Обзор изменений в законодательстве за декабрь 2022

В обзоре изменений за декабрь 2022 года рассмотрим: новые формы уведомлений в Роскомнадзор, ответственность за нарушение правил предоставления сведений о категорировании, порядок взаимодействия операторов персональных данных с ГосСОПКА, закон о единой биометрической системе, перечень субъектов, на которых распространяются требования о защите информации в платежной системе, изменения в списке контрольных вопросов для проверок в области обработки персональных данных, запрет на передачу персональных данных через иностранные мессенджеры, порядок взаимодействия с Роскомнадзором по поводу инцидентов ИБ с ПДн, проекты приказов ФСТЭК России по лицензированию видов деятельности, нормотворческие планы ФСТЭК России на 2023 год, результаты работы ТК 362 и другие новости.

Изменения в правила категорирования

Официально опубликовано постановление Правительства Российской Федерации от 20.12.2022 №2360 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127».

Аналитический центр УЦСБ в конце 2022 года уже опубликовал подробные комментарии к этим изменениям. Из основного:

Более подробно об этих изменениях в комментариях аналитического центра УЦСБ.

Центры ГосСОПКА: переходный период в рамках исполнения Указа Президента № 250

Официально опубликован приказ Федеральной службы безопасности Российской Федерации (далее ‑ ФСБ России) от 01.11.2022 № 543 «Об определении переходного периода, предусмотренного подпунктом «б» пункта 5 Указа Президента Российской Федерации от 1 мая 2022 г. № 250», устанавливающий трехлетний переходный период, в течение которого центрам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА) допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах субъектов КИИ на основании заключенных с Национальным координационным центром по компьютерным инцидентам (далее – НКЦКИ) соглашений о сотрудничестве.

По истечении этого трехлетнего периода, согласно Указу Президента Российской Федерации (далее – РФ) от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», для проведения таких работ организации смогут подключать только аккредитованные центры ГосСОПКА.

Предполагается, что за время переходного периода ФСБ России разработает необходимую нормативную правовую базу и проведет аккредитацию центров ГосСОПКА.

Штраф за нарушение правил предоставления сведений о категорировании

Официально опубликован Федеральный закон от 19.12.2022 № 518-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», который вносит поправки в статьи 19.7.15 и 23.90 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ), устанавливающие административную ответственность за предоставление недостоверных сведений о результатах категорирования объектов КИИ во ФСТЭК России.

Размер штрафов аналогичен наказанию за непредставление или несвоевременную подачу данных в регулирующий орган:

Также введены административные штрафы за повторные нарушения. Должностным лицам в этом случае придется заплатить от 50 тысяч до 100 тысяч рублей, юридическим лицам — от 100 тысяч до 200 тысяч рублей.

Такие изменения продиктованы практическим опытом проведения мероприятий в рамках государственного контроля ФСТЭК России, в результате которых обнаружены случаи представления недостоверных сведений о результатах категорирования объектов КИИ, а также случаи непредставления актуализированных сведений.

Федеральный закон вступил в силу с 19 декабря 2022 года.

Президента РАН включили в состав комиссии по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ

Опубликован Указ Президента Российской Федерации от 26.12.2022 № 954 «О внесении изменения в состав Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации по должностям, утвержденный Указом Президента Российской Федерации от 14 апреля 2022 г. № 203».

В соответствии с данным Указом в Межведомственную комиссию Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ, в состав которой входят заместитель Председателя Совета Безопасности РФ, заместители Председателя Правительства РФ, министры некоторых ведомств, директора Росгвардии, ФСБ России, ФСТЭК России, гендиректора Госкорпораций «Росатом», «Роскосмос», «Ростех» и другие участники, внесен Президент Российской академии наук.

Указ вступил в силу с 26 декабря 2022 года.

Формы уведомления в Роскомнадзор

Опубликован приказ Роскомнадзора от 28.10.2022 № 180 «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о прекращении обработки персональных данных».

Напомним, что с 1 сентября 2022 года изменились требования к обработке персональных данных (далее – ПДн), в том числе была закреплена обязательность уведомления о начале и прекращении обработки ПДн, а также об изменении ранее представленных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) сведений.

Приказ содержит формы уведомлений:

1. О намерении осуществлять обработку ПДн:

2. О внесении изменений в ранее представленные сведения. Форма содержит поля уведомления о намерении осуществлять обработку ПДн (заполнять необходимо только те поля, в которых изменились данные), а также поле для указания оснований внесения изменений.

3. О прекращении обработки ПДн. Содержит основную информацию об операторе ПДн, основания исключения его из реестра и дату прекращения обработки ПДн.

На сайте Роскомнадзора размещены примеры заполнения уведомлений и электронные формы.

Реестр инцидентов Роскомнадзора: порядок взаимодействия

Официально опубликован приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».

Приказом утвержден порядок направления операторами ПДн уведомления об инцидентах в области ПДн и содержание первичного (о наступлении инцидента) и дополнительного (о результатах расследования и ликвидации последствий) уведомлений.

В первичном уведомлении указываются сведения:

Кроме того, в уведомлении приводятся данные оператора, направившего уведомление. Если на момент направления первичного уведомления оператор располагает сведениями о результатах внутреннего расследования выявленного инцидента, он вправе указать такие сведения в первичном уведомлении.

В дополнительном уведомлении указываются сведения:

Уведомления можно направить на бумажном носителе по адресу Роскомнадзора или в электронном виде путем заполнения формы на портале ПДн Роскомнадзора.

Приказ вступает в силу с 1 марта 2023 года.

Порядок взаимодействия операторов ПДн с ГосСОПКА

ФСБ России представила для общественного обсуждения проект приказа ФСБ России «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных».

Проект постановления определяет порядок информирования о компьютерных инцидентах, которые привели к утечке ПДн, и взаимодействия операторов ПДн с ГосСОПКА через НКЦКИ.

Согласно проекту, выделяются две группы операторов:

ФСТЭК России, а также операторы, являющиеся субъектами КИИ, должны будут направлять информацию о компьютерных инцидентах в течение ‎24 часов с момента их обнаружения в соответствии с Перечнем информации, представляемой в ГосСОПКА и Порядком представления информации в ГосСОПКА, утвержденными приказом ФСБ России от 24.07.2018 № 367.

Остальные операторы должны будут направлять соответствующую информацию в порядке, описанном ранее:

Согласно проекту, в НКЦКИ будет предусмотрено подтверждение передачи операторами информации ‎о компьютерных инцидентах путем присвоения им идентификаторов. Также для операторов планируется предусмотреть возможность обратиться в НКЦКИ для оказания содействия в реагировании на выявленный компьютерный инцидент и привлечения сил ГосСОПКА.

В случае необходимости проверки сведений о компьютерном инциденте, НКЦКИ может направлять запросы о ее проведении. Операторы должны будут проинформировать НКЦКИ о результатах проверки в течение 24 часов с момента получения указанных запросов.

Документ планируется принять к 1 марта 2023 года. Общественное обсуждение завершилось 13 января 2023 года.

Внеплановые проверки организации обработки ПДн

Опубликован проект постановления Правительства «О внесении изменений ‎в некоторые акты Правительства Российской Федерации», который подготовлен в целях предотвращения проблем, связанных ‎с массовыми утечками ПДн.

Проект постановления позволяет Роскомнадзору, при условии согласования с органами прокуратуры, осуществлять внеплановые проверки порядка обработки ПДн. Проверки могут осуществляться в отношении операторов ПДн, в том числе являющихся аккредитованными компаниями в области информационных технологий, если будет установлен факт утечки баз ПДн, имеющих признаки принадлежности данному оператору ПДн.

Общественное обсуждение проекта завершилось 28 декабря 2022 года.

Перечень случаев осуществления трансграничной передачи ПДн, при которых не применяются отдельные положения 152-ФЗ

Официально опубликовано постановление Правительства Российской Федерации от 29.12.2022 № 2526 «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей, не применяются требования частей 3 - 6, 8 - 11 статьи 12 Федерального закона «О персональных данных».

В постановлении определен перечень случаев, когда к операторам, осуществляющим трансграничную передачу ПДн, не применяются требования:

В частности, к таким случаям относятся:

Постановление вступает в силу с 1 марта 2023 года.

Запрет на передачу ПДн через иностранные мессенджеры

Опубликован Федеральный закон от 29.12.2022 № 584-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации», который запрещает при оказании государственных и муниципальных услуг организациям с государственными участием, а также финансовым организациям использовать иностранное программное обеспечение (далее – ПО) обмена электронными сообщениями (мессенджеры, социальные сети и т.д.) для:

Также Федеральный закон накладывает запрет на подключение платежных систем к иностранным мессенджерам. Перечень запрещенного ПО будет определен Роскомнадзором.

Поправки вступают в силу с 1 марта 2023 года.

Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных

Опубликовано Постановление Правительства Российской Федерации от 29.12.2022 № 2511 «О Координационном совете по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных».

Согласно Постановлению будет образован Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических ПДн (далее – Координационный совет), в состав которого войдут представители Администрации Президента РФ, Министерства цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры РФ), ФСБ России, Роскомнадзора, Центрального банка РФ, ПАО «Ростелеком» и АО «Центр Биометрических Технологий». Также на заседания Координационного совета для участия в обсуждении вопросов могут быть приглашены эксперты из числа представителей федеральных органов исполнительной власти, органов государственной власти субъектов РФ, органов местного самоуправления, представителей общественных, некоммерческих и иных организаций.

Координационный совет будет определять стратегические направления развития биометрических технологий и ЕБС, а также готовить предложения по внедрению ЕБС в различные сферы правоотношений. Также в полномочия Координационного совета будет входить разработка предложений по совершенствованию биометрических технологий, унификации требований к инфраструктуре обработки ПДн с применением биометрических технологий в целях предоставления государственных и муниципальных услуг, а также иных услуг, в том числе в дистанционном формате.

Постановлением также утверждается ролевой состав, структура Координационного совета и порядок организации работы.

Закон о ЕБС

Официально опубликован Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

Согласно закону, единая биометрическая система (далее – ЕБС) предназначена для идентификации и (или) аутентификации физических лиц государственными органами, органами местного самоуправления, Центральным банком РФ, банками, иными кредитными организациями, а также некредитными финансовыми организациями, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке, а также в иных в случаях, установленных законодательством.

Закон предусматривает широкий спектр применения ЕБС. Так идентификация и (или) аутентификация физического лица с использованием ЕБС (за исключением региональных сегментов) и единой системы идентификации и аутентификации является действием, равнозначным предъявлению документов, удостоверяющих личность.

С 1 июня 2023 года ЕБС может использоваться при проходе на территории организаций, в том числе организаций оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры или к субъектам КИИ, совершение террористического акта на которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями согласно категорированию. Также предусмотрена возможность использования регионального сегмента ЕБС при проходе на территории ряда других организаций.

До 1 сентября 2024 года действие настоящего Федерального закона будет распространяться на виды биометрических ПДн, соответствующие всем или только одному из видов, размещаемых в ЕБС:

С 1 сентября 2024 года действие закона будет распространяться на виды биометрических ПДн, которые будут определены Правительством РФ по согласованию с ФСБ России и Координационным советом.

Помимо этого возможна обработка биометрических ПДн с целью идентификации физических лиц без использования ЕБС при:

Законом определен порядок взаимодействия физического лица с ЕБС – закреплена возможность физического лица предоставить согласие на обработку данных в ЕБС, ознакомиться с ранее предоставленными согласиями, отозвать согласия, направить оператору ЕБС требование о блокировании, об удалении, уничтожении биометрических ПДн или векторов ЕБС.

Предоставление физическими лицами своих биометрических ПДн в ЕБС не может быть обязательным, а отказ от предоставления ПДн в ЕБС не может служить основанием для отказа в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приеме на обслуживание.

Определен порядок действий для аккредитации организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц. Для прохождения аккредитации необходимо обеспечить:

Законом запрещается идентификация и аутентификация физических лиц с использованием биометрических ПДн, если для этого необходима трансграничная передача этих ПДн, за исключением аутентификации, осуществляемой аккредитованными госорганами или Центральным банком РФ (в случае прохождения им аккредитации).

Закон предусматривает создание, развитие, модернизацию и эксплуатацию региональных сегментов ЕБС, операторами которых могут стать органы исполнительной власти субъекта РФ, а также подведомственные им госучреждения или государственные унитарные предприятия, являющиеся владельцами технических средств и программ, предназначенных для обработки биометрических ПДн и векторов ЕБС, используемых в региональном сегменте ЕБС.

Государственный контроль в сфере идентификации и аутентификации осуществляет Минцифры РФ в соответствии с постановлением Правительства Российской Федерации от 11.10.2021 № 1729 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации» путем осуществления учета объектов контроля, управления рисками, проведения инспекционных визитов, документарных и выездных проверок.

Запрещена обработка биометрических ПДн вне ЕБС в информационных системах организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов, за исключением обработки данных для размещения в ЕБС в соответствии с требованиями федеральных законов.

Обработка биометрических ПДн в информационных системах организации допускается с использованием векторов ЕБС при:

Обработка ПДн в ГИИС ДМДК

Министерство финансов РФ (далее – Минфин России) представило для общественного обсуждения проект Условий и порядка обработки персональных данных субъектов персональных данных в связи с осуществлением Минфином России функций оператора государственной интегрированной информационной системы в сфере контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них (ГИИС ДМДК) на всех этапах этого оборота.

Согласно проекту в связи с осуществлением Минфином России функций оператора ГИИС ДМДК к субъектам ПДн, чьи данные обрабатываются в ГИИС ДМДК, относятся следующие субъекты, осуществляющие операции с драгоценными металлами и драгоценными камнями и состоящие на специальном учете:

В рамках деятельности по учету драгоценных металлов, камней и изделий из них могут обрабатываться следующие ПДн граждан РФ, иностранных граждан и лиц без гражданства:

Обработку ПДн, необходимых в связи с внесением в ГИИС ДМДК сведений о ювелирных и других изделиях из драгоценных металлов или камней, предлагается осуществлять без согласия субъектов ПДн.

Общественное обсуждение документа завершилось 26 декабря 2022 года.

Изменения в списке контрольных вопросов для проверок в области обработки ПДн

Подготовлен проект поправок в приказ Роскомнадзора от 24.12.2021 № 253 «Об утверждении формы проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами».

Согласно проекту приказа изменения в перечне контрольных вопросов связаны с вступлением ряда изменений в Федеральный закон от 27.07.2006 № 152 «О персональных данных» (далее – 152-ФЗ) на основании Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», в частности изменения затронут вопросы о:

Также список дополнится вопросами, которые касаются соблюдения требований по:

Общественное обсуждение завершилось 27 декабря 2022 года.

Новые полномочия Роскомнадзора по привлечению к ответственности без проверок

29 декабря вступил в силу Федеральный закон от 29.12.2022 № 625-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», согласно которому Роскомнадзор сможет на основании результатов мониторинга информационных ресурсов, средств массовой информации и других источников привлекать к ответственности за нарушения законодательства.

Принятие мер о привлечении к ответственности по итогам мониторинга будет проводиться при обнаружении нарушений без проведения проверок и непосредственного взаимодействия с владельцем объекта проверки.

В частности, к ответственности за нарушения в области ПДн могут привлечь по следующим статьям КоАП РФ:

Также в законе упоминается ряд других статей КоАП РФ, по которым Роскомнадзор может привлечь физических и юридических лиц, средства массовой информации, вещателей или издателей информации к административной ответственности без проведения проверок.

Также изменениями предусмотрен штраф за непредоставление операторами связи Роскомнадзору информации, необходимой для осуществления мониторинга.

Расширен перечень субъектов, на которых возлагаются требования о защите информации в платежной системе

Официально опубликовано постановление Правительства Российской Федерации от 08.12.2022 № 2250 «О внесении изменения в Положение о защите информации в платежной системе».

Изменениями расширен перечень операторов, на которых распространяются требования по защите информации в платежной системе. Перечень в новой редакции включает:

Профессиональная тайна в ведении Главного управления специальных программ Президента РФ и ее защита

Опубликован приказ Главного управления специальных программ Президента РФ от 22.10.2022 № 163 «Об установлении перечня информации об отнесенных к ведению Главного управления специальных программ Президента Российской Федерации пунктах управления государством и Вооруженными Силами Российской Федерации, иных специальных объектах мобилизационного назначения и объектах их инфраструктуры, составляющей профессиональную тайну, а также требований к защите данной информации».

Приказом определен перечень сведений о пунктах управления государством и Вооруженными Силами РФ, иных специальных объектах мобилизационного назначения и объектах их инфраструктуры, составляющих профессиональную тайну. Среди них есть сведения о мероприятиях в сфере информационной безопасности (далее – ИБ), например:

Также приказом устанавливаются требования к защите таких сведений, в частности, лица, имеющие допуск к указанным сведениям, должны выполнять ряд мероприятий по их защите, в том числе своевременно обнаруживать факты несанкционированного доступа к информации. Помимо этого на документах, отнесенных к указанному перечню, необходимо проставлять пометку «Для служебного пользования».

Культура информационной безопасности граждан

Официально опубликовано распоряжение Правительства Российской Федерации от 22.12.2022 № 4088-р, которым утверждается Концепция формирования и развития культуры ИБ граждан РФ (далее – Концепция).

Концепция содержит описание двух основных типов угроз безопасности – с технической точки зрения и психологической.

С технической точки зрения угрозы подразумевают под собой утечки ПДн, нарушение работоспособности информационных систем и иные, с психологической – травлю в сети «Интернет», распространение «фейков» и вредоносного контента.

В Концепции также определены основные задачи, направленные на формирование культуры ИБ и противодействие угрозам ИБ:

Особое внимание предлагается уделить людям в возрасте до 18 лет и после 45, как наиболее уязвимым категориям граждан.

Порядок лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации

Для общественного обсуждения представлен проект Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации.

Данный проект приказа отменяет действующий приказ ФСТЭК России от 17.07.2017 № 133 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации» и излагает процедуры осуществления лицензирования деятельности в новой редакции. Порядок подачи сведений для получения лицензии и перечень сведений не претерпели серьезных изменений, однако, в самом регламенте были исключены все положения, в которых получение лицензии представлено как процесс предоставления государственной услуги. Основанием для таких изменений является вступление в силу с 03.02.2023 пункта 7 части 2.3 статьи 1 Федерального закона от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (далее – 210-ФЗ), в соответствии с которым устанавливается, что виды деятельности, осуществляемые ФСТЭК России, не являются предоставлением государственных и муниципальных услуг.

Также в проекте приказа утверждаются формы, необходимые для подачи заявления о предоставлении лицензии, иных документов, используемых при лицензировании деятельности. Утверждаемые формы также не претерпели серьезных изменений, лишь некоторые формулировки были раскрыты с целью уточнения требований.

Общественное обсуждение проекта завершилось 27 декабря 2022 года.

Порядок лицензирования деятельности по технической защите конфиденциальной информации

Руководствуясь изменениями в 210-ФЗ, описанными выше, ФСТЭК России для общественного обсуждения представлен проект Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по технической защите конфиденциальной информации.

Проект приказа ФСТЭК России отменяет действующий приказ ФСТЭК России от 17.07.2017 № 134 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации». В проекте изложены процедуры осуществления лицензирования деятельности в новой редакции с небольшими корректировками и уточнениями, а также исключены положения, касающиеся описания процесса получения лицензии как предоставления государственной услуги.

Общественное обсуждение завершилось 27 декабря 2022 года.

Регламенты лицензионной деятельности ФСТЭК России

С учетом указанных ранее оснований были представлены на обсуждение проекты приказов ФСТЭК России по обновлению регламентов осуществления функции по лицензированию деятельности:

Оба проекта включают образцы некоторых прежних документов:

В проектах исключена Форма Сведений о наличии аттестованных по требованиям безопасности информации АС, предназначенных для хранения и обработки конфиденциальной информации и добавлена новая форма для указания Перечня производственного, контрольно-измерительного, испытательного оборудования, средств защиты информации, средств контроля защищенности информации, средств контроля (анализа) исходных текстов ПО.

В проекты были добавлены формы ряда уведомлений, например, о необходимости устранения в тридцатидневный срок выявленных нарушений и (или) представления документов, которые отсутствуют, о внесении изменений в реестр лицензий и другие, а также форма Акта оценки соответствия лицензионным требованиям.

Общественное обсуждение завершилось 28 декабря 2022 года.

ФСТЭК России в информационном письме «Об утверждении Требований по безопасности информации к средствам контейнеризации» сообщает, что указанный документ предназначен для организаций, осуществляющих разработку средств контейнеризации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.

Для дифференциации требований по безопасности информации к средствам контейнеризации устанавливается 6 классов защиты. Самый низкий класс – шестой, самый высокий – первый.

Документ определяет минимально необходимые требования по безопасности информации, предъявляемые к:

Сертификация средств контейнеризации осуществляется на соответствии Требованиями с 29 сентября 2022 года.

Также ранее была опубликована соответствующая выписка из Требований по безопасности информации к средствам контейнеризации, утвержденных приказом ФСТЭК России от 04.07.2022 № 118.

ГОСТы по управлению компьютерными инцидентами

Представлены официальные тексты ГОСТов по управлению компьютерными инцидентами:

Разработанные стандарты регламентируют процессы управления компьютерными инцидентами и предназначены для участников информационного обмена с ГосСОПКА.

ГОСТы введены в действие с 1 февраля 2023 года.

ГОСТ Р МЭК 63096 «Атомные электростанции. Системы контроля и управления и электроэнергетические системы. Меры информационной безопасности»

На сайте ФСТЭК России можно ознакомиться с проектом (первой редакцией) ГОСТ Р МЭК 63096 «Атомные электростанции. Системы контроля и управления и электроэнергетические системы. Меры информационной безопасности», разработанным техническим комитетом по стандартизации «Атомная техника», разработанным техническим комитетом по стандартизации «Атомная техника».

Стандарт идентичен стандарту международной электротехнической комиссии (далее – МЭК) 63096:2020 «Атомные электростанции. Системы контроля и управления и электроэнергетические системы. Меры обеспечения информационной безопасности» и предназначен для использования при проектировании систем контроля и управления для новых атомных электростанций (далее – АЭС) и при их модернизации и модификации для существующих АЭС. Также он может применяться и к другим типам ядерных объектов.

Стандарт разрабатывается в связи с отсутствием отечественных стандартов на основе стандартов МЭК, а также с целью унификации требований к системам контроля и управления.

Также в стандарте рассматриваются датчики, исполнительные механизмы и электрические системы, относящиеся к контуру систем контроля и управления. В стандарте определяются меры обеспечения ИБ для управления доступом и физической защиты систем контроля и управления атомных электростанций и электрических систем от кибератак.

Рассмотрение первой редакции стандарта руководителями организаций-членов ТК 362 завершилось 20 января 2023 года.

Профессиональный стандарт «Специалист по ИБ в кредитно-финансовой сфере»

Официально опубликован приказ Министерства труда и социальной защиты Российской Федерации от 28.11.2022 № 739н «Об утверждении профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере», содержащих описание трудовых функций специалистов:

Стандарт описывает необходимые знания и умения, возможные наименования должностей, профессий, а также требования к условиям работы, допуску, образованию и иное.

Приказ вступает в силу с 1 сентября 2023 года.

О ходе работ на 26.12.2022

На сайте ФСТЭК России опубликована Справка-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (ТК 362) на 2022 год (по состоянию на 26.12.2022).

Согласно справке:

1. Разработана и представлена на рассмотрение заместителю председателя технического комитета по стандартизации «Защита информации» (далее – ТК 362) первая редакция проекта стандарта ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества». В феврале 2023 года планируется представить ее председателю ТК 362 для принятия решения об организации публичного обсуждения.

2. ООО «ЦБИ» проводит работы по разработке окончательной редакции проектов следующих национальных стандартов:

3. АО «НПО «Эшелон» проводятся работы по разработке окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по оценке безопасности разработки программного обеспечения».

4. АО «Аладдин Р.Д.» проводятся работы по разработке окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации».

Для утверждения председателю ТК 362 представлен план работы ТК 362 на 2023 год, а также укрупненный план-график работы ТК 362 на 2023 год.

Отчет ТК 362 за 2022 год

Председателю ТК 362 и в Федеральное агентство по техническому регулированию и метрологии (далее – Росстандарт) представлен отчет о результатах деятельности ТК 362 за 2022 год.

За 2022 год:

Нормотворческие планы ФСТЭК России на 2023 год

Представлен План разработки ФСТЭК России нормативных правовых актов на 2023 год. Многие проекты относятся к лицензированию деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации, которые уже упоминались выше. Также представлен проект указа Президента РФ «Об утверждении Положения о государственной системе защиты информации в Российской Федерации» и ряд проектов приказов ФСТЭК России: