЗ, ПП РФ № 1119, приказами ФСТЭК № 21 и 77, а также приказом ФСБ № 378.
в СКД должны применяться сертифицированные средства защиты информации;
технические и проектные решения должны ограничивать возможность несанкционированного доступа к стационарным техническим средствам, обрабатывающим ПДн, средствам, обеспечивающим функционирование СКД, и в помещения, в которых они постоянно расположены;
в СКД должен обеспечиваться уровень защищенности ПДн в соответствии с моделью угроз безопасности информации для каждого объекта спорта.
Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности направления «Solar Интеграция» компании «РТК-Солар»