Обзор изменений в законодательстве за июль 2023 года

Автор:Татьяна Пермякова, старший аналитик

В обзоре изменений за июль 2023 года рассмотрим: изменения в 187-ФЗ и подзаконные акты, требования к защите информации на платформе цифрового рубля, образовательные программы и проект по расширению полномочий ФСТЭК России, требования по безопасности к многофункциональным межсетевым экранам уровня сети и к системам управления базами данных, результаты работ ТК 362, а также изменения в федеральные законы об информации (149-ФЗ) и о связи (126-ФЗ).

Изменения в законы об информации и о связи

Официально опубликованы федеральные законы, вносящие изменения в Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 №149-ФЗ и Федеральный закон «О связи» от 07.07.2003 № 126-ФЗ. Законы вносят изменения в ряд формулировок, а также дополняют новыми требованиями.

В соответствии с Федеральным законом от 31.07.2023 №406-ФЗ вступают в силу следующие требования:

1. С 01.12.2023 владельцы информационных ресурсов, являющиеся российскими юридическими лицами или гражданами Российской Федерации (далее – РФ) и осуществляющие деятельность на территории РФ для пользователей РФ, проходящих процедуру авторизации, должны реализовать процедуру с помощью:

• номера мобильного телефона;
• Федеральной государственной информационной системы «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем (далее – ИС), используемых для предоставления государственных и муниципальных услуг в электронной форме» (ЕСИА);
• Единой биометрической системы (ЕБС);
• иных информационных систем, соответствующих требованиям защиты информации, владельцами которых являются граждане РФ или российские юридические лица.

2. С 01.12.2023 провайдеры хостингов обязаны направить в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее ‑ Роскомнадзор) уведомление об осуществлении деятельности по предоставлению вычислительной мощности для размещения информации в ИС, подключенной к сети «Интернет» (далее – провайдеры).

3. С 01.12.2023 Роскомнадзор будет вести реестр провайдеров, включение в реестр осуществляется на основании уведомления от провайдера. С 01.02.24 не допускается осуществление деятельности по предоставлению вычислительных мощностей провайдерами, не включенными в реестр.

4. С 01.09.2024 операторы государственных и муниципальных ИС, ИС государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений обязаны использовать вычислительные мощности провайдера хостинга, включенного в реестр провайдеров и не вправе использовать вычислительные мощности, принадлежащие иностранным юридическим и физическим лицам и т.д.

В соответствии с Федеральным законом от 31.07.2023 №408-ФЗ владельцы информационных ресурсов в сети «Интернет» с 01.10.2023 обязаны:

• не допускать применение технологий предоставления информации на основе сбора, систематизации и анализа сведений, относящихся к предпочтениям пользователей сети «Интернет» (далее ‑ рекомендательных технологий), которые нарушают права и интересы граждан и организаций, а также в целях предоставления информации с нарушением законодательства РФ;
• не допускать предоставление информации с применением рекомендательных технологий без информирования пользователей о применении таких технологий;
• разместить на информационном ресурсе документ, устанавливающий правила применения рекомендательных технологий на русском языке;
• разместить на информационном ресурсе контакты для направления юридически значимых сообщений и т.д.

В случае нарушения правил Роскомнадзор вправе запросить доступ к проверке применяемых рекомендательных технологий, потребовать устранения выявленных нарушений или прекратить использование рекомендательных технологий. При не устранении нарушения Роскомнадзор вправе ограничить доступ к ресурсу.

Изменения в 187-ФЗ

Официально опубликован Федеральный закон от 10.07.2023 № 312-ФЗ «О внесении изменения в статью 2 Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации», в соответствии с которым понятие субъекта критической информационной инфраструктуры (далее ‑ КИИ) теперь также включает сферу государственной регистрации прав на недвижимое имущество и сделок с ним.

Отметим, что регистрация прав на недвижимое имущество и сделок с ним регулируется Федеральным законом от 13.07.2015 № 218-ФЗ «О государственной регистрации недвижимости». К объектам КИИ в сфере государственной регистрации прав на недвижимое имущество и сделок с ним относится информационная система Единого государственного реестра недвижимости (ЕГРН). Соответствующая система эксплуатируется органами государственной власти в рамках межведомственного взаимодействия, а также двумя основными типами субъектов (субъектами КИИ):

• Федеральная служба государственной регистрации, кадастра и картографии (Росреестр) и региональные управления Росреестра;
• публично-правовая компания «Роскадастр».

Изменения в Указ № 166 и постановление Правительства РФ № 1478

Для общественного обсуждения представлен проект Указа Президента Российской Федерации «О внесении изменений в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации».

Проектом предлагается дополнить необходимость согласования закупок иностранного программного обеспечения (далее – ПО) или услуг, необходимых для использования иностранного ПО на значимых объектах КИИ, Центральным Банком Российской Федерации (далее ‑ Банком России) (для банковской сферы и иных сфер финансового рынка).

Для общественного обсуждения также опубликован проект постановления Правительства Российской Федерации, которым предлагается внести соответствующие изменения в Постановление Правительства Российской Федерации от 22.08.2022 № 1478.

Общественное обсуждение проектов завершилось 17 июля. Согласно текстам проектов, изменения вступят в силу с 12.09.2023.

Индикаторы риска нарушения требований по защите персональных данных

Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) опубликован проект приказа «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15.11.2021 № 1187».

Перечень индикаторов предлагается дополнить следующим пунктом: «3. Установление контролирующим органом трех и более фактов несоответствия информации, указанной контролируемым лицом в уведомлениях, подлежащих направлению в соответствии с Федеральным законом «О персональных данных», сведениям, размещенным на принадлежащем такому контролируемому лицу сайте в информационно-телекоммуникационной сети «Интернет».

Согласно пояснительной записке к проекту, предлагаемое дополнение направлено на проведение операторами персональных данных (далее ‑ ПДн) процедур внутреннего контроля (аудита), поддержания в актуальном виде документов по ПДн, которые размещаются в открытом доступе.

Общественное обсуждение проекта завершится 10 августа.

Платформа цифрового рубля: требования к обеспечению защиты информации

Банк России представил для общественного обсуждения проект положения «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля».

Предлагаемые требования распространяются на объекты информационной инфраструктуры, которые используются участниками платформы цифрового рубля (кредитными финансовыми организациями) при формировании, обработке, передаче и хранении защищаемой информации.

Согласно проекту положения, участники платформы цифрового рубля должны обеспечить:

• размещение объектов информационной инфраструктуры в выделенных сегментах (группах сегментов);
• стандартный уровень защиты выделенных сегментов (групп сегментов) согласно ГОСТ Р 57580.1-2017 (системно значимые кредитные организации – усиленный уровень защиты), а также уровень соответствия не ниже третьего уровня соответствия (для системно значимых кредитных организаций – не ниже четвертого), предусмотренного разделом 6 ГОСТ Р 57580.2-2018;
• проведение оценки соответствия выполнения мер ГОСТ Р 57580.1-2017 в соответствии с ГОСТ Р 57580.2-2018 не реже одного раза в два года, а также проведение ежегодного тестирования на проникновение и анализа уязвимостей;
• защиту информации с использованием средств криптографической защиты (далее ‑ СКЗИ) в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005);
• применение электронной подписи, сертификат ключа проверки которой выдан удостоверяющим центром Банка России и т.д.

Общественное обсуждение проекта завершилось 4 августа.

Программы повышения квалификации и профессиональной переподготовки ФСТЭК России

На сайте ФСТЭК России опубликованы информационные сообщения:

• О разработанных ФСТЭК России примерных дополнительных профессиональных программах в области обеспечения безопасности критической информационной инфраструктуры;
• О разработанной ФСТЭК России примерной программе профессиональной переподготовки «Информационная безопасность. Техническая защита конфиденциальной информации»;
• О разработанных ФСТЭК России новых редакциях примерных программах профессиональной переподготовки и повышения квалификации специалистов в области противодействия иностранным техническим разведкам, технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры.

На сайте также обновлена выписка из перечня примерных программ профессиональной переподготовки и повышения квалификации специалистов. Обеспечение полным перечнем примерных программ и примерными программами производится только на основании обращений:

• федеральных органов исполнительной власти в центральный аппарат ФСТЭК России;
• органов и организаций, осуществляющих образовательную деятельность, в территориальные органы ФСТЭК России.

Полномочия ФСТЭК России

Для общественного обсуждения опубликован проект указа Президента Российской Федерации «О внесении изменений в Указ Президента Российской Федерации от 16 августа 2004 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю» и в Положение, утвержденное этим Указом».

Проектом предлагается:

1. Увеличить количество штатных единиц ФСТЭК России.

2. Добавить к основным задачам ФСТЭК России оперативное управление деятельностью по обеспечению безопасности значимых объектов КИИ, технической защите информации.

3. Добавить в полномочия ФСТЭК России:

• централизованный учет и организацию мониторинга текущего состояния защищенности защищаемых объектов информатизации государственных органов, органов местного самоуправления и организаций (далее – органов и организаций) с учетом отраслей экономики и дифференциации по уровню их критичности;
• оперативное информирование органов и организаций об угрозах безопасности и уязвимостях в объектах информатизации, а также мерах по защите;
• разработку и организацию внедрения совместно с органами и организациями процессов управления защитой информации и безопасностью значимых объектов КИИ;
• организацию взаимодействия органов и организаций при реализации ими мер по повышению защищенности объектов информатизации от угроз безопасности информации;
• организационно-методическое сопровождение и руководство деятельностью по защите информации и обеспечению безопасности значимых объектов КИИ органов и организаций, оценку эффективности такой деятельности и реализованных ими мер.

Согласно пояснительной записке, закрепление указанных полномочий и зон ответственности позволит повысить уровень защищенности информационных систем государственных органов и организаций, а также значимых объектов КИИ. Потребность в повышении уровня защищенности, обусловлена усилением информационно-технического воздействия на информационные ресурсы Российской Федерации в период проведения специальной военной операции.

Общественное обсуждение проекта завершится 14 августа.

Требования по безопасности ФСТЭК России

ФСТЭК России информирует об утверждении Требований по безопасности информации к многофункциональным межсетевым экранам уровня сети (далее – МЭ). В том числе, требования применимы к Next-Generation Firewall (NGFW).

Требования по безопасности информации предъявляются к:

• уровню доверия МЭ;
• управлению доступом в МЭ;
• идентификации и аутентификации пользователей МЭ;
• фильтрации сетевого трафика;
• обнаружению и блокированию компьютерных атак;
• обнаружению и блокированию вредоносного программного обеспечения;
• доверенной загрузке МЭ;
• тестированию и контролю целостности МЭ;
• производительности МЭ;
• аппаратной платформе МЭ;
• режимам работы МЭ;
• регистрации событий безопасности в МЭ;
• обеспечению бесперебойного функционирования и восстановления МЭ;
• взаимодействию с иными средствами защиты информации;
• централизованному и удаленному управлению МЭ.

На сайте ФСТЭК России опубликована выписка из утвержденных требований.

Также ФСТЭК России информирует об утверждении Требований по безопасности информации к системам управления базами данных (далее – СУБД).

Требования по безопасности информации предъявляются к:

• уровню доверия СУБД;
• операционной системе, в среде которой функционирует СУБД;
• управлению доступом в СУБД;
• идентификации и аутентификации пользователей в СУБД;
• контролю целостности в СУБД;
• регистрации событий безопасности в СУБД;
• резервному копированию и восстановлению в СУБД;
• обеспечению доступности СУБД;
• очистке памяти в СУБД;
• производительности СУБД;
• ограничению программной среды в СУБД.

На сайте ФСТЭК России опубликована выписка из утвержденных требований.

Выполнение требований по безопасности к МЭ и СУБД обязательно при проведении работ по оценке соответствия (включая работы по сертификации) согласно Положению о системе сертификации средств защиты информации. При этом устанавливается соответствие классов защиты МЭ и СУБД и уровней доверия, установленных приказом ФСТЭК России от 02.06.2020 №76.

ТК 362

Справка-доклад на 28.06

На сайте ФСТЭК России опубликована традиционная справка-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) (по состоянию на 28.06.2023).

Согласно справке в июне 2023 года проведены следующие работы:

• Представлены председателю ТК 362 для принятия решения об организации его публичного обсуждения проекты национальных стандартов:

o ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения»;

o ГОСТ Р ИСО/МЭК 27005 «Информационная безопасность, кибербезопасность и защита частной жизни. Руководство по управлению рисками информационной безопасности. Требования и руководства» (идентичный на основе ISO/IEC 27005:2022);

o ГОСТ Р 52447 «Защита информации. Техника защиты информации. Классификация средств защиты информации от несанкционированного доступа и номенклатура показателей качества» (пересмотр ГОСТ Р 52447-2005);

• По результатам публичного обсуждения доработаны и подготовлены для принятия решения об организации голосования по вопросу их представления в Федеральное агентство по техническому регулированию и метрологии (далее – Росстандарт) на утверждение проекты национальных стандартов:

o ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (идентичный на основе ISO/IEC 15408-1:2022);

o ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (идентичный на основе ISO/IEC 15408-2:2022);

• Принято решение подготовить и рассмотреть на заседании рабочей группы 5 (РГ 5) первую редакцию проекта национального стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»;
• Принято решение организовать голосование по вопросу представления в Росстандарт на утверждение окончательной редакции проектов национальных стандартов:

o ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению статического анализа программного обеспечения. Требования»;

o ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования»;

• Проводятся работы по обсуждению и подготовке редакций, доработке проектов национальных стандартов:

o ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Управление безопасностью программного обеспечения при использовании заимствованных и привлекаемых компонентов»;

o ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению динамического анализа программного обеспечения»;

o ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие требования»;

• Разосланы на рассмотрение в организации-члены ТК 362 проекты предварительных национальных стандартов:

o ПНСТ «Обеспечение безопасности искусственного интеллекта. Роль аппаратного обеспечения в безопасности искусственного интеллекта»;

o ПНСТ «Обеспечение безопасности искусственного интеллекта. Постановка задачи»;

o ПНСТ «Обеспечение безопасности искусственного интеллекта. Безопасность цепочки поставок данных»;

o ПНСТ «Обеспечение безопасности искусственного интеллекта. Онтология угроз искусственного интеллекта».

Анализ работы ТК 362

На сайте ФСТЭК России также опубликованы результаты анализа работы ТК 362 и активности организаций-членов ТК 362 во II квартале 2023 года.

Справка содержит перечень проектов национальных стандартов, разработка и согласование которых проводились в рамках работы ТК 362 во II квартале 2023 года, результаты планирования работ ТК 362, анализа активности членов ТК 362 и отчет о проведении заседания с рабочими группами и подкомитетами.