Дайджест изменений в российское законодательство по ИБ №23

Если бы мне нечего было писать, а блог надо было бы как-то поддерживать на плаву, то можно было бы каждый день публиковать по одному принятому нормативно-правовому акту в области ИБ и контентный план выполнялся бы на все 100%. Ну а пока 23-й дайджест изменений, в котором у нас снова 10+ документов:

1. Опубликован приказ ФСТЭК России от 10.02.2022 №26 «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. №227″, в котором определен срок (20 дней), в течение которого субъект КИИ должен направить в ФСТЭК уведомление об изменении сведений об объекте КИИ. Самое неприятное, что сообщать в ФСТЭК надо после любого изменения угроз (видимо, актуальных), способов взаимодействия ОКИИ и сетей электросвязи, программных и программно-аппаратных средствах, а также средствах защиты ОКИИ. Иными словами, любой чих требует уведомления регулятора. Особенно сейчас, когда многие занимаются импортозамещением и вынуждены заменять используемое на ОКИИ ПО и железо на новое.

2. Правительство РФ выпустило новое постановление 24.03.2022 №448 «Об особенностях осуществления государственного контроля (надзора), муниципального контроля в отношении аккредитованных организаций, осуществляющих деятельность в области информационных технологий, и о внесении изменений в некоторые акты Правительства Российской Федерации», которое вводит мораторий на надзорные мероприятия в отношении аккредитованных ИТ-компаний на ближайшие годы.

3. Минцифры опубликовало проект Постановления Правительства «Об утверждении Требований для прохождения аккредитации государственных органов, являющихся владельцами и (или) операторами государственных информационных систем, с применением которых осуществляется идентификация и (или) аутентификация, а также Правил прохождения такой аккредитации». Проектом постановления устанавливаются требования для прохождения аккредитации госорганов, являющихся владельцами и операторами либо только операторами ГИС, с применением которых осуществляется идентификация и (или) аутентификация, а также являющихся только владельцами таких систем. В последнем случае требования предъявляются, в том числе, к организации, осуществляющей функции оператора ГИС, с применением которой осуществляется идентификация и (или) аутентификация.

4. ФСТЭК России в своем информационном сообщении от 25.03.2022 №240/13/1561 сообщает об отмене оплаты государственной пошлины за госуслуг по предоставлению лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации. Акция действует до конца 2022 года.

5. Президент подписал Указ от 14.04.2022 №203 «О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации», которая займется вопросами импортозамещения в КИИ.

6. Официально опубликован приказ Минцифры от 25.02.2022 №142 «Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации«.

7. ФСТЭК разъясняет порядок представления документов по аттестации объектов информации, обрабатывающих информацию ограниченного доступа, не составляющей государственную тайну в своем информационное сообщении от 11.04.2022 №240/24/1950. Интересно, что основной формат, который ФСТЭК упоминает в данном документе, — это уже устаревший DOC (а в нем даже «Мой офис» уже не умеет сохранять) и DOCX (проприетарный формат Microsoft). А вот открытый формат ODT почему-то не упомянут.

8. В Госдуму был внесен законопроект №101234-8 «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных», который я уже подробно описывал и который будет рассмотрен в Госдуме 18-го мая.
9. Депутаты приняли в трех чтениях законопроект №1184356-7 «О внесении изменения в статью 16 Закона Российской Федерации «О защите прав потребителей», который запрещает продавцам (исполнителям, владельцам агрегатора) отказывать в заключении, изменении, расторжении или исполнении договора из‑за непредоставления потребителем персональных данных.
10. Банк России принял Положение от 12.01.2022 №787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг», который станет основным фокусом для Банка России на этот и, видимо, следующий год и который навешивает на службы ИБ банков обязанности заниматься еще и операционной надежностью помимо операционных рисков и собственно самой кибербезопасностью.
11. Банк России принял Положение от 15.11.2021 №779-П «Об обязательных для некредитных финансовых организаций требованиях к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2022 года №86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности  оказания финансовых услуг». Тоже, что и 787-П, но для не банков.
12. Банк России подготовил проект положения Банка России «О требованиях к защите информации в платежной системе Банка России», который разработан взамен Положения Банка России от 23 декабря 2020 года №747-П. Целью проекта является установление требований к обеспечению защиты информации при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, а также в целях реализация требований новой редакции 732-П и 719-П.