Если бы мне нечего было писать, а блог надо было бы как-то поддерживать на плаву, то можно было бы каждый день публиковать по одному принятому нормативно-правовому акту в области ИБ и контентный план выполнялся бы на все 100%. Ну а пока 23-й дайджест изменений, в котором у нас снова 10+ документов:
- Опубликован приказ ФСТЭК России от 10.02.2022 №26 «О внесении изменений в Порядок ведения реестра значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом Федеральной службы по техническому и экспортному контролю от 6 декабря 2017 г. №227″, в котором определен срок (20 дней), в течение которого субъект КИИ должен направить в ФСТЭК уведомление об изменении сведений об объекте КИИ. Самое неприятное, что сообщать в ФСТЭК надо после любого изменения угроз (видимо, актуальных), способов взаимодействия ОКИИ и сетей электросвязи, программных и программно-аппаратных средствах, а также средствах защиты ОКИИ. Иными словами, любой чих требует уведомления регулятора. Особенно сейчас, когда многие занимаются импортозамещением и вынуждены заменять используемое на ОКИИ ПО и железо на новое.
-
Правительство РФ выпустило новое постановление 24.03.2022 №448 «Об особенностях осуществления государственного контроля (надзора), муниципального контроля в отношении аккредитованных организаций, осуществляющих деятельность в области информационных технологий, и о внесении изменений в некоторые акты Правительства Российской Федерации», которое вводит мораторий на надзорные мероприятия в отношении аккредитованных ИТ-компаний на ближайшие годы.
-
Минцифры опубликовало проект Постановления Правительства «Об утверждении Требований для прохождения аккредитации государственных органов, являющихся владельцами и (или) операторами государственных информационных систем, с применением которых осуществляется идентификация и (или) аутентификация, а также Правил прохождения такой аккредитации». Проектом постановления устанавливаются требования для прохождения аккредитации госорганов, являющихся владельцами и операторами либо только операторами ГИС, с применением которых осуществляется идентификация и (или) аутентификация, а также являющихся только владельцами таких систем. В последнем случае требования предъявляются, в том числе, к организации, осуществляющей функции оператора ГИС, с применением которой осуществляется идентификация и (или) аутентификация.
-
ФСТЭК России в своем информационном сообщении от 25.03.2022 №240/13/1561 сообщает об отмене оплаты государственной пошлины за госуслуг по предоставлению лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации. Акция действует до конца 2022 года.
-
Президент подписал Указ от 14.04.2022 №203 «О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации», которая займется вопросами импортозамещения в КИИ.
- Официально опубликован приказ Минцифры от 25.02.2022 №142 «Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации«.
-
ФСТЭК разъясняет порядок представления документов по аттестации объектов информации, обрабатывающих информацию ограниченного доступа, не составляющей государственную тайну в своем информационное сообщении от 11.04.2022 №240/24/1950. Интересно, что основной формат, который ФСТЭК упоминает в данном документе, — это уже устаревший DOC (а в нем даже «Мой офис» уже не умеет сохранять) и DOCX (проприетарный формат Microsoft). А вот открытый формат ODT почему-то не упомянут.
- В Госдуму был внесен законопроект №101234-8 «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных», который я уже подробно описывал и который будет рассмотрен в Госдуме 18-го мая.
- Депутаты приняли в трех чтениях законопроект №1184356-7 «О внесении изменения в статью 16 Закона Российской Федерации «О защите прав потребителей», который запрещает продавцам (исполнителям, владельцам агрегатора) отказывать в заключении, изменении, расторжении или исполнении договора из‑за непредоставления потребителем персональных данных.
- Банк России принял Положение от 12.01.2022 №787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг», который станет основным фокусом для Банка России на этот и, видимо, следующий год и который навешивает на службы ИБ банков обязанности заниматься еще и операционной надежностью помимо операционных рисков и собственно самой кибербезопасностью.
- Банк России принял Положение от 15.11.2021 №779-П «Об обязательных для некредитных финансовых организаций требованиях к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2022 года №86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг». Тоже, что и 787-П, но для не банков.
- Банк России подготовил проект положения Банка России «О требованиях к защите информации в платежной системе Банка России», который разработан взамен Положения Банка России от 23 декабря 2020 года №747-П. Целью проекта является установление требований к обеспечению защиты информации при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, а также в целях реализация требований новой редакции 732-П и 719-П.
Алексей Викторович, здравствуйте! можете прокомментировать по проекту из пункта 3 Ваше мнение?
— в заголовке проекта говорится о ГИС’ах, с применением которых осуществляется идентификация и (или) аутентификация;
— по тексту проекта складывается ощущение, что рассматриваются только ГИС’ы, которые обрабатывают биометрию…
получается, что госорганы, которые идентифицируют и аутентифицируют пользователей по токенам или сертификатам, не подпадают под требования? если ГИС создана как реализация WebSSO до других ГИС’ов, например.
Да, все верно, это только про биометрию
Непонятно зачем ФСТЭК впихнула в приказ относящийся к ЗОКИИ, да ещё и которым должна руководствоваться сама ФСТЭК, абзацы, касающиеся субъектов КИИ, обладающих просто ОКИИ, а не ЗОКИИ
А где там про незначимые? Правила категорирования же касаются всех и отправлять в ФСТЭК необходимо данные по всем, а уже контроль осуществляется только по значимым