Автор:Татьяна Пермякова, старший аналитик
В обзоре изменений за май 2023 года рассмотрим: внутренние нормативные акты Роскомнадзора по обработке и защите ПДн, актуальные угрозы безопасности информации в сфере транспорта, перечень лицензиатов ФСТЭК России, прекращение работы которых в военное время потенциально нарушит функционирование информационной инфраструктуры РФ, руководство по управлению уязвимостями, пилотный проект по обеспечению технологической независимости КИИ РФ, Концепция ИБ для детей, изменения в направлении стандартизации, перечень опубликованных НПА про ЕБС и другое.
ПДн
Обработка ПДн в Роскомнадзоре
Официально опубликован приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) от 15.12.2022 № 201 «Об обработке персональных данных в Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций».
Приказом утверждаются внутренние нормативные документы по обработке персональных данных (далее – ПДн) в Роскомнадзоре, а именно:
- Правила обработки ПДн;
- Правила осуществления внутреннего контроля соответствия обработки ПДн законодательным требованиям по защите ПДн;
- Перечень информационных систем ПДн Роскомнадзора;
- Перечень должностей, замещение которых предусматривает осуществление обработки ПДн или осуществление доступа к ПДн;
- Должностной регламент ответственного за организацию обработки ПДн;
- Порядок доступа в помещения, в которых ведется обработка ПДн;
- Типовое обязательство сотрудника прекратить обработку ПДн в случае расторжения трудового договора;
- Типовая форма согласия сотрудника на обработку ПДн (для трудового договора).
Документы можно использовать в качестве образцов организационно-распорядительных документов оператора, регламентирующих процедуры обработки ПДн.
Мессенджеры, посредством которых запрещается передача ПДн
На сайте Роскомнадзора опубликован перечень иностранных программ для обмена электронными сообщениями, посредством которых запрещается передача ПДн.
Перечень включает:
- Telegram;
- WhatsApp;
- Viber;
- Microsoft Teams;
- Skype;
- Discord и др.
Правила принятия решения о запрещении или об ограничении трансграничной передачи ПДн
Для обсуждения опубликован проект постановления Правительства РФ, которым предлагается внести изменения в постановление Правительства РФ от 16.01.2023 № 24 «Об утверждении Правил принятия решения уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».
Правила предлагается дополнить одним пунктом, устанавливающим дополнительное условия для отказа в повторном рассмотрении уведомления в случае, если в рамках рассмотрения уведомления оператором направлено новое уведомление, содержащее актуализированные/уточняющие сведения, содержание которых не соответствует информации, указанной в изначальном уведомлении. Об этом решении Роскомнадзор обязан будет уведомить оператора в течение 3 рабочих дней с даты предоставления сведений.
Угрозы безопасности ПДн в сфере транспорта
Официально опубликован приказ Министерства транспорта Российской Федерации от 19.04.2023 № 141 «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством транспорта Российской Федерации».
Перечень включает угрозы:
- несанкционированного доступа:
- к отчуждаемым носителям ПДн;
- к ПДн пользователей информационных систем ПДн;
- к ПДн лиц, не имеющих легальных прав к данным (с использованием уязвимостей как в программном обеспечении, сети, так и в организации защиты ПДн);
- воздействия вредоносного кода;
- физического доступа к средствам криптографической защиты ПДн;
- целенаправленных компьютерных атак и т.д.
Перечень лицензиатов ФСТЭК России
Официально опубликован Указ Президента Российской Федерации от 22.05.2023 № 366 «О внесении изменений в Положение о Федеральной службе по техническому и экспортному контролю, утвержденное Указом Президента Российской Федерации от 16 августа 2004 г. № 1085».
Согласно указу, Федеральная служба по техническому и экспортному контролю (далее – ФСТЭК России) обязана формировать перечень аккредитованных организаций и лицензиатов, прекращение работы которых в военное время создаст предпосылки для нарушения устойчивого функционирования информационной инфраструктуры РФ.
Руководство по управлению уязвимостями
На сайте ФСТЭК России опубликовано информационное сообщение от 18.05.2023 № 240/22/2435 об утверждении методического документа «Руководство по организации процесса управления уязвимостями в органе (организации)».
Документ подлежит применению государственными органами, организациями, в том числе субъектами КИИ РФ, при устранении уязвимостей программных, программно-аппаратных средств информационных (автоматизированных) систем в соответствии с требованиями к государственным информационным системам, значимым объектам КИИ, и иными нормативными правовыми актами и методическими документами ФСТЭК России.
Документ описывает порядок действий в рамках пяти основных этапов процесс управления уязвимостями, которые приведены на схеме ниже.
Изменения в положение о лицензировании ФСБ России
Для общественного обсуждения представлен проект постановления Правительства РФ, которым предлагается внести изменения в постановление Правительства РФ от 16.04.2012 № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
Дополнения касаются приложения к положению, содержащего перечень выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность. В частности, предлагается дополнить пункты 12 (монтаж, установка и наладка) и 21 (Передача криптографических средств) исключением средств, разработанных в составе интеллектуальных систем учета электроэнергии.
Независимость КИИ в атомной и космической отраслях
Реализация пилотного проекта планируется с 1 августа 2023 по 1 августа 2025 года. За это время проектом предлагается реализовать ряд масштабных задач, в том числе:
- выработка критериев технологической независимости критической информационной инфраструктуры (далее – КИИ);
- выработка требований к доверенным программно-аппаратным комплексам (далее – ПАК) для КИИ;
- развертывание системы испытательных полигонов атомной отрасли для проведения проверки ПАК;
- разработка и утверждение правил формирования и ведения реестра доверенных ПАК для КИИ;
- внедрение доверенных ПАК на значимых объектах КИИ в атомной и космической отраслях;
- формирование предложений по поддержанию последующих проектов в сфере обеспечения технологической независимости КИИ РФ;
- формирование предложений по изменению нормативной базы РФ в области обеспечения ИБ КИИ и т.д.
Участниками проекта являются государственные корпорации «Роскосмос» и «Росатом», а также Научно-производственное объединение «Критические информационные системы». Координация взаимодействия участников возлагается на Межведомственную комиссию Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры РФ.
Концепция ИБ детей
Опубликованораспоряжение Правительства РФ от 28.04.2023 № 1105-р, утверждающую Концепцию информационной безопасности (далее – ИБ) детей в РФ.
Согласно Концепции, основными принципами при обеспечении ИБ детей в цифровом пространстве являются:
- укрепление традиционных ценностей;
- ответственность и приоритет прав родителей в обеспечении ИБ детей;
- воспитание критического мышления, обучение детей вопросам ИБ;
- формирование благоприятной атмосферы в информационной среде, поддержка творческой деятельности детей;
- обеспечение широкого доступа к культурному наследию и т.д.
ИБ детей понимается как состояние их защищенности, при котором отсутствует риск вреда здоровью, а также физическому, психическому, духовному, нравственному развитию детей. Важнейшей задачей для достижения этого состояния является согласованное взаимодействие семьи с производителями контента, психологами и педагогами, с государством. Большая часть приоритетных задач направлена на непрерывный грамотный контроль со стороны родителей, воспитание и информирование детей, а также внедрения механизмов выявления и пресечения распространения деструктивной информации.
Стандартизация
Профессиональные стандарты
В мае официально опубликовано несколько профессиональных стандартов.
Стандарт предназначен для специалистов по поддержке пользователей, дизайнеров баз данных (далее – БД) и руководителей служб в сфере информационно-телекоммуникационных технологий и включает следующие трудовые функции:
- обеспечение функционирования баз данных:
- резервное копирование;
- мониторинг событий информационной безопасности;
- выявление инцидентов ИБ и т.д.;
- оптимизация функционирования БД (в т.ч. выявление инцидентов ИБ);
- предотвращение потерь и повреждений данных при сбоях технического характера:
- разработка и контроль соблюдения регламентов резервного копирования;
- администрирование встроенные средств защиты информации;
- управление развитием БД (в т.ч. разработка регламентов соблюдения ИБ).
Стандарт предназначен для руководителей служб в сфере информационно-телекоммуникационных технологий и включает трудовые функции по управлению проектами в области ИТ:
- на основе планов в условиях, когда проект не входит за пределы утвержденных параметров;
- малого и среднего уровня сложности в условиях неопределенностей, порождаемых запросами на изменения, с привлечением формальных инструментов управления рисками и пробелами проекта;
- любого масштаба в условиях высокой неопределенности, вызываемо запросами на изменения и рисками, и с учетом влияния организационного окружения проекта.
Стандарт предназначен для специалистов-техников по поддержке пользователей и руководителей служб в сфере информационно-телекоммуникационных технологий и включает трудовые функции по проектированию и управлению системных аналитиков в процессе проектирования, создания, развития, поддержки и утилизации автоматизированных систем, сервисов, программных продуктов и т.д.
Стандарты по криптографии
С 1 мая введены в действие рекомендации Технического комитета по стандартизации «Криптографическая защита информации» (ТК 26):
Стандарт АСУ ТП железнодорожного транспорта
Принят ГОСТ Р 70732-2023 «Автоматизированные системы управления технологическими процессами и техническими средствами железнодорожного транспорта. Требования к функциональной и информационной безопасности программного обеспечения и методы контроля».
Стандарт распространяется на приобретаемое, разрабатываемое или модернизируемое программное обеспечение систем автоматики и телемеханики, железнодорожного электроснабжения и систем электросвязи. Результаты оценки соответствия программного обеспечения требованиям по ИБ к тому или иному уровню доверия подлежат предъявлению ФСТЭК России для подтверждения выполнения нормативных требований в области обеспечения безопасности критической информационной инфраструктуры РФ.
Стандарт вступает в силу 01.11.2023.
ЕБС
В мае опубликован ряд изменений, касающихся единой биометрической системы. Далее в обзоре тезисно приведен список изменений, однако специалистами Аналитического центра УЦСБ позже будут подготовлены подробные разъяснения актуальных требований к идентификации и аутентификации физических лиц с использованием векторов ЕБС.
Положение о ЕБС и ее региональных сегментах
Официально опубликовано постановление Правительства Российской Федерации от 31.05.2023 № 883 «Об утверждении Положения о единой биометрической системе, в том числе о ее региональных сегментах, и о признании утратившим силу постановления Правительства Российской. Федерации от 16 июня 2022 г. № 1089».
Методика проверки биометрических ПДн
Официально опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры) от 17.04.2023 № 378 «Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы и определении степени взаимного соответствия биометрических персональных данных и векторов единой биометрической системы, достаточной для проведения идентификации и (или) аутентификации».
Перечни угроз безопасности, актуальные при обработке биометрических ПДн
Официально опубликованы приказы Минцифры:
- от 05.05.2023 № 445 «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в единой биометрической системе, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов с единой биометрической системой, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных»;
- от 05.05.2023 № 446 «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением организаций финансового рынка, и единой биометрической системы, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных».
Об аккредитации госорганов и ЦБ РФ для осуществления аутентификации с использованием векторов ЕБС
Официально опубликовано постановление Правительства Российской Федерации от 28.04.2023 № 670 «Об аккредитации государственных органов, Центрального банка Российской Федерации для осуществления аутентификации, о требованиях к организациям, привлекаемым государственными органами, Центральным банком Российской Федерации для осуществления функций операторов информационных систем, обеспечивающих аутентификацию физических лиц с использованием векторов единой биометрической системы, и о признании утратившим силу постановления Правительства Российской Федерации от 26 августа 2022 г. № 1498».
Порядок обработки биометрических ПДн в ЕБС и в информационных системах аккредитованных госорганов, ЦБ и ряда организаций
Официально опубликован приказ Минцифры от 12.05.2023 № 453 «О порядке обработки биометрических персональных данных и векторов единой биометрической системы в единой биометрической системе и в информационных системах аккредитованных государственных органов, Центрального банка Российской Федерации в случае прохождения им аккредитации, организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц».
Аккредитация организаций для осуществления аутентификации
Официально опубликовано постановление Правительства Российской Федерации от 22.05.2023 № 810 «Об утверждении Правил аккредитации организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, оснований ее приостановления и прекращения и признании утратившим силу постановления Правительства Российской Федерации от 20 октября 2021 г. № 1799».
Требования к деловой репутации владельцев коммерческих биометрических систем
Официально опубликован приказ Минцифры от 20.04.2023 № 387 «Об утверждении требований к деловой репутации единоличного исполнительного органа, а также членов коллегиального исполнительного органа и (или) физических лиц - учредителей (участников), имеющих право распоряжаться более 10 процентами акций (долей), составляющих уставный капитал организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, и о признании утратившим силу приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 27 августа 2021 г. № 896».
Перечень случаев, когда аутентификация с использованием коммерческих биометрических систем не допускается
Официально опубликовано постановление Правительства Российской Федерации от 25.05.2023 № 815 «Об утверждении перечня случаев, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается, и перечня случаев, при которых допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц».
Размещение биометрических ПДн с использованием мобильного приложения
Официально опубликовано постановление Правительства Российской Федерации от 29.05.2023 № 851 «О внесении изменений в постановление Правительства Российской Федерации от 15 июня 2022 г. № 1066».
Случаи и сроки использования биометрических ПДн, размещенных с использованием мобильного приложения
Официально опубликовано постановление Правительства Российской Федерации от 31.05.2023 № 893 «О внесении изменений в постановление Правительства Российской Федерации от 15 июня 2022 г. № 1067».
Информирование о необходимости удаления векторов ЕБС
Официально опубликован приказ Минцифры от 27.04.2023 № 432 «О направлении оператором единой биометрической системы оператору регионального сегмента единой биометрической системы, аккредитованному государственному органу, Центральному банку Российской Федерации в случае прохождения им аккредитации, организации, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, запроса о блокировании, об удалении, уничтожении векторов единой биометрической системы и подтверждении осуществления таких блокирования, удаления, уничтожения векторов единой биометрической системы».
Стоимость использования ЕБС
Официально опубликован приказ Минцифры от 31.03.2023 № 334 «Об утверждении методики расчета взимания платы за использование государственной информационной системы «Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных", в том числе ее региональных сегментов».
Штрафы за незаконную обработку биометрических ПДн
В Государственную Думу РФ внесён законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».
За незаконное размещение биометрических ПДн предлагается установить следующие размеры штрафов: