Спецоперация спецоперацией, а нормативка по расписанию. Очередных три десятка законодательных инициатив, которым нас «порядовали» регуляторы и законодатели за последнее время.
Критическая инфраструктура
- Официально опубликован Федеральный закон от 19.12.2022 №518-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», который вносит поправки в КоАП, определяющие ответственность за предоставление недостоверных сведений о результатах категорирования ОКИИ (в т.ч. за повторное аналогичное правонарушение).
- Официально опубликовано Постановление Правительства от 20.12.2022 №2360 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. №127», которое вносит ряд изменений в процедуру категорирования объектов КИИ и показатели критериев их значимости.
- Президент подписал Указ от 26.12.2022 №954 «О внесении изменения в состав Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации по должностям, утвержденный Указом Президента Российской Федерации от 14 апреля 2022 г. №203», который включил в состав комиссии Президента Российской академии наук.
Персональные данные
- Правительство подготовило проект своего Постановления «О внесении изменений в некоторые акты Правительства Российской Федерации», которое подготовлено в целях предотвращения проблем, связанных с массовыми утечками персональных данных. Проект постановления позволяет Роскомнадзору при условии согласования с органами прокуратуры осуществлять внеплановые контрольные (надзорные) мероприятия за обработкой персональных данных в отношении операторов, являющихся в том числе аккредитованными организациями, которые осуществляют деятельность в области информационных технологий, в случае если установлен факт распространения (предоставления) в информационно-телекоммуникационной сети «Интернет» баз персональных данных (или их части), в том числе имеющих признаки принадлежности аккредитованной организации.
- Роскомнадзор опубликовал приказ от 28 октября 2022 г. №180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».
- Опубликован приказ Роскомнадзора от 14.11.2022 №187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».
- Роскомнадзор подготовил проект приказа «О внесении изменений в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. №253».
- Депутаты и сенаторы приняли законопроект №181342-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», которые позволит составлять протоколы об административных правонарушениях за нарушения в области персональных данных без проведения контрольных (надзорных) мероприятий во взаимодействии с контролируемым лицом.
- В законопроект об оборотных штрафах за утечку ПДн вносят очередные правки, а именно — для таких штрафов может быть установлен верхний предел в 500 млн руб., а нижний — в 5 млн руб.
У законодателей и регуляторов очень специфическое понимание термина «защита прав». Вместо того, чтобы защищать граждан, когда их права нарушаются, например, поддержкой в суде или выплатами компенсаций, у нас все больше вводят запретов и ограничений, считая, что тем самым права граждан нарушаться не будут, а если и будут, то нарушители будут наказаны. Но наказание нарушителей != защита прав!
Управление инцидентами
- Утверждено 4 национальных стандарта по управлению инцидентами, вступающие в силу с 1 февраля 2023 года, которые разработаны 8-м Центром ФСБ и ЦБИ:
- ГОСТ Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения».
- ГОСТ Р 59710-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения».
- ГОСТ Р 59711-2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами»
- ГОСТ Р 59712-2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты».
Криптография
-
Ростандарт опубликовал новый предварительный национальный стандарт ПНСТ 799-2022 «Информационные технологии. Криптографическая защита информации. Термины и определения».
- ТК26 подготовил проекты новых рекомендаций по стандартизации в области криптографии:
-
Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе обмена ключами в сети Интернет версии 2 (IKEv2)»
-
Рекомендации по стандартизации «ИТ.КЗИ. Криптографические алгоритмы выработки ключей шифрования информации и аутентификационных векторов, предназначенные для реализации в аппаратных модулях доверия для использования в подвижной радиотелефонной связи»
-
- Росстандарт вместе с ТК26 опубликовали рекомендации по стандартизации в области криптографии:
-
Изменения в Р 1323565.1.029–2019 «Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем»
-
Р 1323565.1.042–2022 «Информационная технология. Криптографическая защита информации. Режим работы блочных шифров, предназначенный для защиты носителей информации с блочно-ориентированной структурой»
-
Р 1323565.1.044–2022 «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе штампов времени (TSP)»
-
Р 1323565.1.043–2022 «Информационная технология. Криптографическая защита информации. Контрольные примеры использования российских криптографических алгоритмов в протоколе безопасности транспортного уровня (TLS 1.3)».
-
-
ОпубликованФедеральный закон от 19.12.2022 №536-ФЗ, устанавливающий до сентября 2023 года «переходный период» при применении машиночитаемой доверенности, а также сертификатов юридических лиц.
- Официально опубликован приказ Министерства юстиции от 14.12.2022 №397 «Об утверждении Порядка хранения нотариальных документов в электронной форме, электронных образов нотариальных документов, созданных на бумажном носителе, содержащихся в единой информационной системе нотариата, включая технические требования к форматам таких документов, использования усиленной квалифицированной электронной подписи при их хранении и доступа к таким документам».
-
Минцифры России опубликовало два перечня, имеющих отношения к контрольным мероприятиям в сфере электронной подписи:
-
перечень нормативных правовых актов, содержащих обязательные требования, оценка соблюдения которых осуществляется в рамках осуществления госконтроля, привлечения к административной ответственности в сфере электронной подписи;
-
перечень нормативных правовых актов, содержащих обязательные требования, оценка соблюдения которых осуществляется в рамках предоставления лицензий и иных разрешений, аккредитации.
-
Финансовый сектор
- Спустя 10 лет с выхода «мертвого» ПП-584, Правительство решило внести в него изменение и выпустило Постановление Правительства от 08.12.2022 №2250 «О внесении изменения в Положение о защите информации в платежной системе».
- Росстандарт принял два национальных стандарта, разработанных в ТК122 и вводимых в действие с 1 февраля 2023 года
- ГОСТ Р 57580.3-2022 «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения»
-
ГОСТ Р 57580.4-2022 «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер»
- Банк России опубликовал информационное письмо от 26 декабря 2022 года №ИН-03-12/141 о продлении периода неприменения Банком России мер к кредитным организациям и некредитным финансовым организациям, допустившим нарушения, указанные в информационном письме Банка России от 21.09.2021 No ИН-014-12/72 «О неприменении Банком России мер к кредитным организациям и некредитным финансовым организациям», в отношении операций, предусмотренных пунктом 1.3-1 статьи 6 Федерального закона от 07.08.2001 No 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
- Банк России опубликовал информационное письмо от 26 декабря 2022 года №ИН-03-12/140 о продлении периода неприменения Банком России мер к кредитным организациям и некредитным финансовым организациям, допустившим нарушения, указанные в информационном письме Банка России от 15.11.2021 No ИН-014-12/88 «О неприменении Банком России мер к кредитным организациям и некредитным финансовым организациям».
Квалификация специалистов
- Министерство труда и социальной защиты опубликовало приказ от 28.11.2022 № 739н «Об утверждении профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере».
Лицензирование ФСТЭК
- ФСТЭК подготовила проект своего приказа «Об утверждении Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации», который отменит ранее действовавший административный регламент по данному вопросу.
- ФСТЭК подготовила проект своего приказа «Об утверждении Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по технической защите конфиденциальной информации».
- ФСТЭК подготовила проект своего приказа «Об утверждении Регламента осуществления Федеральной службой по техническому и экспортному контролю функции по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации».
- ФСТЭК подготовила проект своего приказа «Об утверждении Регламента осуществления Федеральной службой по техническому и экспортному контролю функции по лицензированию деятельности по технической защите конфиденциальной информации».
- ФСТЭК опубликовала информационное сообщение от 1 декабря 2022 г. №240/24/6265 «Об утверждении требований по безопасности информации к средствам контейнеризации». Также ФСТЭК опубликовала выписку из данных требований.
- ФСТЭК опубликовала проект своего приказа «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по технической защите конфиденциальной информации».
- ФСТЭК опубликовала проект своего приказа «Об утверждении форм документов, используемых Федеральной службой по техническому и экспортному контролю в процессе лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации».
- ФСТЭК планирует подготовить проект приказа «Об утверждении Порядка проведения проверки соблюдения лицензионных требований лицензиатами, осуществляющими деятельность по технической защите конфиденциальной информации и о признании утратившим силу приказа ФСТЭК России от 20 июля 2012 г. № 89 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации».
Разное
- ФСБ опубликовало приказ от 01.11.2022 №543 «Об определении переходного периода, предусмотренного подпунктом «б» пункта 5 Указа Президента Российской Федерации от 1 мая 2022 г. №250″.
- Правительство опубликовало распоряжение от 22.12.2022 № 4088-р, утвердившую Концепцию формирования и развития культуры информационной безопасности граждан Российской Федерации.
- Правительство подготовило и внесло в Госдуму законопроект №265468-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который устанавливает штрафы за создание и использование сайтов-двойников единого государственного реестра недвижимости (ЕГРН).
- Официально опубликован приказ Главного управления специальных программ Президента Российской Федерации от 22.10.2022 № 163 «Об установлении перечня информации об отнесенных к ведению Главного управления специальных программ Президента Российской Федерации пунктах управления государством и Вооруженными Силами Российской Федерации, иных специальных объектах мобилизационного назначения и объектах их инфраструктуры, составляющей профессиональную тайну, а также требований к защите данной информации».
- ФСТЭК планирует подготовить проект указа Президента Российской Федерации «Об утверждении Положения о государственной системе защиты информации в Российской Федерации».
- ФСТЭК планирует подготовить проект приказа «Об утверждении Порядка аттестации экспертов органов по сертификации и специалистов испытательных лабораторий».
- ФСТЭК планирует подготовить проект приказа «О внесении изменений в Правила выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности, утвержденные приказом ФСТЭК России от 10 апреля 2015 г. №33.
-
В Госдуму внесен законопроект, обязующий операторов связи получать согласие абонента на пропуск голосовых сообщений по сетям телефонной и мобильной связи напрямую или через заказчика рассылки. Ранее аналогичную норму предлагало внести Минцифры.
Алексей,
а еще в декабре официально опубликовано Положение Банка России № 808-П, которое устанавливает требования к защите информации в организациях, оказывающих профессиональные услуги на финансовом рынке.
Спасибо. Оно у меня в январский дайджест уже пойдет
Алексей доброго дня! А Федеральный закон от 29.12.2022 № 584-ФЗ планируете комментировать в январском дайдЖесте?
https://rg.ru/documents/2023/01/09/document-ob-informacii.html
Пока не знаю насчет комментов — подумаю