Compliance, или обеспечение соответствия требованиям регуляторов, – возможно, не самая любимая, но необходимая часть информационной безопасности. Регуляторы часто выпускают новые рекомендации и уточнения к уже действующим. И чтобы не упустить их из виду, мы решили ежемесячно выпускать Compliance-дайджесты, в которых будут собраны ключевые изменения требований регуляторов по информационной безопасности. Чтобы вам было удобно, мы будем разделять новости регуляторов на несколько блоков. В июле у нас получилось всего 7 разделов: безопасность объектов КИИ, безопасность государственных информационных систем, безопасность информации в сети Интернет, новости в области стандартизации, лицензирование деятельности по защите информации, маркировка сертифицированных средств защиты информации и отраслевые изменения.
1. ФСТЭК России представила для общественного обсуждения проект изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 в части:
2. ФСТЭК России опубликовала для общественного обсуждения проект ведомственного приказа «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227».
Приказ вносит изменения в Порядок ведения реестра значимых объектов КИИ на основании мониторинга правоприменительной практики, направленные на обеспечение актуальности и достоверности сведений, содержащихся в реестре значимых объектов КИИ, а также на повышение удобства ведения этого реестра.
Указанный проект предлагает:
3. ФСТЭК России опубликовала проект приказа «Об утверждении Перечня должностных лиц ФСТЭК и ее территориальных органов, уполномоченных составлять протоколы об административных правонарушениях», согласно которому составлять протоколы об административных правонарушениях в рамках компетенции ФСТЭК России, в том числе в области обеспечения безопасности критической информационной инфраструктуры (КИИ), могут начальники отделов и их заместители.
1. ФСБ России опубликовала для общественного обсуждения проект приказа «Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранным государством, его государственными органами, международной или иностранной организацией, иностранными гражданами или лицами без гражданства могут быть использованы против безопасности Российской Федерации», включающего в том числе:
Также в проекте приказа упоминается «служебная информация ограниченного распространения», которая конкретизирует понятие «служебной тайны в области обороны», введенное Федеральным законом от 11 июня 2021 года № 172-ФЗ «О внесении изменений в Федеральный закон “Об обороне”».
2. Минцифры представило для общественного обсуждения проект изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «О техническом регулировании», предполагающий:
Официально опубликован Федеральный закон от 1 июля 2021 года № 260-ФЗ «О внесении изменения в Федеральный закон «Об информации, информационных технологиях и о защите информации»», вносящий изменения в 149-ФЗ в части внесудебной блокировки ресурсов, содержащих недостоверную информацию, которая порочит честь и достоинство гражданина, подрывает его репутацию или связана с обвинением в совершении преступления.
Физическое лицо теперь может подать заявление в прокуратуру при обнаружении порочащей его информации в сети Интернет, прокуратура после предварительной проверки обоснованности заявления передаст его в Роскомнадзор, который далее передает информацию о необходимости удаления порочащей информации провайдеру хостинга. Провайдер хостинга информирует владельца информационного ресурса о необходимости удаления информации. В случае если порочащая информация не будет удалена в установленный срок, осуществляется блокировка всего сайта.
ФСТЭК России представила для общественного обсуждения проекты национальных стандартов по управлению инцидентами:
1. ФСТЭК России опубликовала для публичного обсуждения проекты изменений в:
Проектами изменений предполагается, что они вступят в силу с 1 марта 2021 года. Изменения в первую очередь связаны с переходом на реестровую модель.
Местом осуществления лицензируемого вида деятельности не смогут являться помещения, здания, сооружения жилого назначения. Некоторые эксперты оценивают данное требование как возможное ограничение на осуществление лицензированного вида деятельности при удаленном режиме работы из дома.
Проведение выездной оценки соответствия соискателя лицензии (лицензиата) лицензионным требованиям будет возможно с использованием средств дистанционного взаимодействия, в том числе аудио- или видеосвязи.
2. ФСБ России представила для общественного обсуждения проект Постановления Правительства Российской Федерации «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности», запрещающий осуществление иностранными юридическими лицами деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.
ФСТЭК России опубликовала информационное сообщение от 22 июля 2021 г. № 240/24/3487 «О порядке маркировки сертифицированных средств защиты информации в системе сертификации ФСТЭК России» на основании проекта изменений в «Положение о системе сертификации средств защиты информации», утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55.
Новый порядок маркировки сертифицированных средств защиты информации вступил в силу 22 июля 2021 года.
Специальные защитные знаки для маркирования сертифицированных средств защиты информации выдаваться не будут. В соответствии с новым порядком маркирования изготовителям необходимо организовать маркирование средств защиты информации идентификатором, состоящим из прописных букв и групп цифр, разделенных точками, имеющим вид: РОСС RU.01.ХХХХХ.ХХХХХХ.
Первая группа знаков содержит прописные буквы и цифры РОСС RU.01, указывающие на систему сертификации ФСТЭК России. Вторая группа знаков содержит число от 00001 до 99999, указывающее на номер сертификата соответствия средства защиты информации. Третья группа знаков содержит число от 000001 до 999999, указывающее на заводской или серийный номер образца сертифицированного средства защиты информации.
Форма идентификатора определяется заявителем и может дополнительно содержать наименование заявителя и (или) его фирменный знак, наименование средства защиты информации. Идентификатор заносится в формуляр (паспорт) на средство защиты информации.
Изготовитель сертифицированных средств защиты информации должен вести журнал, в котором должны регистрироваться промаркированные образцы средства защиты информации с указанием идентификаторов, а также ежегодно не позднее 1 февраля представлять в ФСТЭК России отчет о количестве произведенных средств защиты информации за год.
Технические условия и формуляры на сертифицированные средства защиты информации, содержащие описание нового порядка маркирования, необходимо будет представить в ФСТЭК России для согласования внесенных изменений.
1. Минэнерго опубликовало Базовую модель угроз безопасности информации в интеллектуальных системах учета электрической энергии, согласованную с ФСБ России, ФСТЭК России и Минцифры.
Базовая модель угроз основана на базе данных угроз ФСТЭК (https://bdu.fstec.ru/) и не учитывает положения методического документа «Методика оценки угроз безопасности информации» (утв. ФСТЭК России 5 февраля 2021 года).
Базовая модель угроз подлежит пересмотру до 31 декабря 2023 года в части использования в приборах учета электроэнергии сертифицированной криптографии.
2. ЦБ РФ опубликовал проект указания «О внесении изменений в пункт 3 Указания Банка России от 10 декабря 2015 года № 3889-У «Об определении угроз безопасности ПДн, актуальных при обработке ПДн в ИСПДн», предполагающего замену слов «персональные данные, полученные из общедоступных источников» на «персональные данные, разрешенные субъектом персональных данных для распространения».
3. В Минюсте зарегистрировано и официально опубликовано Указание от 10 марта 2021 года № 5750-У «О порядке создания и выдачи удостоверяющим центром Центрального банка Российской Федерации квалифицированных сертификатов ключей проверки электронных подписей».
Указание вступает в силу с 1 января 2022 года.
Безопасность объектов КИИ
1. ФСТЭК России представила для общественного обсуждения проект изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 8 февраля 2018 г. № 127 в части:
- регламентации порядка направления во ФСТЭК России уточненных сведений о значимых объектах КИИ субъекта КИИ в случае их изменения;
- наделения отраслевых регуляторов полномочиями по осуществлению мониторинга состояния работ по категорированию ОКИИ и актуальности сведений в подведомственных организациях;
- возможности административной ответственности за непредставление или нарушение сроков представления сведений о категорировании.
2. ФСТЭК России опубликовала для общественного обсуждения проект ведомственного приказа «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. № 227».
Приказ вносит изменения в Порядок ведения реестра значимых объектов КИИ на основании мониторинга правоприменительной практики, направленные на обеспечение актуальности и достоверности сведений, содержащихся в реестре значимых объектов КИИ, а также на повышение удобства ведения этого реестра.
Указанный проект предлагает:
- разделить сферы энергетики и топливно-энергетического комплекса по разным графам;
- конкретизировать обязанность субъектов КИИ об уведомлении ФСТЭК России на бумажном и электронном носителях об изменениях значимых объектов КИИ в срок не позднее 10 рабочих дней со дня внесения изменений – необходимость уведомления ФСТЭК возникает в случае изменения сведений о лицах, эксплуатирующих значимые объекты КИИ, о программных и программно-аппаратных средствах, используемых на значимых объектах КИИ, в том числе средствах защиты информации и их сертификатах соответствия (при наличии), а также об угрозах безопасности информации и о категориях нарушителей в отношении значимых объектов КИИ;
- конкретизировать случаи предоставления сведений из реестра значимых объектов КИИ отраслевым регуляторам – ежеквартально и по запросам от отраслевых регуляторов.
3. ФСТЭК России опубликовала проект приказа «Об утверждении Перечня должностных лиц ФСТЭК и ее территориальных органов, уполномоченных составлять протоколы об административных правонарушениях», согласно которому составлять протоколы об административных правонарушениях в рамках компетенции ФСТЭК России, в том числе в области обеспечения безопасности критической информационной инфраструктуры (КИИ), могут начальники отделов и их заместители.
Безопасность государственных информационных систем
1. ФСБ России опубликовала для общественного обсуждения проект приказа «Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранным государством, его государственными органами, международной или иностранной организацией, иностранными гражданами или лицами без гражданства могут быть использованы против безопасности Российской Федерации», включающего в том числе:
- сведения о функционировании центров ГосСОПКА и инцидентах на предприятиях ОПК;
- сведения о закупках в части программных и программно-аппаратных средств информатизации и защиты информации для нужд предприятий ОПК;
- сведения о ГИС:
- виде, количестве и наименованиях модулей ГИС,
- местах расположения хранилищ данных и каналов связи,
- исходных текстах и дистрибутивах ПО, применяемого в работе ГИС,
- технической документации (техническом задании, моделях угроз и нарушителя) на создание ГИС и систем безопасности, в том числе настройках средств защиты информации.
Также в проекте приказа упоминается «служебная информация ограниченного распространения», которая конкретизирует понятие «служебной тайны в области обороны», введенное Федеральным законом от 11 июня 2021 года № 172-ФЗ «О внесении изменений в Федеральный закон “Об обороне”».
2. Минцифры представило для общественного обсуждения проект изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «О техническом регулировании», предполагающий:
- Введение определения термина Государственная информационная система (ГИС), которое до сих пор отсутствовало и по-разному трактовалось государственными органами. Теперь ГИС – это информационная система, созданная федеральными законами, законами субъектов РФ, в базах данных которой содержится документированная информация и (или) иные сведения, получаемые или формируемые федеральными органами государственной власти, иными федеральными государственными органами, органами государственной власти субъектов РФ, иными государственными органами субъектов РФ, государственными организациями в связи с осуществлением ими полномочий по предоставлению государственных или муниципальных услуг (исполнению государственных или муниципальных функций), предусмотренных нормативными правовыми актами, а также иными организациями, на которые возложено осуществление функций по получению или формированию соответствующей информации и (или) сведений законодательством РФ, законодательством субъектов РФ.
- Введение определения понятия «Жизненный цикл информационной системы» как «совокупности взаимосвязанных процессов, объединяемых в этапы, изменения состояния информационной системы от принятия решения о ее создании, формирования исходных требований к ней и до окончания ее эксплуатации (вывода из эксплуатации)».
- Корректировку разновидностей информационных систем:
- федеральные ГИС – ГИС, созданные на основании федеральных законов, нормативных правовых актов Президента РФ, Правительства РФ, нормативных правовых актов федеральных государственных органов;
- региональные ГИС – ГИС, созданные на основании законов субъектов РФ, нормативных правовых актов высшего должностного лица субъекта РФ, высших исполнительных органов государственной власти субъекта РФ, на основании нормативных правовых актов государственных органов субъектов РФ;
- муниципальные информационные системы – ИС, созданные на основании муниципального правового акта органа местного самоуправления;
- иные информационные системы.
Безопасность информации в сети Интернет
Официально опубликован Федеральный закон от 1 июля 2021 года № 260-ФЗ «О внесении изменения в Федеральный закон «Об информации, информационных технологиях и о защите информации»», вносящий изменения в 149-ФЗ в части внесудебной блокировки ресурсов, содержащих недостоверную информацию, которая порочит честь и достоинство гражданина, подрывает его репутацию или связана с обвинением в совершении преступления.
Физическое лицо теперь может подать заявление в прокуратуру при обнаружении порочащей его информации в сети Интернет, прокуратура после предварительной проверки обоснованности заявления передаст его в Роскомнадзор, который далее передает информацию о необходимости удаления порочащей информации провайдеру хостинга. Провайдер хостинга информирует владельца информационного ресурса о необходимости удаления информации. В случае если порочащая информация не будет удалена в установленный срок, осуществляется блокировка всего сайта.
Новости в области стандартизации
ФСТЭК России представила для общественного обсуждения проекты национальных стандартов по управлению инцидентами:
- «Управление инцидентами, связанными с безопасностью информации. Принципы менеджмента инцидентов», разработанный на основе международного стандарта ISO/IEC 27035-1:2016 Information technology. Security techniques. Information security incident management. Part 1: Principles of incident management;
- «Управление инцидентами, связанными с безопасностью информации. Руководство по планированию и подготовке к реагированию на инциденты», разработанный на основе международного стандарта ISO/IEC 27035-2:2016 Information technology. Security techniques. Information security incident management. Part 2: Guidelines to plan and prepare for incident management;]
- «Управление инцидентами, связанными с безопасностью информации. Руководство по реагированию на инциденты в сфере информационных и компьютерных технологий», разработанный на основе международного стандарта ISO/IEC 27035-3:2020 Information technology. Information security incident management. Part 3: Guidelines for ICT incident response operations.
Лицензирование деятельности по защите информации
1. ФСТЭК России опубликовала для публичного обсуждения проекты изменений в:
- Положение о лицензировании деятельности по технической защите конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79;
- Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденное постановлением Правительства Российской Федерации от 3 марта 2012 г. № 171.
Проектами изменений предполагается, что они вступят в силу с 1 марта 2021 года. Изменения в первую очередь связаны с переходом на реестровую модель.
Местом осуществления лицензируемого вида деятельности не смогут являться помещения, здания, сооружения жилого назначения. Некоторые эксперты оценивают данное требование как возможное ограничение на осуществление лицензированного вида деятельности при удаленном режиме работы из дома.
Проведение выездной оценки соответствия соискателя лицензии (лицензиата) лицензионным требованиям будет возможно с использованием средств дистанционного взаимодействия, в том числе аудио- или видеосвязи.
2. ФСБ России представила для общественного обсуждения проект Постановления Правительства Российской Федерации «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности», запрещающий осуществление иностранными юридическими лицами деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.
Сертификация средств защиты информации
ФСТЭК России опубликовала информационное сообщение от 22 июля 2021 г. № 240/24/3487 «О порядке маркировки сертифицированных средств защиты информации в системе сертификации ФСТЭК России» на основании проекта изменений в «Положение о системе сертификации средств защиты информации», утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55.
Новый порядок маркировки сертифицированных средств защиты информации вступил в силу 22 июля 2021 года.
Специальные защитные знаки для маркирования сертифицированных средств защиты информации выдаваться не будут. В соответствии с новым порядком маркирования изготовителям необходимо организовать маркирование средств защиты информации идентификатором, состоящим из прописных букв и групп цифр, разделенных точками, имеющим вид: РОСС RU.01.ХХХХХ.ХХХХХХ.
Первая группа знаков содержит прописные буквы и цифры РОСС RU.01, указывающие на систему сертификации ФСТЭК России. Вторая группа знаков содержит число от 00001 до 99999, указывающее на номер сертификата соответствия средства защиты информации. Третья группа знаков содержит число от 000001 до 999999, указывающее на заводской или серийный номер образца сертифицированного средства защиты информации.
Форма идентификатора определяется заявителем и может дополнительно содержать наименование заявителя и (или) его фирменный знак, наименование средства защиты информации. Идентификатор заносится в формуляр (паспорт) на средство защиты информации.
Изготовитель сертифицированных средств защиты информации должен вести журнал, в котором должны регистрироваться промаркированные образцы средства защиты информации с указанием идентификаторов, а также ежегодно не позднее 1 февраля представлять в ФСТЭК России отчет о количестве произведенных средств защиты информации за год.
Технические условия и формуляры на сертифицированные средства защиты информации, содержащие описание нового порядка маркирования, необходимо будет представить в ФСТЭК России для согласования внесенных изменений.
Отраслевые изменения
1. Минэнерго опубликовало Базовую модель угроз безопасности информации в интеллектуальных системах учета электрической энергии, согласованную с ФСБ России, ФСТЭК России и Минцифры.
Базовая модель угроз основана на базе данных угроз ФСТЭК (https://bdu.fstec.ru/) и не учитывает положения методического документа «Методика оценки угроз безопасности информации» (утв. ФСТЭК России 5 февраля 2021 года).
Базовая модель угроз подлежит пересмотру до 31 декабря 2023 года в части использования в приборах учета электроэнергии сертифицированной криптографии.
2. ЦБ РФ опубликовал проект указания «О внесении изменений в пункт 3 Указания Банка России от 10 декабря 2015 года № 3889-У «Об определении угроз безопасности ПДн, актуальных при обработке ПДн в ИСПДн», предполагающего замену слов «персональные данные, полученные из общедоступных источников» на «персональные данные, разрешенные субъектом персональных данных для распространения».
3. В Минюсте зарегистрировано и официально опубликовано Указание от 10 марта 2021 года № 5750-У «О порядке создания и выдачи удостоверяющим центром Центрального банка Российской Федерации квалифицированных сертификатов ключей проверки электронных подписей».
Указание вступает в силу с 1 января 2022 года.
