Compliance-дайджест: что изменилось в ИБ-законодательстве в декабре 2022
На связи Катя из центра «Solar Интеграция» с подборкой новостей из мира комплаенса ИБ за минувший декабрь. Как изменились формы уведомлений в области обработки персональных данных, которые необходимо направлять в Роскомнадзор? Какие новшества появились в области защиты критической информационной инфраструктуры? Что должны уметь ИБ-специалисты в кредитно-финансовой сфере, согласно новому профстандарту? Какие нормативные правовые акты планирует разработать ФСТЭК России в 2023 году? Об этом и не только расскажу в новом выпуске дайджеста.
Персональные данные
1. Роскомнадзор подготовил изменения в форму проверочного листа, используемого ведомством при осуществлении государственного контроля за обработкой персональных данных. Соответствующий проект ведомственного приказа опубликован на федеральном портале нормативных правовых актов.
Поправки направлены на приведение списка контрольных вопросов в соответствие изменённым нормам 152-ФЗ, которые заработали с 1 сентября 2022 года. Список контрольных вопросов планируется изменить и дополнить в части выполнения требований по трансграничной передаче ПДн, уведомлению Роскомнадзора об инцидентах с ПДн, прекращению обработки ПДн, осуществлению блокирования и уничтожения ПДн. В случае принятия приказ вступит в силу с 1 марта 2023 года.
2. Роскомнадзору могут разрешить внепланово проверять соблюдение требований по обработке персональных данных аккредитованными ИТ-компаниями в случае выявления в интернете баз данных или их фрагментов с признаками принадлежности к таким организациям. Проект постановления Правительства РФ об этом опубликован на федеральном портале нормативных правовых актов.
3. Роскомнадзор своим приказом № 180 от 28.10.2022 утвердил формы уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений в ранее направленных уведомлениях и о прекращении обработки персональных данных.
4. Роскомнадзор своим приказом № 187 от 14.11.2022 утвердил порядок и условия взаимодействия ведомства с операторами в рамках ведения реестра учета инцидентов в области персональных данных.
5. Опубликован Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».
6. Опубликован Федеральный закон от 29.12.2022 № 584-ФЗ «О внесении изменений в Федеральный закон “Об информации, информационных технологиях и о защите информации”, который запрещает организациям с государственными участием и финансовым организациям передавать персональные данные граждан РФ через иностранные мессенджеры.
7. Минфин России представил для общественного обсуждения проект приказа, содержащий условия и порядок обработки министерством персональных данных в рамках осуществления функций оператора государственной интегрированной информационной системы в сфере контроля за оборотом драгоценных металлов.
Государственные информационные системы
8. Правительство РФ утвердило положение о единой цифровой платформе «ГосТех». Соответствующее постановление об этом (№ 2338 от 16.12.2022) опубликовано на официальном интернет-портале правовой информации и вступило в силу с 1 января 2023 года.
Платформа предназначена для инфраструктурного, организационно-технологического и документационного обеспечения процессов жизненного цикла государственных информационных систем (ГИС). Функции оператора платформы будет выполнять Минцифры России. Также министерство может передать их государственному казенному учреждению.
Согласно постановлению, органы местного самоуправления, государственные (муниципальные) предприятия и учреждения, госкорпорации, госкомпании, публично-правовые компании, а также хозяйственные общества, более 50% в уставном капитале которых находится в государственной (муниципальной) собственности, вправе принять решение об использовании платформы «ГосТех» для реализации процессов жизненного цикла своих информационных систем.
Также документом внесены изменения в постановление Правительства РФ от 06.07.2015 № 676 в части применения итерационного подхода к разработке ГИС.
Критическая информационная инфраструктура
9. Правительство РФ своим постановлением № 2360 от 20.12.2022 приняло поправки в правила категорирования объектов КИИ и перечень показателей критериев значимости. Ряд изменений вступил в силу с 20 декабря 2022 года. В частности, с этого момента ведомствам разрешили привлекать к мониторингу актуальности и достоверности сведений об объектах КИИ подведомственные им организации. Мониторингу подлежат все сведения, указанные в пункте 17 постановления Правительства РФ № 127 от 08.02.2018. Госорганы и российские юрлица могут подтверждать актуальность и достоверность сведений путем ознакомления с объектами КИИ по месту их нахождения. О выявленных в результате мониторинга нарушениях необходимо сообщать ФСТЭК России не позднее 30 дней со дня их обнаружения.
Кроме того, с 21 марта 2023 года заработает еще одна новация, согласно которой в качестве исходных данных для категорирования будут использоваться перечни типовых отраслевых объектов КИИ. Формировать их смогут госорганы и российские юрлица, выполняющие функции по разработке, проведению или реализации госполитики и (или) нормативно-правовому регулированию в установленной сфере деятельности.
10. В России ввели административную ответственность за предоставление недостоверных сведений ФСТЭК России о результатах категорирования объектов КИИ. Соответствующий федеральный закон об этом (№ 518-ФЗ от 19.12.2022) опубликован на официальном интернет-портале правовой информации.
Размер штрафов аналогичен наказанию за непредставление или несвоевременную подачу данных регулятору: для должностных лиц он составляет от 10 до 50 тысяч рублей, для юрлиц — от 50 до 100 тысяч рублей. Также введены административные штрафы за повторные нарушения. Должностным лицам в этом случае придется заплатить от 50 до 100 тысяч рублей, юридическим лицам — от 100 до 200 тысяч рублей.
11. ФСБ России своим приказом № 543 от 01.11.2022 утвердила трехлетний переходный период, в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах субъектов КИИ на основании заключенных с НКЦКИ соглашений о сотрудничестве. По истечении этого периода, согласно Указу Президента РФ от 1 мая 2022 г. № 250, для проведения таких работ организации смогут подключать только аккредитованные центры ГосСОПКА. Предполагается, что за время переходного периода регулятор разработает необходимую нормативную правовую базу и проведет аккредитацию центров ГосСОПКА.
12. Президент России своим указом № 954 от 26.12.2022 включил в состав Межведомственной комиссии Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры РФ Президента Российской академии наук.
Лицензирование деятельности
13. ФСТЭК России представила для общественного обсуждения проекты ведомственных приказов об утверждении порядка лицензирования следующих видов деятельности:
14. ФСТЭК России представила для общественного обсуждения проекты приказов об утверждении форм документов, используемых ведомством в процессе лицензирования следующих видов деятельности:
15. ФСТЭК России утвердила требования по безопасности информации к средствам контейнеризации. Информационное сообщение регулятора об этом и выписка из требований опубликованы на сайте ведомства.
Регулятор определил минимально необходимые требования по безопасности информации, предъявляемые к:
уровню доверия средства контейнеризации;
хостовой операционной системе, в среде которой функционирует средство контейнеризации;
составу функций безопасности средства контейнеризации;
изоляции контейнеров;
выявлению уязвимостей в образах контейнеров;
проверке корректности конфигурации контейнеров;
контролю целостности контейнеров и их образов;
регистрации событий безопасности;
управлению доступом;
идентификации и аутентификации пользователей;
централизованному управлению образами контейнеров и контейнерами в средстве контейнеризации.
Для дифференциации требований по безопасности информации к средствам контейнеризации устанавливается шесть классов защиты. Самый низкий класс – шестой, самый высокий – первый.
Новости в области стандартизации
16. Минтруд России своим приказом № 739н от 28.11.2022 утвердил профессиональный стандарт «Специалист по информационной безопасности в кредитно-финансовой сфере».
В стандарте описаны трудовые функции специалиста:
обеспечение функционирования систем и средств защиты информации в организациях кредитно-финансовой сферы (КФС);
управление инцидентами информационной безопасности в организациях КФС;
аналитическое и организационное сопровождение деятельности по управлению рисками информационной безопасности в организациях КФС;
методологическое обеспечение процессов информационной безопасности в организациях КФС;
контроль обеспечения информационной безопасности и обеспечение операционной надежности (киберустойчивости) в организациях КФС;
организация процессов обеспечения информационной безопасности в организациях КФС.
17. Представлены официальные тексты национальных стандартов РФ по управлению компьютерными инцидентами, ориентированные на субъектов КИИ:
ГОСТ Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения»;
ГОСТ Р 59710-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения»;
ГОСТ Р 59711-2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами»;
ГОСТ Р 59712-2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты».
Стандарты вступают в силу с 1 февраля 2023 года.
18. Технический комитет по стандартизации «Криптографическая защита информации» подготовил проекты рекомендаций по стандартизации в области криптографии:
19. Утверждены национальные стандарты РФ, разработанные Техническим комитетом № 122:
ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».
ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения».
ГОСТ Р 57580.4-2022 устанавливает требования к составу и содержанию мер обеспечения операционной надежности для тех уровней защиты, которые применяют финансовые организации при определении базового состава таких мер. Положения стандарта предназначены для использования кредитными организациями и некредитными финансовыми организациями, указанными в части первой статьи 76.1 Федерального закона № 86 от 10.07.2002 «О Центральном банке РФ».
ГОСТ Р 57580.3-2022 определяет требования к составу и содержанию мер по управлению риском реализации информационных угроз для уровней защиты, которые применяются финансовыми организациями в рамках планирования, реализации, контроля и совершенствования системы управления таким риском, а также систем управления, определенных в рамках семейств стандартов ОН и ЗИ комплекса стандартов.
Оба стандарта вступят в силу с 1 февраля 2023 года.
20. Подкомитет № 1 «Безопасность финансовых (банковских) операций» Технического комитета № 122 «Стандарты финансовых операций» сообщил о новостях за 4 квартал 2022 года.
Согласно информационному сообщению, редакция проекта стандарта Банка России «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов с использованием технологии цифровых отпечатков устройств» одобрена и готовится к утверждению и введению в действие в установленном Банком России порядке.
Кроме того, эксперты Рабочей группы 1 «Технологии формирования среды доверия в безопасности» подготовили проект стандарта Банка России СТО БР БФБО-1.8-2023 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации». Пока проект проходит обсуждение в Рабочей группе 1.
Продолжается разработка следующих национальных стандартов методической базы для работ по оценке соответствия и стандарта обеспечения безопасности при привлечении финансовыми организациями услуг аутсорсинга:
ГОСТ Р (проект) «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Методика оценки зрелости»;
ГОСТ Р (проект) «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Методика оценки соответствия»;
ГОСТ Р (проект) «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Базовый состав организационных и технических мер при аутсорсинге информационных технологий и использовании облачных услуг».
В 2023 году подкомитет планирует разработать следующие национальные стандарты:
«Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Методика оценки соответствия»;
«Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Методика оценки соответствия»;
«Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Базовый состав организационных и технических мер при аутсорсинге информационных технологий и использовании облачных услуг».
Проект указа Президента РФ «Об утверждении Положения о государственной системе защиты информации в РФ»;
Проект приказа ФСТЭК России «Об утверждении Порядка осуществления ФСТЭК России лицензирования деятельности по технической защите конфиденциальной информации и о признании утратившим силу приказа ФСТЭК России от 17 июля 2017 г. № 134 "Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации"»;
Проект приказа ФСТЭК России «Об утверждении Порядка осуществления ФСТЭК России лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации и о признании утратившим силу приказа ФСТЭК России от 17 июля 2017 г. № 133 "Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации"»;
Проект приказа ФСТЭК России «Об утверждении Порядка аттестации экспертов органов по сертификации и специалистов испытательных лабораторий»;
Проект приказа ФСТЭК России «Об утверждении Порядка проведения проверки соблюдения лицензионных требований лицензиатами, осуществляющими деятельность по разработке и производству средств защиты конфиденциальной информации и о признании утратившим силу приказа ФСТЭК России от 20 июля 2012 г. № 90 "Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации"»;
Проект приказа ФСТЭК России «Об утверждении Порядка организации и осуществления Федеральной службой по техническому и экспортному контролю федерального государственного контроля за обеспечением защиты государственной тайны»;
Проект приказа ФСТЭК России «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации».
Отраслевые изменения
22. Правительство РФ своим распоряжением № 4088-р от 22.12.2022 утвердило Концепцию формирования и развития культуры информационной безопасности граждан России. Её реализацию поручено обеспечить Минцифры России совместно с другими заинтересованными федеральными органами исполнительной власти. Исполнительным органам субъектов РФ рекомендуется учитывать положения Концепции при формировании и осуществлении региональных программ в сфере ИБ.
23. Официально опубликовано постановление Правительства РФ от 08.12.2022 № 2250 «О внесении изменения в Положение о защите информации в платежной системе».
24. Опубликован приказ Главного управления специальных программ Президента РФ от 22.10.2022 № 163, устанавливающий перечень информации об отнесенных к ведению Главного управления специальных программ Президента РФ пунктах управления государством и Вооруженными Силами РФ, иных специальных объектах мобилизационного назначения и объектах их инфраструктуры, составляющей профессиональную тайну, а также требования к защите данной информации.
Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности отдела комплаенс и аттестации центра «Solar Интеграция» компании «РТК-Солар»
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
Меня зовут Катя, я отвечаю за комплаенс в направлении «Solar Интеграция» компании «Ростелеком-Солар». В блоге я делюсь ключевыми изменениями законодательства в области кибербезопасности. Если вам важно быть в курсе новостей из мира комплаенса ИБ, добро пожаловать в мой блог!