В свежем выпуске дайджеста делимся новостями из мира комплаенса за прошедший январь. Как операторам персональных данных взаимодействовать с ГосСОПКА в случае инцидента? В каких случаях может быть запрещена трансграничная передача персональных данных? Что нужно для обеспечения безопасной настройки Linux согласно рекомендациям ФСТЭК России? О свежей нормативке, которая отвечает на эти и другие вопросы, читайте в посте.
Персональные данные
ФСБ России представила проект приказа, в котором описан порядок взаимодействия операторов информационных систем персональных данных (далее — ИСПДн) с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее — ГосСОПКА).
Согласно документу операторы ИСПДн в течение 24 часов с момента обнаружения компьютерного инцидента направляют информацию о нем в ГосСОПКА в соответствии с определенными НКЦКИ форматами или заполняют форму уведомления, которая есть на сайте Роскомнадзора.
В течение 72 часов оператор заполняет форму уведомления о результатах внутреннего расследования, которая также размещена на сайте Роскомнадзора.
Опубликовано Постановление Правительства Российской Федерации от 29.12.2022 № 2526, утверждающее случаи, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях реализации полномочий и обязанностей, возложенных на государственные и муниципальные органы международным договором Российской Федерации, законодательством Российской Федерации, не применяются требования частей 3–6, 8–11 статьи 12 Федерального закона «О персональных данных».
Опубликовано Постановление Правительства Российской Федерации от 10.01.2023 № 6, в котором утверждаются правила принятия решения о запрещении или об ограничении трансграничной передачи персональных данных Роскомнадзором. Решение принимается на основании поступивших представлений от федеральных органов исполнительной власти. Постановление вступит в силу с 1 марта 2023 года.
Опубликовано Постановление Правительства Российской Федерации от 16.01.2023 № 24, утверждающее правила, согласно которым Роскомнадзор принимает решение о запрещении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан. Постановление вступит в силу с 1 марта 2023 года.
Биометрические персональные данные
В России будет создан Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных. Соответствующее постановление Правительства РФ размещено на официальном интернет‑портале правовой информации.
Согласно постановлению Координационный совет определяет стратегические направления развития биометрических технологий в России и развития единой биометрической системы, а также готовит предложения по внедрению в различные сферы правоотношений.
Также Координационный совет рассматривает вопросы и разрабатывает предложения по совершенствованию биометрических технологий, по унификации требований к инфраструктуре обработки данных с применением биометрических технологий в целях предоставления государственных и муниципальных услуг, а также иных услуг, в том числе в дистанционном формате.
В состав совета, утверждаемый правительством, войдут представители Администрации Президента РФ, Минцифры России, ФСБ России, Роскомнадзора, ПАО «Ростелеком», ПАО «Центр биометрических технологий» и Банка России.
Все члены Координационного совета будут работать бесплатно, на общественных началах.
Опубликован проект постановления Правительства РФ, которое приводит Положение о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации в соответствие с Федеральным законом от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
В частности, согласно Федеральному закону № 572-ФЗ Минцифры России осуществляет контроль и надзор в сфере идентификации и (или) аутентификации не только в отношении аккредитованных организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц, и аккредитованных государственных органов, но и в отношении Банка России в случае прохождения им аккредитации.
Кроме того, Федеральный закон № 572-ФЗ запрещает идентификацию с использованием любых иных информационных систем, помимо единой биометрической системы.
Также этот закон предусматривает, что плановые контрольные (надзорные) мероприятия в отношении аккредитованных организаций и аккредитованных государственных органов проводятся не реже чем раз в три года (кроме объектов контроля, отнесенных к категории низкого риска).
Для общественного обсуждения представлен проект постановления Правительства Российской Федерации.
Он предусматривает утверждение правил представления физическим лицом в многофункциональном центре предоставления государственных и муниципальных услуг (далее — МФЦ) отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва отказа, а также письменного подтверждения МФЦ представления физическим лицом указанных отказа и отзыва отказа.
Государственная система защиты информации в РФ
Для общественного обсуждения представлен проект Указа Президента Российской Федерации «Об утверждении Положения о государственной системе защиты информации в Российской Федерации».
Проект положения определяет состав, направления деятельности государственной системы защиты информации в России, а также требования к организации защиты информации ограниченного доступа и общедоступной информации, обладателями которой являются государство, субъект РФ и муниципальное образование.
НПА, опубликованные ФСТЭК России
ФСТЭК России опубликовала методический документ «Рекомендации по обеспечению безопасной настройки операционных систем Linux».
Рекомендации предназначены для ГИС и объектов КИИ, построенных с использованием операционных систем Linux, не сертифицированных по требованиям безопасности информации, до их замены на сертифицированные отечественные операционные системы.
ФСТЭК России сообщила об утверждении Требований по безопасности информации к средствам виртуализации и опубликовала выписку из них.
Документ предназначен для организаций, осуществляющих разработку средств виртуализации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.
Документ включает минимально необходимые требования по безопасности информации, предъявляемые к уровню доверия средства виртуализации, хостовой операционной системе, в среде которой функционирует средство виртуализации, составу функций безопасности средства виртуализации.
Чтобы дифференцировать требования по безопасности информации к средствам виртуализации, устанавливается 6 классов защиты. Самый низкий класс — шестой, самый высокий — первый.
ФСТЭК России опубликовала справку‑доклад о ходе работ по плану ТК 362 на 2023 год по состоянию на 31.01.2023.
В рамках деятельности технического комитета по стандартизации «Защита информации» (ТК 362) планируется разработка следующих национальных стандартов, связанных с информационной безопасностью:
Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Общие положения.
Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Шаблоны проектирования.
Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Методология разработки.
Защита информации. Система организации и управления защитой информации.
Общие положения.
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности.
Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
Защита информации. Формальная модель управления доступом. Рекомендации по разработке.
Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации.
Защита информации. Формальная модель управления доступом. Рекомендации по верификации формальных описаний модулей средства защиты, реализующих политики управления доступом.
Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией.
Защита информации. Техника защиты информации. Номенклатура показателей качества.
Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования.
Защита информации. Основные термины и определения.
Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности отдела комплаенс и аттестации центра «Solar Интеграция»
компании «РТК‑Солар»