В свежем выпуске дайджеста делимся новостями из мира комплаенса за прошедший январь. Как операторам персональных данных взаимодействовать с ГосСОПКА в случае инцидента? В каких случаях может быть запрещена трансграничная передача персональных данных? Что нужно для обеспечения безопасной настройки Linux согласно рекомендациям ФСТЭК России? О свежей нормативке, которая отвечает на эти и другие вопросы, читайте в посте.
Персональные данные
1. ФСБ России представила
Согласно документу операторы ИСПДн в течение 24 часов с момента обнаружения компьютерного инцидента направляют информацию о нем в ГосСОПКА в соответствии с определенными НКЦКИ форматами или заполняют форму уведомления, которая есть на сайте Роскомнадзора.
В течение 72 часов оператор заполняет форму уведомления о результатах внутреннего расследования, которая также размещена на сайте Роскомнадзора.
2. Опубликовано
Федерации от 29.12.2022 № 2526
3. Опубликовано
от 10.01.2023 № 6
4. Опубликовано
Биометрические персональные данные
5. В России будет создан Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных. Соответствующее
РФ
Согласно постановлению Координационный совет определяет стратегические направления развития биометрических технологий в России и развития единой биометрической системы, а также готовит предложения по внедрению в различные сферы правоотношений.
Также Координационный совет рассматривает вопросы и разрабатывает предложения по совершенствованию биометрических технологий, по унификации требований к инфраструктуре обработки данных с применением биометрических технологий в целях предоставления государственных и муниципальных услуг, а также иных услуг, в том числе в дистанционном формате.
В состав совета, утверждаемый правительством, войдут представители Администрации Президента РФ, Минцифры России, ФСБ России, Роскомнадзора, ПАО «Ростелеком», ПАО «Центр биометрических технологий» и Банка России.
Все члены Координационного совета будут работать бесплатно, на общественных началах.
6. Опубликован
В частности, согласно Федеральному закону № 572-ФЗ Минцифры России осуществляет контроль и надзор в сфере идентификации и (или) аутентификации не только в отношении аккредитованных организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц, и аккредитованных государственных органов, но и в отношении Банка России в случае прохождения им аккредитации.
Кроме того, Федеральный закон № 572-ФЗ запрещает идентификацию с использованием любых иных информационных систем, помимо единой биометрической системы.
Также этот закон предусматривает, что плановые контрольные (надзорные) мероприятия в отношении аккредитованных организаций и аккредитованных государственных органов проводятся не реже чем раз в три года (кроме объектов контроля, отнесенных к категории низкого риска).
7. Для общественного обсуждения представлен
Он предусматривает утверждение правил представления физическим лицом в многофункциональном центре предоставления государственных и муниципальных услуг (далее – МФЦ) отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва отказа, а также письменного подтверждения МФЦ представления физическим лицом указанных отказа и отзыва отказа.
Государственная система защиты информации в РФ
8. Для общественного обсуждения представлен
Проект положения определяет состав, направления деятельности государственной системы защиты информации в России, а также требования к организации защиты информации ограниченного доступа и общедоступной информации, обладателями которой являются государство, субъект РФ и муниципальное образование.
НПА, опубликованные ФСТЭК России
9. ФСТЭК России опубликовала методический документ
настройки операционных систем Linux».
Рекомендации предназначены для ГИС и объектов КИИ, построенных с использованием операционных систем Linux, не сертифицированных по требованиям безопасности информации, до их замены на сертифицированные отечественные операционные системы.
10.
Документ предназначен для организаций, осуществляющих разработку средств виртуализации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.
Документ включает минимально необходимые требования по безопасности информации, предъявляемые к уровню доверия средства виртуализации, хостовой операционной системе, в среде которой функционирует средство виртуализации, составу функций безопасности средства виртуализации.
Чтобы дифференцировать требования по безопасности информации к средствам виртуализации, устанавливается 6 классов защиты. Самый низкий класс – шестой, самый высокий – первый.
11. ФСТЭК России опубликовала справку-доклад о ходе работ по плану ТК 362 на 2023 год
12. В рамках деятельности технического комитета по стандартизации «Защита информации» (ТК 362)
· Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Общие положения.
· Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Шаблоны проектирования.
· Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Методология разработки.
· Защита информации. Система организации и управления защитой информации. Общие положения.
· Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности.
· Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
· Защита информации. Формальная модель управления доступом. Рекомендации по разработке.
· Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации.
· Защита информации. Формальная модель управления доступом. Рекомендации по верификации формальных описаний модулей средства защиты, реализующих политики управления доступом.
· Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией.
· Защита информации. Техника защиты информации. Номенклатура показателей качества.
· Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования.
· Защита информации. Основные термины и определения.
Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности отдела комплаенс и аттестации центра «Solar Интеграция»
компании «РТК-Солар»