В обзоре за июль 2022 года рассмотрим: ряд изменений в области защиты персональных данных, в том числе реформа 152-ФЗ, размещение биометрических персональных данных в единой биометрической системе и обновленный перечень стран, адекватно защищающих права субъектов персональных данных, изменения в области защиты критической информационной инфраструктуры, среди которых: публикация типовых положений во исполнение Указа Президента РФ №250, изменение порядка направления сведений о результатах категорирования для сфер энергетики и топливно-энергетического комплекса; результаты работы ТК 362, изменения в Уголовный кодекс РФ и Кодекс об административных правонарушениях, связанные с защитой государственной тайны и персональных данных, использованием технических средств защиты информации РФ; дополнения к требованиям для кредитных финансовых организаций и другое.
Основные изменения, который вносит закон:
Основные изменения будут касаться:
Согласно закону, если организация (в т.ч. государственные органы) в своих информационных системах осуществляет обработку ПДн, которые требуется разместить в единой биометрической системе (далее – ЕБС), они обязаны разместить такие ПДн в ЕБС без согласия субъекта ПДн. Необходимо лишь уведомить об этом субъекта и разъяснить, что в случае несогласия с действиями организации субъект может обратиться в ПАО «Ростелеком» (оператор ЕБС) с требованием о блокировании или уничтожении своих ПДн в (из) ЕБС.
Напомним, что перечень сведений, размещаемых в ЕБС, утвержден Постановлением Правительства Российской Федерации от 30.06.2018 № 772. Среди них:
Основаниями для решения отмечены следующие факторы:
Изменения касаются субъектов КИИ в сферах энергетики и топливно-энергетического комплекса. Согласно сообщению, сведения о результатах категорирования объектов КИИ, функционирующих в указанных сферах, следует направлять:
Для субъектов КИИ, осуществляющих деятельность в иных сферах (кроме указанных ранее), действует прежний порядок – все сведения о результатах категорирования направляются в центральный аппарат ФСТЭК России.
На данный момент статус законопроекта: рассмотрение в первом чтении. Законопроект планируется включить в примерную программу законопроектной работы Государственной Думы в период осенней сессии 2022 года (декабрь).
Утверждены требования к уровню компетенций, должностным обязанностям и положению в организационно-штатной структуре организации (органа) Заместителя руководителя, ответственного за обеспечение ИБ. Основные положения:
Законопроект находится на стадии рассмотрения профильным комитетом, планируемый срок подготовки к рассмотрению Государственной Думой в первом чтении – сентябрь 2022.
Замечания и предложения по проекту принимались секретариатом ТК 362 до 15.07.2022. Итоги общественного обсуждения на данный момент не подведены.
Завершено обсуждение членами ТК 362 проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению статического анализа программного обеспечения».
По результатам электронного обсуждения сформирована сводка отзывов членов ТК 362. Отзывы рассмотрены и опубликованы с комментариями разработчиков. Окончательная редакция проекта повторно опубликована для голосования членов ТК 362 за окончательную редакцию проекта. Бюллетени голосования необходимо было направить до 5 июля.
Итоги голосования на данный момент не подведены.
Кроме работ по уже упомянутым ранее стандартам, в справке сообщается о следующем:
o ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (Идентичный на основе ISO/IEC 15408-2:2021);
o ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения».
Справка также содержит сведения о работах по включению в состав ТК 362 новых членов, о дополнениях в программу на 2022 год упомянутых ранее стандартов, заключении договоров на редакции стандартов и т.д.
Документ содержит сведения о принятых с апреля по июнь 2022 года национальных и международных стандартах в области защиты информации, а также об основных направлениях работ в рамках деятельности Международной организации по стандартизации (далее ‑ ИСО) и Международной электротехнической комиссии (далее ‑ МЭК) по совершенствованию международной системы стандартов в области защиты информации.
Согласно сведениям, во II квартале национальные стандарты в области защиты информации Росстандартом не утверждались. При этом ИСО и МЭК утверждены три международных стандарта в указанной области:
По результатам рассмотрения ТК 362 сделан вывод о том, что проект не уделяет должного внимания вопросам обеспечения безопасности информации. Для устранения этого недостатка комитет рекомендовал учесть положения законодательства РФ в области защиты КИИ или сослаться на нормативную и методическую базу в этой области.
Письмо о результатах рассмотрения и отзывы организаций-членов ТК 362 опубликованы на сайте ФСТЭК России.
Официально опубликован Федеральный закон от 14.07.2022 № 260-ФЗ«О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации».
Федеральный закон вводит в Уголовный кодекс Российской Федерации (далее – УК РФ) ряд статей, предусматривающих наказания за незаконное использование и (или) перемещение сведений, составляющих государственную тайну (далее – ГТ), нарушение требований законодательства РФ о защите ГТ и незаконное использование технических средств защиты:
Закон вводит новые статьи (и части статей) в Кодекс Российской Федерации об административных правонарушениях (далее – КоАП РФ), предусматривающие ответственность за нарушение запрета на сбор ПДн граждан РФ иностранным лицом в сети «Интернет», а также административную ответственность за нарушение правил пропуска трафика через технические средства противодействия угрозам (не предусмотренное в УК РФ) и другое:
Указание вносит изменения в части требований к программному обеспечению, распространяемому клиентам в целях совершения банковских операций. Ранее, если ПО не сертифицировано в системе ФСТЭК России, допускалось проведение в отношении такого ПО анализа уязвимостей по оценочному уровню доверия не ниже 4 (ОУД 4). Для его проведения необходимо было привлекать организацию-лицензиата ФСТЭК России.
Сейчас, если ПО не сертифицировано, необходимо проведение оценки соответствия по уровню не ниже ОУД 4. При этом такую оценку можно проводить как самостоятельно, так и с привлечением лицензиата ФСТЭК России.
Если же кредитная финансовая организация (системно значимая или значимая на рынке платежных услуг) принимает решение о сертификации ПО – необходимо получение сертификата соответствия требованиям ФСТЭК России не ниже 4 уровня доверия, если это ПО, используемое для перевода денежных средств (указанного в п.1.2 Положения Банка России №719-П), и не ниже 5 уровня доверия в остальных случаях. Напомним, что требования к уровням доверия утверждены приказом ФСТЭК России №76 (для служебного пользования).
К требованиям о технологиях обработки защищаемой информации добавляются:
Проекты нормативно-правовых актов в отношении контроля обработки и защиты ПДн
Реформа 152-ФЗ
В июле официально опубликован Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ)Основные изменения, который вносит закон:
- Вводится экстерриториальность Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее ‑ № 152-ФЗ).
- Вводится новое понятие – лицо, осуществляющее обработку ПДн по поручению оператора. Аналогичная роль представлена в европейских нормах (GDPR) в виде процессора или обработчика. Обоснованием для правомерного поручения иному лицу на обработку ПДн по-прежнему является однозначное согласие субъекта ПДн на такое поручение. При этом обработчик несет ответственность за правомерность обработки ПДн наравне с оператором, обязан внедрять необходимые меры безопасность и предоставить подтверждение их внедрения по запросу оператора.
- Вводится обязательность согласования с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) государственных нормативных правовых актов в области защиты персональных данных (далее – ПДн), связанных с осуществлением трансграничной передачи ПДн, обработкой специальных категорий и биометрических ПДн, ПДн несовершеннолетних, предоставлением, распространением ПДн, полученных в результате обезличивания.
- Вводится запрет отказывать в предоставлении услуг в случае несогласия субъекта ПДн предоставить свои ПДн (в т.ч. биометрические), если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным – оператор обязан разъяснять о юридических последствиях отказа.
- Вносится ряд изменений, касающихся трансграничной передачи ПДн, в т.ч. обязанность оператора направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу ПДн (с указанием перечня стран, в которые планируется передавать данные), а также возможность запрета такой передачи от Роскомнадзора, если планируется передача ПДн на территории стран, не обеспечивающих адекватную защиту прав субъектов ПДн.
- Корректируется порядок взаимодействия с субъектами ПДн, в т.ч. форма предоставления субъекту ПДн информации, касающейся обработки его ПДн, а также сокращаются сроки ответов на обращения субъектов и добавляются условия прекращения обработки ПДн при обращении субъекта.
- Добавляются новые критерии к согласию субъекта ПДн – помимо прочего, оно должно быть предметным и однозначным.
- Роскомнадзор должен будет установить требования по оценке вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ, – требования должны быть опубликованы к 01.03.2023.
- Вводится обязанность операторов ПДн взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА) в порядке, определенном ФСБ России, а также уведомлять об инцидентах Роскомнадзор. При этом ФСБ России и Роскомнадзор также будут передавать друг другу информацию о компьютерных инцидентах, повлекших неправомерную обработку ПДн (ведомства совместно определят соответствующий порядок взаимодействия). Кроме того, Роскомнадзор дополнительно будет вести реестр учета инцидентов в области ПДн.
- Роскомндазор должен будет установить требования по подтверждению уничтожения ПДн.
- Существенно сокращен перечень исключений, при которых обработка ПДн допускается без направления уведомления в Роскомнадзор. Изменения касаются и сведений, которые необходимо включить в уведомление, в т.ч. указание категорий ПДн и субъектов ПДн, основания и способов обработки ПДн для каждой цели отдельно.
- Установлен срок информирования Роскомнадзора о корректировке данных, ранее полученных с уведомлением о намерении осуществлять обработку ПДн, и об исключении из реестра операторов ПДн.
- А также меняется статус Роскомнадзора: службе придается больший уровень автономности, предоставляется возможность вносить в Правительство Российской Федерации предложения о совершенствовании нормативных правовых актов в области защиты ПДн и деятельности по обработке ПДн.
Минцифры готовит новую версию законопроекта об оборотных штрафах за утечку ПДн
В июле поступила информация о том, что Минцифры готовит изменения в законопроект об оборотных штрафах за утечки ПДн . Законопроект усиливает ответственность операторов ПДн, а также проясняет некоторые детали.Основные изменения будут касаться:
- определения объекта утечки ПДн;
- соразмерности штрафов за утечки объемам и критичности ПДн, появившихся в незаконном обороте;
- поэтапности применения штрафов: за первую утечку штраф будет фиксированным, в случае повторной утечки будет применяться оборотный штраф (для которого также будут установлены границы);
- процедуры добровольной аккредитации компаний по критериям информационной безопасности.
Биометрия в ЕБС
Официально опубликован Федеральный закон от 14.07.2022 № 325-ФЗ «О внесении изменений в статьи 14 и 14-1 Федерального закона «Об информации, информационных технологиях и о защите информации» и статью 5 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» .Согласно закону, если организация (в т.ч. государственные органы) в своих информационных системах осуществляет обработку ПДн, которые требуется разместить в единой биометрической системе (далее – ЕБС), они обязаны разместить такие ПДн в ЕБС без согласия субъекта ПДн. Необходимо лишь уведомить об этом субъекта и разъяснить, что в случае несогласия с действиями организации субъект может обратиться в ПАО «Ростелеком» (оператор ЕБС) с требованием о блокировании или уничтожении своих ПДн в (из) ЕБС.
Напомним, что перечень сведений, размещаемых в ЕБС, утвержден Постановлением Правительства Российской Федерации от 30.06.2018 № 772. Среди них:
- биометрические ПДн физического лица – гражданина РФ (изображение лица и запись голоса);
- основной государственный регистрационный номер записи о создании юридического лица, разместившего биометрические ПДн гражданина в ЕБС;
- СНИЛС уполномоченного сотрудника, разместившего биометрические ПДн;
- идентификатор учетной записи в Единой системе идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг (ЕСИА).
Обновленный список стран, адекватно защищающих права субъектов ПДн
Для общественного обсуждения опубликован проект приказа «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных». Роскомнадзор предлагает дополнить перечень, включив в него:- Иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее – Конвенция) (включаются в перечень в соответствии с 266-ФЗ);
- Иностранные государства, не являющиеся сторонами Конвенции:
- Киргизская Республика;
- Китайская Народная Республика;
- Королевство Таиланд;
- Республика Индия;
- Республика Кот-Д’Ивуар.
О специальной категории ПДн
В обзоре Аналитического центра УЦСБ за май 2022 года была рассмотрена инициатива Государственного собрания Республики Башкортостан о расширении перечня ПДн, относящихся к специальной категории: в перечень предлагалось включить номер телефона, адрес электронной почты и почтовый адрес. В июле принято окончательное решение — рекомендовано не вносить проект законодательной инициативы в Государственную Думу.Основаниями для решения отмечены следующие факторы:
- В соответствии с №152-ФЗ (ст.10) к специальной категории отнесены ПДн, при несанкционированном использовании которых наступают особо негативные последствия для субъекта. Кроме того, предлагаемый в инициативе перечень ПДн согласно № 152-ФЗ (ст.8) может быть отнесен к общедоступным данным, однако в инициативе не рассматриваются изменения в эту статью.
- Принимается во внимание, что номер телефона, адрес электронной почты и (или) почтовый адрес не всегда является ПДн (может определять юридическое лицо).
- Пояснительная записка к инициативе также не рассматривает судебную практику и иные статистические данные, позволяющие судить о наличии правового пробела.
Изменения в области защиты критической информационной инфраструктуры
Изменения июля коснулись и области обеспечения безопасности критической информационной инфраструктуры (далее – КИИ).Порядок представления сведений о результатах категорирования объектов КИИ для сфер энергетики и ТЭК
В начале июля стало известно об изменениях порядка предоставления сведений о результатах категорирования объектов КИИ. Изменения опубликованы в информационном сообщении ФСТЭК России от 28.06.2022 № 240/83/1698 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий».Изменения касаются субъектов КИИ в сферах энергетики и топливно-энергетического комплекса. Согласно сообщению, сведения о результатах категорирования объектов КИИ, функционирующих в указанных сферах, следует направлять:
- в центральный аппарат ФСТЭК России – если субъект КИИ является федеральным органом исполнительной власти, государственной корпорацией или головной организацией интегрированных структур;
- в территориальное управления ФСТЭК России по федеральному округу – если субъект КИИ является самостоятельным юридическим лицом, дочерним, зависимым обществом, входящим в интегрированные структуры, или организацией, подведомственной органам власти субъектов Российской Федерации или органам местного самоуправления.
Для субъектов КИИ, осуществляющих деятельность в иных сферах (кроме указанных ранее), действует прежний порядок – все сведения о результатах категорирования направляются в центральный аппарат ФСТЭК России.
Расширение перечня сфер деятельности субъектов КИИ
В Государственную Думу внесен законопроект №154496-8 «О внесении изменения в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», который предлагает отнести к субъектам КИИ государственные органы и учреждения, юридические лица и индивидуальные предпринимателей, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной̆ регистрации недвижимости.На данный момент статус законопроекта: рассмотрение в первом чтении. Законопроект планируется включить в примерную программу законопроектной работы Государственной Думы в период осенней сессии 2022 года (декабрь).
Указ 250 — типовые положения
Официально опубликовано постановление Правительства Российской Федерации от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».Утверждены требования к уровню компетенций, должностным обязанностям и положению в организационно-штатной структуре организации (органа) Заместителя руководителя, ответственного за обеспечение ИБ. Основные положения:
- Ответственное лицо (далее – Лицо) назначается руководителем организации (органа), подчиняется непосредственно руководителю или лицу, его замещающему.
- Лицо входит в состав коллегиальных органов организации (органа).
- Указания Лица являются обязательными для сотрудников организации (органа).
- Лицо должно иметь высшее образование (специалитет, магистратура) по направлению обеспечения информационной безопасности (далее – ИБ). Если высшее образование получено по другому направлению – Лицо обязано пройти обучение по программе профессиональной переподготовки по направлению ИБ. Программа должна быть согласована с ФСТЭК и ФСБ России и должна включать не менее 360 академических часов (в соответствии с п.17 Приказа Министерства образования и науки Российской Федерации от 19.10.2020 №1316 «Об утверждении Порядка разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области информационной безопасности»).
- Лицо должно обладать следующими знаниями, умениями и профессиональными компетенциями:
- знания процессов и специфики обеспечения ИБ организации (органа);
- влияние информационных технологий (далее – ИТ) на деятельность организации (органа), их роль в процессах;
- информационно-телекоммуникационные технологии;
- обеспечение ИБ (понимание основ, технологий и процессов ИБ, владение управленческими навыками в сфере ИБ и т.д.);
- знание нормативных правовых актов в области ИБ.
- организовывать и принимать непосредственное участие в формировании политик, стратегий по обеспечению ИБ организации (органа), а также организовывать процесс согласования и утверждения внутренних организационно-распорядительных, технических и иных документов в области ИБ с заинтересованными сторонами;
- организовывать реализацию мероприятий согласно утвержденным политикам, а также контроль выполнения требований внутренних и законодательных нормативных актов;
- организовывать работу по обеспечению ИБ (в том числе обнаружение, предотвращение и ликвидацию последствий компьютерных атак, управление инцидентами и т.д.);
- организовывать планирование, разработку, реализацию и контроль исполнения мероприятий по обеспечению ИБ, в т.ч. организационных и технических мер, развитие ИБ, повышение осведомленности сотрудников по вопросам ИБ, научно-технические исследования, посещение вебинаров, семинаров, выставок и т.д.;
- организовывать взаимодействие с ФСБ России и иными органами исполнительной власти;
- реализовывать и контролировать соблюдение организацией (органом) положений Указа Президента РФ №250 (и иных нормативных правовых актов в области ИБ);
- осуществлять руководство структурным подразделением организации (органа), обеспечивающим ИБ и т.д.
- Деятельность подразделения направления на исключение и (или) снижение негативных последствий инцидентов; обеспечение и повышение уровня ИБ организации (органа);
- Основные задачи подразделения:
- планирование, реализация и контроль мероприятий по обеспечению ИБ организации (органа);
- выявление уязвимостей и угроз безопасности информации;
- предотвращение утечек информации, несанкционированного доступа к защищаемым активам;
- обеспечение непрерывности процессов организации (органа) при наступлении компьютерных атак;
- взаимодействие с Национальным координационным центром по компьютерным инцидентам (далее – НКЦКИ);
- подготовка отчетов о состоянии работ по обеспечению ИБ.
- запрашивать и получать доступ к работам и документам иных структурных подразделений;
- предлагать привлечение к работам по обеспечению и повышению уровня ИБ организаций, имеющих лицензии на соответствующие виды работ;
- проводить работы по повышению осведомленности, участвовать в конференциях, семинарах и т.д.;
- участвовать в работе комиссий организации (органа) по вопросам обеспечения ИБ, вносить свои предложения;
- предоставлять руководству органа информацию о нарушении работниками установленных правил обеспечения ИБ организации (органа) и т.д.
Контроль перехода финансовых организаций на российское программное обеспечение
В Государственную думу внесен законопроект №164428-8 «О внесении изменений в Федеральный закон «О Центральном банке Российской Федерации (Банке России)». Изменения предполагают предоставление Банку России права на согласование планов перехода кредитных и некредитных финансовых организаций на российское программное обеспечение на значимых объектах КИИ, а также на осуществление контроля реализации этих планов.Законопроект находится на стадии рассмотрения профильным комитетом, планируемый срок подготовки к рассмотрению Государственной Думой в первом чтении – сентябрь 2022.
Результаты работы ТК 362
В июле были опубликованы проекты ГОСТ, а также доклады о результатах работ Технического комитета по стандартизации «Защита информации» (далее ‑ ТК 362).О проектах ГОСТ
Завершено голосование членов ТК 362 за окончательную редакцию проекта национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации». Проект был рассмотрен членами ТК 362 и Технического комитета по стандартизации ТК 26 «Криптографическая защита информации» и опубликован для общественного обсуждения.Замечания и предложения по проекту принимались секретариатом ТК 362 до 15.07.2022. Итоги общественного обсуждения на данный момент не подведены.
Завершено обсуждение членами ТК 362 проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению статического анализа программного обеспечения».
По результатам электронного обсуждения сформирована сводка отзывов членов ТК 362. Отзывы рассмотрены и опубликованы с комментариями разработчиков. Окончательная редакция проекта повторно опубликована для голосования членов ТК 362 за окончательную редакцию проекта. Бюллетени голосования необходимо было направить до 5 июля.
Итоги голосования на данный момент не подведены.
О результатах работы ТК 362
Опубликована Справка-доклад о ходе работ по плану ТК 362 на 2022 год (по состоянию на 29.06.2022).Кроме работ по уже упомянутым ранее стандартам, в справке сообщается о следующем:
- председателю ТК 362 для согласования представлено Соглашение о взаимодействии с техническим комитетом по стандартизации ТК 228 «Средства надежного хранения и безопасности»;
- проведено голосование по вопросу отмены действующего национального стандарта ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации» в связи с установлением порядка проведения работ по аттестации объектов информатизации в приказах ФСТЭК России от 28.09.2020 № 110 и 29.04.2021 № 77. Протокол направлен в Росстандарт для принятия решения об отмене;
- подготовлены первые редакции проектов национальных стандартов:
o ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (Идентичный на основе ISO/IEC 15408-2:2021);
o ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения».
Справка также содержит сведения о работах по включению в состав ТК 362 новых членов, о дополнениях в программу на 2022 год упомянутых ранее стандартов, заключении договоров на редакции стандартов и т.д.
Отчет ТК 362 за II квартал
На сайте ФСТЭК России опубликованы Сведения о принятых национальных и международных стандартах за II квартал 2022 года.Документ содержит сведения о принятых с апреля по июнь 2022 года национальных и международных стандартах в области защиты информации, а также об основных направлениях работ в рамках деятельности Международной организации по стандартизации (далее ‑ ИСО) и Международной электротехнической комиссии (далее ‑ МЭК) по совершенствованию международной системы стандартов в области защиты информации.
Согласно сведениям, во II квартале национальные стандарты в области защиты информации Росстандартом не утверждались. При этом ИСО и МЭК утверждены три международных стандарта в указанной области:
- ISO/IEC TR 22216:2022 «Информационная безопасность, компьютерная безопасность и обеспечение конфиденциальности. Новые принципы и изменения в положениях ISO/IEC 15408:2022 и ISO/IEC 18045:2022» («Information security, cybersecurity and privacy protection – New concepts and changes in ISO/IEC 15408:2022 and ISO/IEC 18045:2022»);
- ISO/IEC 27036-2:2022 «Компьютерная безопасность. Взаимоотношения с поставщиками. Часть 2. Требования» («Cybersecurity – Supplier relationships – Part 2: Requirements»);
- ISO/IEC 27400:2022 «Компьютерная безопасность. Обеспечение безопасности и конфиденциальности идентификационных данных для Интернета вещей. Рекомендации» («Cybersecurity – IoT security and privacy – Guidelines»).
Взаимодействие с ТК 480
В рамках взаимодействия с техническим комитетом по стандартизации «Связь» (ТК 480) членами ТК 362 была рассмотрена первая редакция национального стандарта ГОСТ Р «Эксплуатация и управление сетями связи общего пользования в целях обеспечения целостности и устойчивого функционирования. Общие требования».По результатам рассмотрения ТК 362 сделан вывод о том, что проект не уделяет должного внимания вопросам обеспечения безопасности информации. Для устранения этого недостатка комитет рекомендовал учесть положения законодательства РФ в области защиты КИИ или сослаться на нормативную и методическую базу в этой области.
Письмо о результатах рассмотрения и отзывы организаций-членов ТК 362 опубликованы на сайте ФСТЭК России.
Изменения в КоАП и УК РФ
Ужесточение наказаний за распространение государственной тайны (и не только)Официально опубликован Федеральный закон от 14.07.2022 № 260-ФЗ«О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации».
Федеральный закон вводит в Уголовный кодекс Российской Федерации (далее – УК РФ) ряд статей, предусматривающих наказания за незаконное использование и (или) перемещение сведений, составляющих государственную тайну (далее – ГТ), нарушение требований законодательства РФ о защите ГТ и незаконное использование технических средств защиты:
Статья УК РФ | Нарушение | Ответственность |
ст. 274.2 (ч.1) | Нарушение правил использования технических средств противодействия угрозам сети «Интернет» и сети связи общего пользования на территории РФ (в т.ч. несоблюдение технических условий при их установке или требований к сетям связи) | Штраф до 1,5 млн. руб (или в размере дохода в срок до 18 месяцев) Исправительные работы до 1 года Принудительные работы или лишение свободы до 3 лет |
ст. 274.2 (ч.2) | Нарушение требований к пропуску трафика через технические средства противодействия угрозам сети "Интернет" и сети связи общего пользования | |
ст. 276 | Шпионаж (совершенный иностранным гражданином или лицом без гражданства): · передача, сбор, хищение, хранение сведений, составляющих ГТ, с целью их передачи международной или иностранной организации; · сбор иных сведений по поручению иностранных организаций с целью их использования против Вооруженных сил | Лишение свободы до 20 лет |
ст. 283.2 (ч.1) | Выезд за пределы РФ гражданина, имеющего (имевшего) допуск к ГТ, право которого на выезд из Российской Федерации заведомо для него ограничено Незаконное перемещение/пересылка носителей, содержащих ГТ за пределы РФ | Штраф до 700 т.р. (или в размере дохода до 3 лет) Лишение свободы до 7 лет с лишением права занимать определенные должности до 3 лет Конфискация имущества |
Штрафы за нарушение запрета на сбор персональных данных (и не только)
В июле Президент РФ подписал Федеральный закон от 14.07.2022 №259-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».Закон вводит новые статьи (и части статей) в Кодекс Российской Федерации об административных правонарушениях (далее – КоАП РФ), предусматривающие ответственность за нарушение запрета на сбор ПДн граждан РФ иностранным лицом в сети «Интернет», а также административную ответственность за нарушение правил пропуска трафика через технические средства противодействия угрозам (не предусмотренное в УК РФ) и другое:
Статья КоАП РФ | Нарушение | Ответственность |
ст. 13.42 | Нарушение требований к пропуску трафика через технические средства противодействия угрозам сети "Интернет" и сети связи общего пользования (все, что не предусмотрено ст. 274.2 УК РФ) | Штраф до 200 тысяч руб. (для должностных лиц) Штраф до 5000 тысяч руб. (для индивидуальных предпринимателей) Штраф до 5 млн. руб. (для юридических лиц) |
19.52 (ч.1-2) | Нарушение иностранным юридическим лицом/организацией, иностранным гражданином или лицом без гражданства (далее – иностранное лицо), осуществляющими деятельность в сети «Интернет» на территории РФ, запрета Роскомнадзора на сбор ПДн граждан РФ | Штраф до 300 тысяч руб. (для граждан) Штраф до 1 млн. руб. (для должностных лиц) Штраф до 18 млн. руб. (для юридических лиц) |
19.710 (ч.12) | Непредставление, несвоевременное представление или представление недостоверных сведений, позволяющих идентифицировать владельца информационного ресурса иностранного лица, осуществляющего деятельность в сети «Интернет» на территории РФ, лицом, обеспечивающим размещение информационного ресурса в сети "Интернет" в Роскомнадзор | Штраф до 30 тысяч руб. (для граждан) Штраф до 300 тысяч руб. (для юридических лиц) |
19.710 (ч.13) | Непредставление, несвоевременное представление или представление недостоверных сведений, необходимых для ведения перечня иностранных лиц, осуществляющих деятельность в сети «Интернет» на территории РФ, иностранным лицом | Штраф до 50 тысяч руб. (для граждан) Штраф до 700 тысяч руб. (для юридических лиц) |
Изменения для кредитных финансовых организаций
Банком России официально опубликовано Указание от 18.02.2022 №6071-У«О внесении изменений в Положение Банка России от 17 апреля 2019 года № 683‐П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».Указание вносит изменения в части требований к программному обеспечению, распространяемому клиентам в целях совершения банковских операций. Ранее, если ПО не сертифицировано в системе ФСТЭК России, допускалось проведение в отношении такого ПО анализа уязвимостей по оценочному уровню доверия не ниже 4 (ОУД 4). Для его проведения необходимо было привлекать организацию-лицензиата ФСТЭК России.
Сейчас, если ПО не сертифицировано, необходимо проведение оценки соответствия по уровню не ниже ОУД 4. При этом такую оценку можно проводить как самостоятельно, так и с привлечением лицензиата ФСТЭК России.
Если же кредитная финансовая организация (системно значимая или значимая на рынке платежных услуг) принимает решение о сертификации ПО – необходимо получение сертификата соответствия требованиям ФСТЭК России не ниже 4 уровня доверия, если это ПО, используемое для перевода денежных средств (указанного в п.1.2 Положения Банка России №719-П), и не ниже 5 уровня доверия в остальных случаях. Напомним, что требования к уровням доверия утверждены приказом ФСТЭК России №76 (для служебного пользования).
К требованиям о технологиях обработки защищаемой информации добавляются:
- необходимость идентификации устройств клиентов при использовании удаленного доступа для совершения банковских операций;
- двойной контроль при проверке правильности формирования электронного сообщения;
- входной контроль посредством проверки правильности заполнения полей и принадлежности электронной подписи её владельцу;
- контроль дублирования электронного сообщения.
- детализированы требования к использованию электронной подписи и других средств криптографической защиты электронных сообщений;
- вводится требование подтверждать адрес электронной почты клиента;
- необходимо введение ограничений на совершение всех или определенных видов операций или ограничение максимальной суммы банковской операции клиентам, совершающих операции удаленно с использованием сети «Интернет»;
- необходимо будет уведомлять Банк России в том числе о сайтах в сети «Интернет», которые используются для осуществления банковской деятельности;
- в явном виде указывается необходимость соблюдения требования Федерального закона от 26.07.2017 №187 «О безопасности критической информационной инфраструктуры» для организаций, являющихся субъектами КИИ.
Обзор изменений законодательства за июль 2022
В обзоре за июль 2022 года рассмотрим: ряд изменений в области защиты персональных данных, в том числе реформа 152-ФЗ, размещение биометрических персональных данных в единой биометрической системе и...
habr.com