Compliance-дайджест: что изменилось в ИБ-законодательстве в ноябре

Compliance-дайджест: что изменилось в ИБ-законодательстве в ноябре

В новом выпуске дайджеста вас ждет подборка основных изменений законодательства в области кибербезопасности, произошедших в ноябре. Какие сведения Роскомнадзор требует указывать в Акте об уничтожении персональных данных? Как нужно выбирать средства криптографической защиты для обеспечения безопасности ГИС по новым требованиям ФСБ России? Что должны знать и уметь руководители проектов, администраторы баз данных, системные аналитики и специалисты по информационным системам согласно проектам профстандартов? Об этом и многом другом расскажу в посте.

Персональные данные

1. Официально опубликован приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

Акт об уничтожении персональных данных может быть подготовлен как в бумажной, так и в электронной форме и должен содержать:

  • наименование юрлица или ФИО физлица и адрес оператора;

  • наименование юрлица или ФИО физлица, адрес лица, осуществлявшего обработку ПДн по поручению оператора (если обработка была поручена);

  • ФИО субъекта или иную информацию, относящуюся к физлицу, чьи ПДн были уничтожены;

  • ФИО и должность лица, уничтожившего ПДн субъекта;

  • перечень категорий уничтоженных ПДн субъекта;

  • наименование уничтоженного материального носителя, содержавшего ПДн субъекта;

  • наименование ИСПДн, из которой были уничтожены ПДн субъекта;

  • способ уничтожения ПДн;

  • причина уничтожения ПДн;

  • дата уничтожения ПДн субъекта.

Акт об уничтожении и выгрузка из журнала регистрации событий в ИСПДн должны храниться в течение трех лет с момента уничтожения ПДн. Приказ вступит в действие 1 марта 2023 года.

2. Официально опубликован приказ Роскомнадзора от 27.10.2022 № 178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных"». В приказе определены три степени вреда: высокая, средняя и низкая. Акт оценки вреда может быть составлен в электронной или бумажной форме. Документ вступит в силу с 1 марта 2023 года.

Государственные информационные системы

3. Официально опубликован приказ ФСБ России от 24.10.2022 № 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».

Настоящий приказ вступает в силу с 23.11.2023.

Основные требования приказа:

  • Необходимость использования СКЗИ для защиты информации, содержащейся в ГИС, подлежит обоснованию в модели угроз безопасности информации, техническом проекте и техническом задании на создание (развитие) ГИС.

  • Класс СКЗИ должен быть обоснован в модели угроз и определен для каждого сегмента ГИС.

  • Модель угроз безопасности информации и (или) техническое задание на создание (развитие) ГИС должны быть согласованы с ФСБ России в части криптографической защиты информации.

  • Используемые СКЗИ должны быть сертифицированы ФСБ России.

  • Класс СКЗИ определяется в зависимости от уровня значимости обрабатываемой в ГИС информации и масштаба ГИС.

  • Класс СКЗИ, подлежащих использованию для защиты информации в ГИС, при ее взаимодействии с другими ГИС определяется по более высокому классу СКЗИ.

  • Если иными НПА предусмотрена необходимость использовать СКЗИ более высокого класса, чем класс СКЗИ, определенный в соответствии с настоящими требованиями, то класс СКЗИ определяется в соответствии с такими НПА.

Таблица определения минимально допустимого класса СКЗИ:


Подробный разбор требований документа читайте в статье моего коллеги Андрея Семенова.

Критическая информационная инфраструктура

4. Для общественного обсуждения представлен проект приказа ФСБ России , предусматривающий утверждение порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих:

  • федеральным органам исполнительной власти;

  • высшим исполнительным органам государственной власти субъектов РФ;

  • государственным фондам;

  • государственным корпорациям (компаниям);

  • стратегическим предприятиям и стратегическим акционерным обществам;

  • системообразующим организациям российской экономики;

  • иным организациям, созданным на основании федеральных законов;

  • субъектам критической информационной инфраструктуры РФ.

Согласно проекту, мониторинг защищенности будет выполнять Центр защиты информации и специальной связи ФСБ РФ в отношении информационных ресурсов (органов) организаций, имеющих непосредственное подключение к сети «Интернет».

Предполагается, что для целей мониторинга органы (организации) должны будут направлять в Центр защиты информации и специальной связи ФСБ РФ информацию:

  • о доменных именах и внешних сетевых адресах принадлежащих им информационных ресурсов однократно в срок до 1 марта 2023 года;

  • об изменениях доменных имен и внешних сетевых адресов принадлежащих им информационных ресурсов, а также о приобретении доменных имен и внешних сетевых адресов новых информационных ресурсов в срок до 7 календарных дней со дня приобретения (начала использования).

Проектом предусматривается, что представители регулятора должны будут уведомлять органы (организации) о проведении оценки защищенности информационных ресурсов не позднее чем за 14 календарных дней.

Лицензирование деятельности

5. ФСБ России представила для общественного обсуждения проект приказа , которым предполагается отменить приказ регулятора от 29 декабря 2020 г. № 641. Также проект определяет сроки и последовательность административных процедур (действий), в том числе в электронной форме, при предоставлении Центром по лицензированию, сертификации и защите государственной тайны ФСБ России и территориальными органами безопасности государственной услуги по лицензированию деятельности, связанной с шифровальными (криптографическими) средствами, а также порядок взаимодействия лицензирующих органов с заявителями при предоставлении госуслуги.

Удостоверяющий центр

6. В Госдуму внесен законопроект № 244043-8 «О внесении изменений в Федеральный закон "Об информации, информационных технологиях о защите информации", направленный на создание информационной системы национального удостоверяющего центра.

Новости в области стандартизации

7. Минтруд России представил для общественного обсуждения проекты профессиональных стандартов:

9. ФСТЭК России опубликовала отчет о результатах деятельности технического комитета по стандартизации «Защита информации» (ТК 362) по состоянию на 29 ноября 2022 года.

Отраслевые изменения

10. К прикладному и системному ПО, включенному в единый реестр российских программ для электронных вычислительных машин и баз данных, могут ввести дополнительные требования. Соответствующий проект постановления Правительства РФ опубликован на федеральном портале проектов нормативных правовых актов. Документ предусматривает следующие новшества:

  • обновления ПО должны выполняться только после подтверждения со стороны пользователя ПО;

  • ПО должно соответствовать требованиям законодательства РФ о защите информации и о защите персональных данных в случаях, установленных законодательством РФ;

  • передача данных по каналам связи, в том числе текстовых сообщений и (или) электронных документов, голосовой, звуковой, визуальной и иной информации, с использованием ПО должна осуществляться с учетом требований законодательства РФ о защите информации и о связи.

11. Опубликован приказ ФСБ России от 04.11.2022 № 547 «Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранными источниками могут быть использованы против безопасности Российской Федерации».

В части ИБ внесены следующие сведения:

  • персональные данные военнослужащих (сотрудников, работников) войск, воинских формирований и органов, членов их семей;

  • сведения об использовании технологий криптографической защиты информации, квантовых технологий и технологий искусственного интеллекта при разработке и производстве образцов вооружения, военной и специальной техники;

  • сведения о функционировании центров ГосСОПКА;

  • сведения о проведении закупок в части программных и программно-аппаратных средств информатизации и защиты информации для нужд предприятий оборонно-промышленного комплекса;

  • сведения о составе и организации работы ГИС и объектов КИИ, местах расположения хранилищ данных и каналов связей, дистрибутивах ПО, применяемого в работе ГИС и на объектах КИИ, технической документации (техническом задании, моделях угроз и нарушителя), действующих паролях, настройках средств защиты информации и результатах анализа защищенности и реагирования на компьютерные инциденты.

12. В Госдуму внесен законопроект № 238005-8 , предлагающий применять конфискацию имущества, полученного в результате совершения преступлений в сфере компьютерной информации.

13. Опубликовано постановление Правительства РФ от 14.11.2022 № 2051 «Об утверждении Правил обращения со сведениями о результатах проведенной оценки уязвимости объектов транспортной инфраструктуры, судов ледокольного флота, используемых для проводки по морским путям, судов, в отношении которых применяются правила торгового мореплавания и требования в области охраны судов и портовых средств, установленные международными договорами Российской Федерации, а также со сведениями, содержащимися в планах и паспортах обеспечения транспортной безопасности объектов транспортной инфраструктуры и (или) транспортных средств, которые являются информацией ограниченного доступа, и признании утратившими силу некоторых актов Правительства Российской Федерации».

14. Опубликовано постановление Правительства РФ от 03.11.2022 № 1979 «Об утверждении Правил направления в систему обеспечения соблюдения операторами связи требований при оказании услуг связи и услуг по пропуску трафика в сети связи общего пользования и получения из указанной системы сведений».

15. Опубликовано распоряжение Правительства РФ от 15.11.2022 № 3461-р , которым утверждается перечень сведений, включенных в реестр линий связи, пересекающих государственную границу РФ, и средств связи, к которым подключаются указанные линии связи, содержащий информацию, которая является общедоступной.

16. Официально опубликован приказ Минцифры России от 12.09.2022 № 659 «Об утверждении требований к линиям связи, пересекающим Государственную границу Российской Федерации, и к средствам связи, к которым подключаются указанные линии связи».

Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности центра «Solar Интеграция» компании «РТК-Солар»

Изображение:
защита информации compliance защита персональных данных защита КИИ соответствие требованиям СКЗИ защита ГИС
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!

Compliance-дайджест

Меня зовут Катя, я отвечаю за комплаенс в направлении «Solar Интеграция» компании «Ростелеком-Солар». В блоге я делюсь ключевыми изменениями законодательства в области кибербезопасности. Если вам важно быть в курсе новостей из мира комплаенса ИБ, добро пожаловать в мой блог!