В новом дайджесте вы узнаете об основных новшествах из мира комплаенса ИБ за прошедший август. Какие подзаконные акты появились в развитие 266-ФЗ, который внес масштабные поправки в Федеральный закон «О персональных данных»? Как изменились требования регуляторов к защите критической информационной инфраструктуры и каким образом в стране предлагается перейти на преимущественное применение доверенных программно-аппаратных комплексов на значимых объектах КИИ? Каким требованиям должны соответствовать госорганы для аккредитации на работу с государственными информационными системами, используемыми для идентификации и аутентификации? Об этом и многом другом расскажу в сегодняшнем выпуске.
Персональные данные
1. Опубликован проект приказа Роскомнадзора «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных».
2. Роскомнадзор представил для общественного обсуждения проект приказа «Об утверждении Требований к подт��ерждению уничтожения персональных данных», который определяет необходимость составления акта об уничтожении ПДн. Предполагается, что приказ вступит в силу 1 марта 2023 года и будет действовать до 1 сентября 2029 года.
3. Опубликован проект приказа Роскомнадзора «Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных».
Согласно документу, регулятор предлагает ввести три степени вреда: высокую, среднюю и низкую. Для каждой из них в проекте приказа приводится список потенциальных нарушений со ссылками на требования нормативных правовых актов. Например, вред высокой степени субъектам ПДн может причинить раскрытие их персональных данных третьим лицам и распространение таких сведений без их согласия. К средней степени вреда в проекте приказа относятся случаи, когда оператор нарушает требования к содержанию и объему персональных данных в части соответствия заявленным целям обработки. Вред низкой степени, согласно документу, субъектам ПДн может быть причинен в случаях несоблюдения оператором требований к содержанию типовых форм документов, характер информации которых предполагает или допускает включение в них персональных данных.
При определении степени вреда в соответствии с проектом приказа операторы должны учитывать следующие факторы:
цели обработки ПДн;
количество субъектов ПДн;
категории обрабатываемых ПДн;
перечень действий с ПДн;
способ обработки ПДн;
количество третьих лиц, которым поручена обработка ПДн.
Результаты оценки вреда, согласно документу, необходимо оформлять соответствующим актом. Предполагается, что приказ вступит в силу 1 марта 2023 года.
Критическая информационная инфраструктура
4. Опубликовано постановление Правительства РФ от 19.08.2022 № 1463, в котором утверждаются правила оценки актуальности и достоверности сведений об объектах критической информационной инфраструктуры в рамках отраслевого мониторинга с привлечением специализированных организаций.
В качестве специализированных могут рассматриваться подведомственные организации соответствующих отраслевых ведомств, имеющие лицензию на проведение работ с использованием сведений, составляющих гостайну, и лицензию на деятельность по технической защите конфиденциальной информации.
5. ФСБ России своим приказом внесла изменения в порядок информирования службы о компьютерных инцидентах, реагирования на них и принятия мер по ликвидации последствий компьютерных атак на значимые объекты КИИ.
Приказ содержит следующие изменения:
Разработанный план реагирования на компьютерные инциденты и принятие мер по ликвидации последствий компьютерных атак подлежит утверждению руководителем субъекта КИИ.
Копия утверждённого плана должна быть направлена в НКЦКИ в течение семи календарных дней.
Проект плана должен разрабатываться субъектом КИИ при методическом обеспечении НКЦКИ.
6. Минпромторг Р��ссии представил для общественного обсуждения проект постановления Правительства РФ «О порядке перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры».
Согласно проекту, субъекты КИИ должны будут провести аудит своих объектов КИИ и разработать проект плана перехода на преимущественное применение доверенных программно-аппаратных комплексов. Под ними подразумеваются решения, в составе которых используются российская радиоэлектронная продукция и ПО, соответствующие требованиям безопасности ФСТЭК России и ФСБ России.
Проект плана перехода должен включать перечень ис��ользуемой радиоэлектронной продукции, телекоммуникационного оборудования и ПО, сроки амортизации и действия прав на используемое ПО, а также предложения по переходу на применение доверенных программно-аппаратных комплексов, российской радиоэлектронной продукции и ПО.
Форма плана перехода утверждается в течение месяца научно-производственным объединением, которое специализируется на разработке, производстве, технической поддержке и сервисном обслуживании доверенных программно-аппаратных комплексов для КИИ.
7. В Госдуму внесен законопроект № 176874-8, которым предлагается внести поправки в статью 19.7.15. КоАП «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры РФ».
Изменения направлены на установление мер ответственности субъектов КИИ не только за непредоставление сведений, но и за предоставление недостоверных сведений о результатах категорирования объектов КИИ. Также предлагается ввести административные штрафы за повторное совершение таких правонарушений:
для должностных лиц – от 50 до 100 тысяч рублей;
для юрлиц – от 100 до 200 тысяч рублей.
8. Правительство РФ утвердило требования к программному обеспечению, используемому на значимых объектах критической информационной инфраструктуры. Соответствующее постановление об этом опубликовано на официальном интернет-портале правовой информации. В документе также прописаны правила согласования закупок иностранного ПО и услуг, необходимых для его использования на объектах КИИ. Кроме того, постановление содержит правила перехода на преимущественное использование российского ПО на объектах КИИ.
Государственные информационные системы
9. Правительство РФ утвердило требования к госорганам для прохождения аккредитации на право владения и выполнение функций операторов государственных информационных систем, которые используются для идентификации и аутентификации. Соответствующее постановление опубликовано на официальном интернет-портале правовой информации. Аккредитацию государственных органов, согласно документу, будет проводить Минцифры России.
Постановление содержит следующие требования к госорганам:
Наличие пр��ва собственности или иного вещного права на аппаратные шифровальные (криптографические) средства, применяемые для осуществления идентификации и (или) аутентификации с использованием биометрических ПДн, и наличие права использования криптографических средств на законных основаниях;
Наличие в штате не менее двух работников, обеспечивающих эксплуатацию ГИС, имеющих высшее образование в области информационных технологий или информационной безопасности;
Обеспечение взаимодействия с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА);
Соответствие информационных технологий и технических средств, предназначенных для обработки биометрических ПДн в целях проведения идентификации и аутентификации, требованиям Федерального закона «Об информации, информационных технологиях и о защите информации». Это требование распространяется на случаи, когда ГИС используется для сбора и передачи биометрических ПДн в ЕБС, а также если для аутентификации физических лиц в ней используется информация, полученная в результате обработки биометрических ПДн в ЕБС, не подпадающая под действие статьи 11 Федерального закона «О персональных данных»;
Использование программного обеспечения, включенного в реестры российского и евразийского ПО, для обработки биометрических ПДн в целях проведения идентификации и аутентификации.
10. Минцифры России представило для общественного обсуждения проект Федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации».
Законопроектом предлагается ввести определения:
федеральные государственные информационные системы (ГИС);
региональные ГИС;
муниципальные информационные системы.
Также устанавливаются цели создания ГИС. Если информационная система создается для осуществления одной из этих целей, то она является государственной информационной системой.
Новости в области стандартизации
11. Утвержден ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации». Документ начнет действовать с 1 января 2023 года.
12. ФСТЭК России опубликовала приказ об отмене ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации». Документ отменен с 1 сентября 2022 года.
Отраслевые изменения
13. Минцифры России опубликовало проект административного регламента по предоставлению государственной услуги «Аккредитация удостоверяющих центров».
14. Опубликован проект постановления Правительства РФ «О внесении изменений в пункт 3.1 Требований к федеральной государственной информационной системе "Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме"».
Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности направления «Solar Интеграция» компании «РТК-Солар»