Война войной, а даджест законодательных изменений по расписанию. Очередная десятка нормативно-правовых актов, а также их проектов и просто правовых документов, имеющих отношение к кибербезопасности.
- В Госдуму был внесен законопроект «О внесении изменения в статью 16 Федерального закона «Об информации, информационных технологиях и о защите информации», который вновь вернулся к год назад подготовленному законопроекту о том, что информация, обладателем которой является Россия, субъект РФ или муниципальное образование, должны защищаться по требованиям ФСБ и ФСТЭК. То есть требования 17-го приказа ФСТЭК, проекта будущего приказа ФСБ по применению СКЗИ в ГИС, сертификация и аттестация, в случае принятия закона (а сомневаться в этом не приходиться) станут распространяться и на коммерческие предприятия, работающие с государством (в части, касающейся взаимодействия с государством). Закон предполагается к вступлению в силу через год после его принятия. Такая отсрочка редкость в нашем законодательстве по ИБ. Она обусловлена тем, что необходимо будет внести поправки в 17-й приказ ФСТЭК и в так и непринятый пока проект приказа ФСБ по защите ГИС с помощью криптографических средств.
-
ФСТЭК подготовила проект постановления Правительства «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации», которым предполагается урегулировать дополнительные проверки актуальности и достоверности сведений об объектах КИИ.
- Правительство приняло Постановление от 10 марта 2022 года №336 «Об особенностях организации и осуществления государственного контроля (надзора), муниципального контроля», которое вводит надзорные каникулы на 2022-й год, но только тех надзорных мероприятий, которые регулируются соответствующими ФЗ «О государственном контроле (надзоре)» и «О защите прав юрлиц и ИП при осуществлении госконтроля (надзора)».С точки зрения персональных данных каникулы распространяются на инспекционные визиты, документарные и выездные проверки. Из под действия закона о госконтроле выведены мероприятия, осуществляемые без взаимодействия с проверяемым лицом, то есть наблюдение через Интернет или анализ информации, предоставленный контролируемым лицом через ГИС или полученный через СМЭВ. То есть они в 2022-м году проводиться могут. Есть спорный момент касательно профилактических мероприятий (информирование, визиты, консультирование и предостережение), но на мой взгляд на них тоже распространяются каникулы, так как они не указаны явно в ПП-1046 среди мероприятия без взаимодействия с проверяемым лицом, которые и выведены из под действия ФЗ-248, на который и распространяются каникулы.Каникулы, предусмотренные этим Постановлением, не распространяются на надзор по защите информации от Банка России (но есть письмо от ЦБ), на надзор в сфере КИИ, на надзор в сфере лицензирования разработки средств ТЗКИ и деятельности по ТЗКИ (но есть письмо от ФСТЭК). Деятельность ФСБ также не регулируется ФЗ-248 и не подпадает под каникулы.
- ФСТЭК опубликовала информационное сообщение от 14.03.2022 №240/13/1294 «Об отмене плановых проверок по вопросам лицензионного контроля в 2022 году», которое, как видно из названия, отменяет плановые (внеплановые остаются) проверки своих лицензиатов. На надзор в сфере выполнения требований по защите информации (защита ГИС, КИИ и т.п.) это письмо не распространяется.
- Банк России выпустил письмо от 25 марта 2022 года №017-56/2226 «Об особенностях применения мер за нарушения требования к обеспечению защиты информации кредитными организациями», согласно которому с одной стороны проверки ЦБ проводить все-таки будет, а с другой — не будет наказывать за выявленные нарушения. Но только если будут приняты компенсирующие меры, которые устроят ЦБ, что на практике означает — «как повезет».
-
Вступил в силу приказ Минцифры России от 31.01.2022 № 71 «О внесении изменений в пункт 1.4 перечня угроз безопасности, актуальных при идентификации заявителя — физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре, утвержденного приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 26 ноября 2020 г. № 624″, в котором обновлено две угрозы нарушения целостности (подмены) квалифицированного сертификата.
-
Банк России принял новое Указание от 12.01.2022 № 6060-У «О формах и методиках составления, порядке и сроках представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств». Оно отменяет Указание 2831-У. Кроме того, оно теперь не распространяется на операторов по переводу денежных средств, которые должны будут отчитываться по новой форме отчетности 0409071, утвержденной другим указанием Банка России 5986-У.
-
ФСТЭК выпустила информационное сообщение от 24 марта 2022 г. №240/22/1549 «О мерах по повышению защищенности информационной инфраструктуры«, которое повторяет многие ранее выданные рекомендации по защите информации, отправленные в государственные органы и субъекты КИИ, имеющие пометку «для служебного пользования».
-
НКЦКИ 29 марта 2022 года также выпустил обобщенные рекомендации по минимизации возможных угроз информационной безопасности, которые аккумулируют ранее выпущенные советы. Однако бюллетени от НКЦКИ нельзя отнести к нормативно-правовым актам. При этом Банк России разослал по финансовым организациям письмо с рекомендациями по выполнению данного бюллетеня НКЦКИ (хотя они и противоречат местами требованиям самого Банка России).
-
Аналогичная ситуация и с бюллетенем безопасности НСПК #02.2022 от 23.03.2022 «О применимости стандартов безопасности индустрии платежных карт в ПС «Мир» и поддержании соответствия требованиям безопасности ПС «Мир», который, не являясь нормативным актом, напоминает об обязательности требований по безопасности для Участников НСПК, ТСП, Платежных сервис-провайдеров и Производителей карт, базирующихся на стандартах индустрии платежных карт, которые создаются и поддерживаются организацией Payment Card Industry Security Standards Council (PCI SSC). Это важно, тем более, что PCI SSC вчера анонсировал выпуск 4-й версии стандарта PCI DSS.
- Приказом Министра обороны РФ от 17 января 2022 года № 22 утвержден «Перечень сведений Вооруженных Сил Российской Федерации, подлежащих отнесению к служебной тайне в области обороны», о проекте которого я уже писал . В документ включены 689 видов сведений, распределённые по 16 разделам, в т.ч. и сведения в области обеспечения защиты сведений, составляющих государственную тайну и служебную тайну в области обороны.
- Минцифры утвердила приказ от 10.03.2022 №186 «Об утверждении Методических рекомендаций по обеспечению необходимого уровня безопасности в сфере информационно-коммуникационных технологий государственных корпораций, компаний с государственным участием, а также их дочерних организаций и зависимых обществ». В частности, рекомендуется обеспечить на постоянной основе реализацию организационно-технических мер, предусмотренных нормативными правовыми актами, а также методическими рекомендациями, письмами и иными документами ФСБ России и ФСТЭК России. До 11 апреля 2022 года рекомендуется провести мероприятия, предусмотренные договорами на оказание услуг по повышению уровня информационной безопасности, заключенными с экспертными организациями в сфере обеспечения информационной безопасности.
- Чертову дюжину замыкает Указ Президента России от 30.03.2022 №166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», который устанавливает требования по запрету (и это не первоапрельская шутка) закупки и использования госорганами и госзаказчиками иностранного программного обеспечения на значимых объектах КИИ.
Заметка Дайджест изменений в российское законодательство по ИБ №22 была впервые опубликована на Бизнес без опасности .