Обзор изменений в законодательстве за январь 2023

В обзоре изменений за январь 2023 года рассмотрим: положение о государственной системе защиты информации, порядок запрещения или ограничения трансграничной передачи персональных данных, государственный контроль в единой биометрической системе, порядок оформления отказа от предоставления биометрических данных, аккредитация на право владения информационными системами с использованием векторов единой биометрической системы, изменения в рамках стандартизации в области информационной безопасности и другое.

Положение о государственной системе защиты информации

Государственная система защиты информации (далее – ГСЗИ) создается в целях организации равнопрочной защиты информации, являющейся государственным ресурсом, а также с целью формирования единой организационной системы, функционирующей на общих правилах на федеральном, межрегиональном, региональном, ведомственном и объектовом уровнях на основе уже существующих структурных единиц, таких как:

  • Федеральная служба по техническому и экспортному контролю РФ (далее – ФСТЭК России);
  • Федеральная служба безопасности РФ (далее – ФСБ России);
  • подразделения по защите информации федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, местного самоуправления и т.д.;
  • научные организации по проблемам защиты информации;
  • организации, осуществляющие создание средств защиты информации;
  • организации, выполняющие работы и (или) оказывающие услуги в области защиты информации;
  • органы по сертификации и испытательные центры (лаборатории), проводящие работы по сертификации (сертификационные испытания) средств защиты информации;
  • организации, осуществляющие подготовку кадров в области защиты информации и т.д.

Среди основных направлений деятельности ГСЗИ:

  • проведение единой политики в области защиты информации;
  • координация деятельности участников системы на уровнях от объектового до федерального;
  • прогнозирование, выявление и оценка угроз безопасности информации;
  • обеспечение целостности и конфиденциальности обрабатываемой информации;
  • создание и внедрение способов и методов защиты информации;
  • контроль обеспечения защиты информации;
  • подготовка кадров в области защиты информации.

ГСЗИ создается как комплексная организационная структура с распределенными зонами ответственности. Так, деятельность ГСЗИ организует ФСТЭК России во взаимодействии с ФСБ России.

В свою очередь, органы и организации реализуют общие политики защиты информации в ГСЗИ в зоне своей ответственности (в т.ч. в подведомственных организациях).

В формировании предложений по разработке и внедрению новых способов защиты, исследовании и прогнозировании угроз безопасности информации, формировании требований к средствам защиты и прочих исследовательских направлениях ГСЗИ активное участие принимают научные организации.

Уполномоченные федеральные органы исполнительной власти в пределах полномочий осуществляют методическое руководство деятельностью по подготовке, профессиональной переподготовке, повышению квалификации специалистов в области защиты информации.

Устанавливается также ответственность за координацию деятельности в области защиты информации на каждом уровне. Так на федеральном уровне координацию осуществляет Межведомственная комиссия Совета безопасности РФ.

Согласно проекту, ГСЗИ функционирует во взаимодействии с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА).

В область действия положения входят только организации, получившие на законных основаниях право доступа к информации, являющейся государственным ресурсом.

Согласно пояснительной записке, проект согласован с ФСБ России, Министерством обороны РФ и Службой внешней разведки РФ. Обсуждение проекта завершилось 6 февраля.

Положение о государственном контроле (ЕБС)

Проектом предлагаются следующие изменения:

  • уточнить терминологию в соответствии с 572-ФЗ, в том числе описание предмета государственного контроля;
  • исключить плановые контрольные мероприятия в отношении объектов контроля, отнесенных к категории низкого риска;
  • скорректировать описание критериев отнесения объектов федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации к категориям риска причинения вреда (ущерба) охраняемым законом ценностям (в описании всех групп тяжести предлагается оставить только осуществление аутентификации).

Обсуждение проекта завершилось 3 февраля.

Напомним, что в соответствии с 572-ФЗ Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) наделено полномочием по осуществлению контроля и надзора в сфере идентификации и (или) аутентификации не только в отношении аккредитованных организаций, осуществляющих аутентификацию на основе биометрических персональных данных (далее – ПДн) физических лиц, и аккредитованных государственных органов, но и в отношении Центрального банка Российской Федерации в случае прохождения им аккредитации. Кроме того, в 572-ФЗ установлен запрет на осуществление идентификации с использованием любых иных информационных систем, помимо единой биометрической системы (далее – ЕБС).

Правила принятия решения о запрещении или об ограничении трансграничной передачи ПДн

На основании уведомлений операторов ПДн

Постановлением утверждается порядок рассмотрения уведомлений операторов о намерении осуществлять трансграничную передачу ПДн и принятия решения о запрещении или об ограничении такой передачи в целях защиты нравственности, здоровья, прав и законных интересов граждан (ч.8 ст.12 152-ФЗ, редакция с 01.03.2023). Общий порядок и сроки взаимодействия операторов ПДн с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзором) в рамках принятия решения приведен на схеме.

Общий срок рассмотрения уведомлений не должен превышать 10 рабочих дней. В этот срок не входит время, в течение которого рассмотрение уведомления может быть приостановлено (при необходимости запроса дополнительных или недостающих сведений).

Если уточнение оператором уведомления требует направления запроса органам власти иностранного государства, иностранным физическим или юридическим лицам – срок корректировки уведомления оператором может быть продлен не более, чем на 5 рабочих дней.

Роскомнадзор вправе принять решение о запрещении трансграничной передачи ПДн в случаях, если:

  • не обеспечивается безопасность ПДн и (или) не определены условия прекращения обработки ПДн при такой передаче;
  • иностранное лицо, которому передаются ПДн, является организацией, деятельность которой запрещена или признана нежелательной на территории РФ;
  • трансграничная передача и дальнейшая обработка не соответствует заявленным целям обработки ПДн;
  • нарушены условия обработки ПДн, предусмотренные ст.6 152-ФЗ.

Роскомнадзор вправе принять решение об ограничении трансграничной передачи ПДн в случаях, если содержание и объем передаваемых ПДн или состав категорий субъектов ПДн не соответствуют заявленным целям обработки.

До получения такого решения или до истечения срока рассмотрения уведомления оператор вправе осуществлять трансграничную передачу в иностранные государства, обеспечивающие адекватную защиту ПДн (ч.10 ст.12 152-ФЗ, редакция с 01.03.2023). В остальных случаях оператор не вправе осуществлять трансграничную передачу до окончания рассмотрения уведомления.

Решение о запрещении или об ограничении трансграничной передачи может быть обжаловано в судебном порядке или вышестоящему должностному лицу Роскомнадзора.

Действие такого запрета распространяется только на трансграничную передачу, описанную в решении (ту, о которой уведомляет оператор). В случае получения решения о запрещении или об ограничении трансграничной передачи ПДн оператор вправе устранить выявленные недостатки и отправить повторное уведомление не ранее, чем через 10 рабочих дней.

Постановление вступает в силу с 1 марта.

По представлению федеральных органов исполнительной власти

Постановление утверждает правила принятия решения о запрещении или об ограничении трансграничной передачи ПДн на основании представлений уполномоченных федеральных органов исполнительной власти в рамках их полномочий (далее – уполномоченных органов) в целях:

  • защиты основ конституционного строя РФ и безопасности государства;
  • обеспечения обороны страны;
  • защиты экономических и финансовых интересов РФ.

Представления направляются уполномоченными органами в случаях выявления оснований, свидетельствующих о необходимости запрещения или ограничения трансграничной передачи ПДн.

Порядок принятия решения о запрещении или об ограничении трансграничной передачи ПДн и оповещения о принятых решениях указан на схеме.

Оператор, получивший уведомление о принятом решении, вправе устранить выявленные недостатки и направить обращение в уполномоченный орган, вынесший представление, о снятии запрета или ограничения, приложив подтверждающие материалы. Такое обращение рассматривается уполномоченным органом до 20 рабочих дней. При принятии положительного решения уполномоченный орган выносит представление о прекращении действия запретов или ограничений на трансграничную передачу ПДн и направляет соответствующее уведомление в Роскомнадзор.

Постановление вступает в силу с 1 марта.

Проект федерального закона об обезличивании ПДн

Президент РФ Владимир Путин утвердил перечень поручений по итогам конференции «Путешествие в мир искусственного интеллекта», состоявшейся 23–24 ноября 2022 года. Одно из поручений включает рекомендацию Государственной Думе Федерального Собрания РФ ускорить рассмотрение проекта федерального закона, устанавливающего порядок обезличивания ПДн.

Срок исполнения поручения – 15 июля.

Правила отказа от сбора и размещения биометрии

Для общественного обсуждения представлен проект постановления Правительства Российской Федерации «Об утверждении правил представления физическим лицом отказа ‎от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа, а также письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом такого отказа и отзыва такого отказа, форм отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа, а также письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом такого отказа и отзыва такого отказа».

Физическое лицо может представить отказ от предоставления данных или отзыв такого отказа при личном присутствии в многофункциональном центре предоставления государственных и муниципальных услуг (далее – МФЦ). Отказ или отзыв оформляются в письменном виде и подписываются физическим лицом собственноручно. Отказ или отзыв отказа в предоставлении ПДн несовершеннолетнего представляет его законный представитель. При этом необходимо предъявить документы:

  • удостоверяющий личность;
  • подтверждающий регистрацию в системе индивидуального (персонифицированного) учета (далее – СНИЛС);
  • подтверждающий, что физическое лицо является законным представителем несовершеннолетнего (при оформлении такого отказа или отзыва).

Подтверждение представления отказа или отзыва отказа от МФЦ выдается физическому лицу также в письменном виде, документ подписывается сотрудником МФЦ собственноручно. Далее в течение одного календарного дня МФЦ передает оператору ЕБС СНИЛС физического лица, представившего отказ или отзыв отказа, или несовершеннолетнего, в отношении которого представлен отказ или отзыв отказа. В свою очередь оператор ЕБС, получивший от МФЦ подтверждение представленного субъектом ПДн отказа в предоставлении биометрических данных в соответствии с ч.18 ст.3 572-ФЗ блокирует, удаляет, уничтожает биометрические ПДн и (или) векторы ЕБС и вправе продолжить обработку данных только после получения подтверждения об отзыве физическим лицом своего отказа.

Постановление утверждает формы отказа, отзыва отказа физических лиц, а также подтверждения МФЦ отказа или отзыва отказа в предоставлении данных.

После утверждения постановление вступит в силу с 1 июня. Общественное обсуждение проекта завершилось 2 февраля.

Аккредитация государственных органов и Центрального банка РФ

Для общественного обсуждения размещен проект постановления Правительства РФ «Об утверждении требований к государственным органам, Центральному банку Российской Федерации для прохождения ими аккредитации на право владения информационными системами, обеспечивающими аутентификацию физических лиц с использованием векторов единой биометрической системы, и (или) осуществления функций их операторов, правил прохождения такой аккредитации, основаниях ее приостановления и прекращения, а также требований к организациям, привлекаемым государственными органами, Центральным банком Российской Федерации для осуществления функций операторов информационных систем, обеспечивающих аутентификацию физических лиц с использованием векторов единой биометрической системы, и о признании утратившим силу постановления правительства Российской Федерации от 26 августа 2022 г. № 1498».

Для прохождения аккредитации государственные органы и Центральный Банк РФ (далее – ЦБ РФ) должны соответствовать ряду требований, среди которых:

  • применение мер по обеспечению безопасности ПДн в соответствии со 152-ФЗ;
  • наличие права собственности или вещного права на шифровальные (криптографические) средства, применяемые для осуществления аутентификации с использованием векторов ЕБС, имеющие подтверждение соответствия требованиям безопасности, а также наличие законного права на их использование;
  • наличие в штате не менее 2 работников, непосредственно осуществляющих эксплуатацию информационной системы, имеющих высшее образование в области информационных технологий или информационной безопасности;
  • обеспечение взаимодействия с ГосСОПКА;
  • использование для обработки ПДн программного обеспечения, включенного в единый реестр российского программного обеспечения;
  • использование для обработки ПДн баз данных, размещенных исключительно на территории РФ.

Проектом также предлагается ряд требований к организациям, привлекаемым государственными органами и ЦБ РФ в качестве операторов информационных систем, обеспечивающих аутентификацию физических лиц с использованием векторов ЕБС. Частично требования пересекаются с требованиями к государственным органам и ЦБ РФ для аккредитации, однако помимо прочего содержат:

1. наличие лицензии на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств;

2. организация не является иностранным юридическим лицом, а также юридическим лицом, в уставном (складочном) капитале которого доля участия иностранных юридических лиц превышает 49%;

3. соответствие требованиям к деловой репутации единоличного исполнительного органа, а также членов коллегиального исполнительного органа и (или) физических лиц;

4. отсутствие записи о недостоверности сведений о юридическом лице в едином государственном реестре юридических лиц;

5. в течение последних 3 лет отсутствует досрочное прекращение аккредитации;

6. а также требования к единоличному исполнительному органу:

  • гражданство РФ;
  • отсутствие сведений о причастности к экстремистской деятельности или терроризму;
  • отсутствие неснятой или непогашенной судимости;
  • отсутствие за последние 5 лет привлечения к уголовной ответственности за незаконное получение или разглашение сведений, составляющих государственную, коммерческую, банковскую или налоговую тайну.

Проектом также предлагается утвердить порядок прохождения государственными органами и ЦБ РФ аккредитации. Напомним, что такую аккредитацию осуществляет Минцифры России.

После утверждения постановление вступит в силу с 1 июня. Публичное обсуждение проекта завершилось 13 февраля.

Отмена административных регламентов ФСБ России

ФСБ России опубликовала ряд проектов приказов об отмене своих административных регламентов:

Проектом 01/02/01-23/00135151 предлагается отменить:

Проектом 01/02/01-23/00135067 предлагается отменить:

Общественное обсуждение проектов завершилось 1 февраля.

Рекомендации по обеспечению безопасной настройки операционных систем Linux

Документ содержит рекомендации по настройке операционных систем Linux. Рекомендации направлены на повышение защищенности информационных (автоматизированных) систем, построенных с использованием операционных систем Linux и включают описание выполнения процедур:

  • настройка авторизации в операционной системе;
  • ограничение механизмов получения привилегий;
  • настройка прав доступа к объектам файловой системы;
  • настройка механизмов защиты ядра Linux;
  • уменьшение периметра атаки ядра Linux;
  • настройка средств защиты пользовательского пространства со стороны ядра Linux.

Стандарты в области информационной безопасности

Криптографическая защита

С 1 января 2023 года введен в действие предварительный национальный стандарт Российской Федерации ПНСТ 799-2022 «Информационные технологии. Криптографическая защита информации. Термины и определения». Стандарт устанавливает термины и определения, применяемые при проведении работ по стандартизации в области криптографической защиты информации.

Рекомендации предназначены для проверки корректности реализации протокола безопасности транспортного уровня TLS 1.3, описанного в Р 1323565.1.030, с алгоритмами, определяемыми российскими государственными криптографическими стандартами. Документ содержит описание сценариев работы протокола, необходимых для проверки возможных режимов работы протокола, а также соответствующие данным сценариям контрольные примеры.

Документы разработаны в рамках работы технического комитета по стандартизации «Криптографическая защита информации» (ТК 26).

Уровни доверия идентификации

Стандарт устанавливает единообразную организацию процесса и правила идентификации и аутентификации субъектов и объектов доступа в средствах защиты информации, средствах вычислительной техники и автоматизированных (информационных) системах.

Согласно стандарту идентификация должна включать:

  • первичную идентификацию (однократно при регистрации субъекта доступа);
  • хранение и поддержание в актуальном состоянии идентификационной информации;
  • вторичную идентификацию (повторяется каждый раз при запросе субъектом доступа к объекту).

Под уровнем доверия понимается соответствующая установленной шкале степень уверенности в том, что оцениваемый объект соответствует целям безопасности. Стандартом устанавливаются три уровня доверия: низкий, средний и высокий. При низком уровне доверия имеется некоторая уверенность в том, что идентификационные данные действительно принадлежат субъекту доступа, при среднем – умеренная, а при высоком – значительная уверенность. При этом для каждого уровня стандартом уточняются критерии к существованию и достоверности идентификационных сведений.

Стандарт также устанавливает состав участников процесса идентификации, состав идентификационной информации, присваиваемой и проверяемой на каждом этапе идентификации, и требования к ее подтверждению.

Требования по безопасности информации к средствам виртуализации

ФСТЭК России сообщением №240/24/169 от 20.01.2023 информирует об утверждении Требований по безопасности информации к средствам виртуализации (утв. приказом ФСТЭК России от 27.10.2022 № 187).

Документ предназначен для организаций, осуществляющих разработку средств виртуализации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.

Требования применяются к средствам виртуализации, реализующим функциональные возможности по созданию образов виртуальных машин, формированию среды выполнения виртуальных машин, запуску виртуальных машин и управлению ими, по идентификации и аутентификации пользователей в средстве виртуализации и централизованному управлению образами виртуальных машин, виртуальными машинами и организацией взаимодействия между виртуальными машинами. Документ включает требования по безопасности информации, предъявляемые к:

  • уровню доверия средства виртуализации;
  • хостовой операционной системе, в среде которой функционирует средство виртуализации;
  • составу функций безопасности средства виртуализации; доверенной загрузке виртуальных машин;
  • контролю целостности в средстве виртуализации;
  • регистрации событий безопасности в средстве виртуализации;
  • управлению доступом в средстве виртуализации;
  • управлению потоками информации в средстве виртуализации;
  • защите памяти;
  • ограничению программной среды;
  • резервному копированию виртуальных машин;
  • идентификации и аутентификации пользователей в средстве виртуализации;
  • централизованному управлению образами виртуальных машин и виртуальными машинами.

На сайте ФСТЭК России опубликована выписка из требований, полный текст документа можно получить по обращению в установленном ФСТЭК России порядке.

Деятельность ТК 362

Опубликована справка-доклад о ходе работ по плану Технического комитета по стандартизации «Защита информации» (ТК 362) по состоянию на 31.01.2023. Справка содержит отчетность по организационным вопросам комитета. Согласно справке в январе 2023 года подготовлены проекты:

  • первой редакции ГОСТ Р ИСО/МЭК 27001 «Информационная безопасность, кибербезопасность и защита частной жизни. Система управления информационной безопасностью. Требования»;
  • национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведения статического анализа программного обеспечения».

Также согласно выписке из Программы национальной стандартизации на 2023 год планируется разработка следующих национальных стандартов, связанных с информационной безопасностью:

  • Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Общие положения;
  • Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Шаблоны проектирования;
  • Информационная технология. Методология разработки доверенных систем. Конструктивная информационная безопасность. Методология разработки;
  • Защита информации. Система организации и управления защитой информации. Общие положения;
  • Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности;
  • Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель;
  • Защита информации. Формальная модель управления доступом. Рекомендации по разработке;
  • Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации;
  • Защита информации. Формальная модель управления доступом. Рекомендации по верификации формальных описаний модулей средства защиты, реализующих политики управления доступом;
  • Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией;
  • Защита информации. Техника защиты информации. Номенклатура показателей качества;
  • Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования;
  • Защита информации. Основные термины и определения.
0
Комментарии
-3 комментариев
Раскрывать всегда