Дайджест изменений в российское законодательство по ИБ №16

11 июня этого года я начал в своем Telegram-канале регулярно публиковать дайджест изменений российского законодательства по ИБ. К текущему моменту вышло уже 15 выпусков, в которых упомянуто 107 нормативных актов разного статуса — «принят», «внесен», «опубликован». Если отбросить все выходные дни и равномерно распределить все НПА по дням, то получается, что за эти полгода каждый рабочий день появлялось что-то связанное с нормативкой по ИБ (это если не считать, что я что-то мог и упустить). Это много, реально много! Но пост не об этом.

Вообще дайджест я публикую в Telegram-канале, но так как им пользуются не все, то я подумал, что можно попробовать публиковать его еще и на сайте. Поэтому опубликую тут 16-й выпуск, а вы ответьте на мини-опрос — продолжать мне публиковать дайджест еще и здесь или достаточно только Telegram-канала.

Итак, 16-й выпуск:

1. Минцифры подготовило и представило для общественного обсуждения проект приказа «Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) в сфере идентификации и (или) аутентификации». Первоначально таких индикаторов было 7, обнаружение любого из которых могло повлечь за собой проверку регулятора. Например, достаточно было пожаловаться на аккредитованную организацию всего два раза за год. В финальной версии осталось всего два индикатора — 5 сбоев (а если будет 6?) в шифровальных средствах, более 10 ошибок при идентификации лица по его биометрии и обнаружение атак на биометрию. Вы спросите, почему я перечислил три индикатора? А потому что последние два объединены в приказе в 2 (!). Да, я тоже не понял. Кроме того, в приказе вводится такое странное понятие как “сбой шифровальных средств, не повлекший вреда охраняемым законом ценностей”. Возможно речь шла об информации, охраняемой законом, но кто ж знает, что там ФСБ придумала?

2. Минцифры подготовило проект постановления Правительства «Об утверждении Правил предоставления субсидий из федерального бюджета российскому юридическому лицу на разработку и реализацию не регулярной основе программы кибергигиены и повышения грамотности широких слоев населения по вопросам информационной безопасности». Предполагается, что деньги должны пойти на:

• разработку и актуализация программы кибергигиены; 

• разработку информационных (аудиовизуальных и иных) материалов для повышения осведомленности широких слоев населения в рамках программы кибергигиены; 
• разработку, реализацию и поддержание функционирования сервиса повышения уровня знаний в области кибергигиены и грамотности по вопросам информационной безопасности в формате web-портала и его функциональных элементов;
• разработку плана и проведение информационной кампании (в том числе новостные публикации, промо-компании на социально значимых ресурсах, информационные материалы для формирования на внутренних порталах и ресурсах государственных органов, познавательно-развлекательный контент в различных формах (игровых, практико-обучающих сервисов, видеороликов), проведение круглых столов и вебинаров для государственных гражданских служащих);
• разработку и актуализацию методологии мониторинга уровня знаний в области кибергигиены и грамотности по вопросам информационной безопасности, проведение мониторинга.

3. Министерство обороны подготовило проект приказа «Об утверждении Перечня сведений Вооруженных Сил Российской Федерации, подлежащих отнесению к служебной тайне в области обороны». Приказ похож по своей сути на аналогичный приказ ФСБ ”Об утверждении Перечня сведений в области военной, военно-технической деятельности Российской Федерации, которые при их получении иностранным государством, его государственными органами, международной или иностранной организацией, иностранными гражданами или лицами без гражданства могут быть использованы против безопасности Российской Федерации”, который перечисляет 61 тип военных и военно-технических сведений, не отнесенных к государственной тайне, разглашение которых может представлять угрозу национальной безопасности и повлечь за собой обвинение по статье 275 УК РФ “Государственная измена”. Среди прочего, к служебной тайне в МинОбороны будут относиться:

• Сведения, раскрывающие организацию или состояние защиты информации на объектах информатизации, предназначенных для обработки служебной информации ограниченного распространения;
• Сведения, раскрывающие личный состав шифровальных органов (подразделений) и кодировочных групп, в том числе и состоящий в запасе по управлению оперативного объединения, по оперативно-тактическому объединению, соединению и их управлениям, по региональному органу военной полиции, по особорежимному объекту Российской Федерации, по особо важной воинской части, по воинской части, территориальному органу военной полиции, организации Вооруженных Сил;
• Сведения, раскрывающие требования по защите информации, предъявляемые к создаваемым (модернизируемым) объектам информатизации, средствам защиты информации, предназначенным для обработки служебной информации ограниченного распространения;
• Сведения, раскрывающие перечни защищаемых ресурсов или параметры разграничения доступа к защищаемым ресурсам на объектах информатизации, а также состояние защищенности автоматизированных (информационных) систем, предназначенных для обработки служебной информации ограниченного распространения;
• Совокупность сведений, раскрывающих содержание реестра организаций, имеющих лицензию Минобороны России на проведение работ, связанных с созданием средств защиты информации, по отдельным вопросам;
• Сведения, раскрывающие содержание государственного реестра сертифицированных средств защиты информации Министерства обороны по отдельным вопросам;
• Сведения, раскрывающие меры по защите информационной инфраструктуры Вооруженных Сил, меры по обеспечению защиты информации при организации сетевого взаимодействия автоматизированных (информационных) систем военного назначения, в том числе схемы информационно-технического взаимодействия;
• Сведения, раскрывающие требования нормативных правовых актов по защите служебной тайны в области обороны, за исключением содержащихся в открыто опубликованных нормативных правовых актах;
• Сведения, раскрывшие содержание телефонных справочников Вооружённых Сил.

А недавно МинОбороны уже разрабатывало проект приказа “Правил обращения со сведениями, составляющими служебную тайну в области обороны”. Видимо, наводят порядок в этой области. А еще, возможно, это означает, что старый законопроект “О служебной тайне” окончательно заброшен.

4. ФСТЭК опубликовала информационное сообщение “О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом ФСТЭК от 3 апреля 2018-го года №55”​ от 10 ноября 2021 года №240/24/5444, в котором говорится о шести внесенных в 55-й приказ изменениях:

• Установление запрета на сертификацию средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации.
• Отмена срока действия сертификата соответствия для единичного образца или партии средства защиты информации. Определены условия, при которых серийно производимые средства защиты считаются сертифицированными, в том числе после окончания срока действия сертификата соответствия.
• Уточнение порядка отбора образцов (образца) средства защиты информации для сертификационных испытаний.
• Упразднение процедуры предварительного рассмотрения образца средства защиты информации и документации на него.
• Изменение порядка маркирования сертифицированных средств защиты информации.
• Сокращение объема испытаний сертифицированных средств защиты информации при продлении срока действия сертификата соответствия.

5. Минэкономики опубликовало проект поправок в Федеральный закон “О связи”, который предлагает отменить тайну связи для информации об абонентах ‎и оказываемых им услугах и исключить эти сведения из состава информации ограниченного доступа. По мнению авторов законопроекта это позволит абонентам использовать информацию о своем обслуживании ‎у оператора связи, например, подтверждать свою платежеспособность при получении услуг в других коммерческих организациях (например, при оценке платежеспособности клиента банка на основе данных о расчетах с оператором (кредитный скоринг), а также получать услуги и сервисы, предоставление которых осуществляется в рамках  взаимодействия нескольких юридических лиц. При этом в Госдуме уже высказались против данного законопроекта — посмотрим, изменится ли позиция депутатов к моменту его обсуждения.

6. Минцифры подготовило законопроект “О внесении изменений в Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации”.  Единственное назначение данного законопроекта = урегулировать такое понятие как “ГосОблако” и связанные с ним инфраструктуру и услуги. Также закон устанавливает, что требования к безопасности информации в ГосОблаке должно будет определить Правительство.

7. 30 ноября 2021 года Росстандарт ввел в действие несколько десятков ГОСТов, связанных с информационной безопасностью:

• ГОСТ ISO/IEC 19896-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетенции специалистов по тестированию и оценке безопасности информационных технологий. Часть 1. Введение, основные понятия и общие требования».
• ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции».
• ГОСТ ISO/IEC 24760-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 2. Базовая архитектура и требования».
• ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы».
• ГОСТ Р 59383-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом».
• ГОСТ ISO/IEC 27014-2021 «Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности» (+ поправка к нему).
• ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных».
• ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных».
• ГОСТ ISO/IEC TS 19249-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Каталог принципов построения архитектуры и проектирования безопасных продуктов, систем и приложений» (+ поправка к нему).
• ГОСТ Р 59494-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5-1. Структуры данных протоколов и мер обеспечения безопасности приложений. XML-схемы».
• ГОСТ Р 59503-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации».
• ГОСТ Р 59506-2021 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности».
• ГОСТ Р 59515-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение идентичности».
• ГОСТ Р 59516-2021 «Информационные технологии. Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности».
• ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».
• ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности».
• ГОСТ Р ИСО/МЭК 27003-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации».
• ГОСТ Р ИСО/МЭК 27004-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание».
• ГОСТ Р ИСО/МЭК 27017-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб».
• ГОСТ Р ИСО/МЭК 27019-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)».
• ГОСТ Р ИСО/МЭК 27021-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности».
• ГОСТ Р ИСО/МЭК 27033-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей».
• ГОСТ Р ИСО/МЭК 27034-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 2. Нормативная структура организации».
• ГОСТ Р ИСО/МЭК 27034-3-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений».
• ГОСТ Р ИСО/МЭК 27034-6-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 6. Практические примеры».
• ГОСТ Р ИСО/МЭК 27036-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия».
• ГОСТ Р 59329-2021 «Системная инженерия. Защита информации в процессах приобретения и поставки продукции и услуг для системы».
• ГОСТ Р 59330-2021 «Системная инженерия. Защита информации в процессе управления моделью жизненного цикла системы».
• ГОСТ Р 59331-2021 «Системная инженерия. Защита информации в процессе управления инфраструктурой системы».
• ГОСТ Р 59332-2021 «Системная инженерия. Защита информации в процессе управления портфелем проектов».
• ГОСТ Р 59333-2021 «Системная инженерия. Защита информации в процессе управления человеческими ресурсами системы».
• ГОСТ Р 59334-2021 «Системная инженерия. Защита информации в процессе управления качеством системы».
• ГОСТ Р 59335-2021 «Системная инженерия. Защита информации в процессе управления знаниями о системе».
• ГОСТ Р 59336-2021 «Системная инженерия. Защита информации в процессе планирования проекта».
• ГОСТ Р 59337-2021 «Системная инженерия. Защита информации в процессе оценки и контроля проекта».
• ГОСТ Р 59338-2021 «Системная инженерия. Защита информации в процессе управления решениями».
• ГОСТ Р 59339-2021 «Системная инженерия. Защита информации в процессе управления рисками для системы».
• ГОСТ Р 59340-2021 «Системная инженерия. Защита информации в процессе управления конфигурацией системы».
• ГОСТ Р 59341-2021 «Системная инженерия. Защита информации в процессе управления информацией системы».
• ГОСТ Р 59342-2021 «Системная инженерия. Защита информации в процессе измерений системы».
• ГОСТ Р 59343-2021 «Системная инженерия. Защита информации в процессе гарантии качества для системы».
• ГОСТ Р 59344-2021 «Системная инженерия. Защита информации в процессе анализа бизнеса или назначения системы».
• ГОСТ Р 59345-2021 «Системная инженерия. Защита информации в процессе определения потребностей и требований заинтересованной стороны для системы».
• ГОСТ Р 59346-2021«Системная инженерия. Защита информации в процессе определения системных требований».
• ГОСТ Р 59347-2021 «Системная инженерия. Защита информации в процессе определения архитектуры системы».
• ГОСТ Р 59348-2021 «Системная инженерия. Защита информации в процессе определения проекта».
• ГОСТ Р 59349-2021 «Системная инженерия. Защита информации в процессе системного анализа».
• ГОСТ Р 59350-2021 «Системная инженерия. Защита информации в процессе реализации системы».
• ГОСТ Р 59351-2021 «Системная инженерия. Защита информации в процессе комплексирования системы».
• ГОСТ Р 59352-2021 «Системная инженерия. Защита информации в процессе верификации системы».
• ГОСТ Р 59353-2021 «Системная инженерия. Защита информации в процессе передачи системы».
• ГОСТ Р 59354-2021 «Системная инженерия. Защита информации в процессе аттестации системы».
• ГОСТ Р 59355-2021 «Системная инженерия. Защита информации в процессе функционирования системы».
• ГОСТ Р 59356-2021 «Системная инженерия. Защита информации в процессе сопровождения системы».
• ГОСТ Р 59357-2021 «Системная инженерия. Защита информации в процессе изъятия и списания системы». 

8. Росстандарт с 1 января 2022 года вводит в действие ГОСТ Р ИСО/МЭК 27001-2021, идентичный международному стандарту ISO/IEC 27001:2013. Этот ГОСТ принимается взамен ГОСТ Р ИСО/МЭК 27001-2006. При этом ГОСТ закрепляется за “ФСТЭКовским” ТК362, что означает, что этот стандарт никто не будет ни применять, ни ссылаться на него. ФСТЭК вообще не любит в последнее время ссылаться на стандарты ISO в своих документах, стараясь писать все свое.

9. Официально опубликован приказ Минцифры от 29.09.2021 № 1015 «Об утверждении порядка уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима». Интересно, что данный приказ требует для уничтожения обезличенных данных использовать средства защиты информации, прошедшие процедуру оценки соответствия. Требование по оценке соответствия таких средств также прописано в законопроекте по внесению изменений в ст.19 ФЗ-152. Интересно, что это будут за требования и чьи, ФСТЭК или ФСБ (инициатором этих поправок является ФСБ)?

10. Владимир Путин утвердил перечень поручений по итогам совещания с членами Правительства, состоявшегося 24 ноября 2021 года. Среди прочего Правительству поручено до 1 июля 2022 года внести в законодательство (скорее всего в ФЗ-187) изменений, направленных на на установление обязательного требования о преимущественном использовании отечественного программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции субъектами критической информационной инфраструктуры Российской Федерации. Это продолжение истории с проектами Указа Президента и Постановления Правительства на эту тему. Администрация Президента выступила против этого (а Минцифре указывали на то, что Указ Президента не может такого требовать — надо изменять ФЗ-187), что и привело к очередному сдвигу сроков. Причем обратите внимание, что до 1 июля надо внести, а не принять изменения. То есть, если “повезет”, то депутаты примут эти поправки еще до конца июля, а Президент подпишет их в августе. А вот если не успеют, то там история может затянуться до конца 2022 года, а то и позже.

​​11. РКН представил проект приказа «Об утверждении форм проверочных листов (списков контрольных вопросов), используемых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при проведении выездной проверки при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных». Первый список из 59 вопросов предназначен для проверок юридических лиц, физических лиц и индивидуальных предпринимателей, а второй — из 49 вопросов — для государственных или муниципальных органов. Вопросы обеспечения безопасности ПДн в этих списках отсутствуют.

12. Банк России подготовил проект Указания “О внесении изменений в Положение Банка России от 8 апреля 2020 года № 716 П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»”, которое вносит ряд изменений в вступившее менее года назад Указание, в том числе появляются новые требования, среди которых:

• моделирования угроз,
• подчинения руководителя ИБ непосредственно руководству кредитной организации,
• запрет подчинения руководителя ИБ руководителю ИТ. 

13. Минцифры подготовило проект приказа «Об утверждении типового порядка действий уполномоченного работника многофункционального центра предоставления государственных и муниципальных услуг при размещении или обновлении в единой системе идентификации и аутентификации сведений, необходимых для регистрации физических лиц в данной системе, размещении биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, с использованием программно-технических комплексов», который предполагает возложить обязанности по контролю за достоверностью размещения биометрических персональных данных физическими лицами, собираемых в МФЦ для использования в ЕБС, на уполномоченных работников МФЦ.

14. ФСТЭК представила проекты двух приказов, направленных на установление форм оценочных листов, в соответствии с которыми регулятор планирует проводить оценку соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации и деятельности по технической защите конфиденциальной информации. По сути речь идет о списке вопросов (16 и 14 соответственно), которые будут задаваться проверяемым организациям.