SavePearlHarbor

Обзор изменений в законодательстве за июль 2024 года

от автора

admin

В обзоре изменений за август 2024 года рассмотрим следующие темы:

1.      Критическая информационная инфраструктура

Уточняются критерии отнесения ПАК к числу доверенных. Устанавливаются дополнительные требования при организации и осуществлении дистанционного управления значимыми объектами КИИ, функционирующими в сфере электроэнергетики.

2.      Персональные данные

Рассмотрим изменения в 152-ФЗ в части обезличивания и уничтожения ПДн, новый индикатор риска нарушения требований при осуществлении контроля за обработкой ПДн, виды биометрических ПДн, на которые распространяется действие 572-ФЗ, и порядок обработки ПДн сотрудников ФСБ России.

3.      Безопасность финансовых организаций

Банк России представил новые Методические рекомендации по установлению и расчету показателей уровня риска ИБ при переводе денежных средств.

4.      Иное

Представлены требования к провайдерам хостинга по включению их в перечень провайдеров хостинга и требования, предъявляемые при предоставлении ими вычислительной мощности. Вступили в силу изменения в требованиях к форме квалифицированного сертификата ключа проверки электронной подписи, положение о ГИС в области генетической информации, порядок формирования и ведения автоматизированных и централизованных баз ПДн о пассажирах и персонале транспортных средств и иное.

5.      Деятельность ФСТЭК России

Рассмотрим проект новых Требований к защите информации в ГИС и ИС государственных органов, которыми планируется заменить Приказ ФСТЭК России № 17.

6.      Стандартизация

Рассмотрим два профессиональных стандарта:

‒           Специалист по обеспечению безопасности значимых объектов КИИ;

‒           Специалист в области информационных технологий на атомных станциях.

Критическая информационная инфраструктура

Изменения в Правилах перехода субъектов КИИ на преимущественное применение доверенных ПАК на значимых объектах КИИ

Министерство промышленности и торговли Российской Федерации (далее – РФ) представило для общественного обсуждения проект постановления «О внесении изменений в постановление Правительства РФ от 14.11.2023 № 1912», который вносит изменения в Правила перехода субъектов критической информационной инфраструктуры (далее – КИИ) РФ на преимущественное применение доверенных программно-аппаратных комплексов (далее – ПАК) на принадлежащих им значимых объектах КИИ РФ.

Проект уточняет следующие критерии признания ПАК доверенным:

  • сведения о ПАК ‎или об используемой в составе ПАК радиоэлектронной продукции (в том числе телекоммуникационном оборудовании), являющейся конечной продукцией, должны содержаться в едином реестре российской радиоэлектронной продукции или в реестре российской промышленной продукции;

  • в случае реализации в ПАК функции защиты информации, ПАК или используемая в составе ПАК радиоэлектронная продукция (в том числе телекоммуникационное оборудование) должны иметь сертификат Федеральной службой по техническому и экспортному контролю РФ (далее – ФСТЭК России) или Федеральной службой безопасности РФ (далее – ФСБ России).

Также проект дополняет форму Сведений о ПАК, которая заполняется в рамках разработки Плана перехода субъекта КИИ на преимущественное применение доверенных ПАК на принадлежащих ему значимых объектах КИИ. В характеристиках ПАК необходимо указать:

  • код ПАК по ОКПД;

  • основные технические характеристики ПАК;

  • номер реестровой записи ПАК и аналогичных ПАК;

  • реквизиты сертификата о соответствии требованиям ФСТЭК России или ФСБ России (в случае реализации функции защиты информации).

В характеристиках программного обеспечения (далее – ПО) и радиоэлектронной продукции (в том числе телекоммуникационного оборудования), используемых в составе ПАК, необходимо указать:

  • наименование продукции или ПО;

  • реквизиты сертификата о соответствии требованиям ФСТЭК России или ФСБ России (в случае реализации функции защиты информации).

Дополнительные требования к значимым объектам КИИ в сфере энергетики

1 сентября 2024 года вступил в силу приказ Министерства энергетики РФ от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».

Приказ будет действовать до 1 сентября 2030 года. Подробнее с приказом можно ознакомиться в обзоре изменений законодательства за май 2024 года, подготовленном Аналитическим центром УЦСБ.

Персональные данные

Изменения в 152-ФЗ

8 августа 2024 года был официально опубликован Федеральный закон от 08.08.2024 № 233-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте РФ — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных».

Закон вносит ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в части обезличивания и уничтожения персональных данных (далее – ПДн), а также иные изменения. Подробнее с изменениями можно ознакомиться в обзоре изменений законодательства за июль 2024 года, подготовленном Аналитическим центром УЦСБ.

Дополнение Перечня индикаторов риска нарушения требований при осуществлении контроля за обработкой ПДн

Опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры РФ) от 01.08.2024 № 682 «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн, утвержденный приказом Минцифры России от 15.11.2021 № 1187».

Согласно приказу Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн дополняется новым индикатором риска – установление в течение календарного года двух и более фактов несоответствия правилам применения информационных технологий предоставления информации на основе рекомендательных технологий, полученной по запросу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор):

  • при предоставлении указанной информации контролируемым лицом, являющимся владельцем сайта или страницы сайта в сети «Интернет»;

  • при проведении контролирующим органом оценки соответствия применения рекомендательных технологий в рамках предоставленного ему доступа к программно-техническим средствам рекомендательных технологий.

Виды биометрических ПДн, на которые распространяется действие 572-ФЗ (ЕБС)

1 сентября 2024 года вступило в силу постановление Правительства РФ от 01.04.2024 № 408 «О видах биометрических ПДн, на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ». Подробнее с постановлением можно ознакомиться в обзоре изменений законодательства за апрель 2024 года, подготовленном Аналитическим центром УЦСБ.

Обработка ПДн сотрудников ФСБ России

8 августа 2024 года вступил в силу Федеральный закон от 08.08.2024 № 249-ФЗ «О внесении изменений в отдельные законодательные акты РФ», согласно которому вносятся изменения в Федеральный закон от 03.04.1995 № 40-ФЗ «О федеральной службе безопасности».

Изменениями устанавливается, что в целях обеспечения собственной безопасности ПДн, в том числе биометрические, военнослужащих и гражданского персонала ФСБ России, обрабатываются органами ФСБ России без согласия субъекта ПДн.

Безопасность финансовых организаций

Методические рекомендации по установлению и расчету показателей уровня риска ИБ при переводе денежных средств

Центральный Банк РФ (далее – Банк России) в целях обеспечения единства подходов по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности (далее – ИБ) разработал «Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска ИБ, связанных с осуществлением перевода денежных средств без добровольного согласия клиента и связанных с заключением кредитных договоров (договоров займа) без добровольного согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска ИБ» от 20.08.2024 № 13-МР.

Методические рекомендации включают рекомендации по установлению и расчету:

  • количественных контрольных показателей уровня риска ИБ;

  • ключевых индикаторов риска ИБ, характеризующих динамику осуществления переводов денежных средств без добровольного согласия клиента;

  • количественных контрольных показателей уровня риска ИБ, связанных с заключением кредитных договоров без добровольного согласия клиента.

Документ содержит рекомендации по:

  • выбору статистических данных;

  •  определению группы типов операций по переводу денежных средств;

  • расчету сигнальных, контрольных и фактических значений показателей;

  •  установлению пороговых значений показателей;

  • частоте осуществления расчетов показателей и иное.

Также документ содержит формулы для расчета показателей. Методические рекомендации применяются с 8 сентября 2024 года.

Иное

Требования по включению в перечень провайдеров хостинга

1 сентября 2024 года вступило в силу постановление Правительства РФ от 24.08.2024 № 1144 «Об утверждении Правил включения сведений о провайдере хостинга в перечень провайдеров хостинга, предоставляющих вычислительные мощности для размещения информации в информационной системе (далее – ИС), постоянно подключенной к информационно-телекоммуникационной сети «Интернет», операторам государственных информационных систем (далее – ГИС), муниципальных информационных систем (далее – ИС), ИС государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений, а также исключения таких сведений из него».

Согласно постановлению для включения в перечень провайдеров хостинга необходимо:

  • подать заявление, содержащее:

    • полное и сокращенное (при наличии) наименование, организационно-правовую форму, место нахождения и адрес, идентификационный номер налогоплательщика, основной государственный регистрационный номер, фамилию, имя, отчество руководителя юридического лица, иного контактного лица организации;

    • информацию, подтверждающую включение сведений о провайдере хостинга в реестр провайдеров хостинга;

    • информацию о местоположении технических средств, используемых при предоставлении вычислительной мощности, включая адрес их расположения на территории РФ;

  • приложить к заявлению следующие документы и сведения:

    • доверенность представителя провайдера хостинга;

    • сведения, подтверждающие местоположение технических средств, используемых при предоставлении вычислительной мощности, адрес их расположения на территории РФ;

    • сведения о разработанном плане мероприятий по внедрению технических средств, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий, или о подписанном представителями ФСБ России и провайдера хостинга акте ввода таких технических средств в эксплуатацию;

    • сведения о локальном акте, определяющем структурное подразделение или должностное лицо, ответственное за защиту информации;

    • сведения о соглашении, подтверждающем взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА);

    • сведения об аттестате соответствия ИС, содержащем информацию о классификации ИС.

По результатам рассмотрения заявления и документов Минцифры России принимает решение о соответствии или несоответствии провайдера хостинга требованиям.

Провайдер хостинга, включенный в перечень, обязан ежегодно с 1 по 30 ноября, начиная с года, следующего за годом включения в перечень сведений о нем, подтверждать соответствие требованиям. В случае изменения сведений, указанных в заявлении о включении, провайдер хостинга не позднее 15 числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить Минцифры России обо всех изменениях.

По результатам рассмотрения заявления и документов Минцифры России принимает решение о соответствии или несоответствии провайдера хостинга требованиям.

Провайдер хостинга, включенный в перечень, обязан ежегодно с 1 по 30 ноября, начиная с года, следующего за годом включения в перечень сведений о нем, подтверждать соответствие требованиям. В случае изменения сведений, указанных в заявлении о включении, провайдер хостинга не позднее 15 числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить Минцифры России обо всех изменениях.

Изменения в требованиях к форме квалифицированного сертификата ключа проверки электронной подписи

1 сентября 2024 года вступил в силу приказ ФСБ России от 02.02.2024 № 50 «О внесении изменений в Требования к форме квалифицированного сертификата ключа проверки электронной подписи, утвержденные приказом ФСБ России от 27.12.2011 № 795».

Приказ будет действовать до 1 сентября 2027 года. Подробнее с приказом можно ознакомиться в обзоре изменений законодательства за февраль 2024 года, подготовленном Аналитическим центром УЦСБ.

ГИС в области генетической информации

1 сентября 2024 года вступило в силу постановление Правительства РФ от 31.01.2024 № 87 «О ГИС в области генетической информации «Национальная база генетической информации», согласно которому до 1 сентября 2025 года Министерство науки и высшего образования РФ должно создать ГИС «Национальная база генетической информации».

Постановление будет действовать до 1 сентября 2030 года. Подробнее с постановлением можно ознакомиться в обзоре изменений законодательства за февраль 2024 года, подготовленном Аналитическим центром УЦСБ.

Порядок формирования и ведения автоматизированных и централизованных баз ПДн о пассажирах и персонале транспортных средств

1 сентября 2024 года вступил в силу приказ Министерства транспорта РФ от 02.05.2024 № 162 «Об утверждении порядка формирования и ведения автоматизированных централизованных баз ПДн о пассажирах и персонале (экипаже) транспортных средств, а также срока хранения и порядка предоставления содержащихся в них данных». Подробнее с приказом можно ознакомиться в обзоре изменений законодательства за июнь 2024 года, подготовленном Аналитическим центром УЦСБ.

Схема пропуска трафика через средства противодействия угрозам сети «Интернет» и сети связи общего пользования

1 сентября 2024 года вступило в силу постановление Правительства РФ от 23.05.2024 № 639 «Об утверждении Положения о схеме пропуска трафика через технические средства противодействия угрозам устойчивости, безопасности и целостности функционирования на территории РФ сети «Интернет» и сети связи общего пользования, в том числе пропуска трафика на присоединенную сеть связи оператора связи, оказывающего услуги по предоставлению доступа к сети «Интернет», которое содержит требования к схеме пропуска трафика и порядку ее представления в Роскомнадзор. Подробнее с постановлением можно ознакомиться в обзоре изменений законодательства за май 2024 года, подготовленном Аналитическим центром УЦСБ.

Изменения в 149-ФЗ

8 августа 2024 года вступил в силу Федеральный закон от 08.08.2024 № 216-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» (далее – 149-ФЗ) и отдельные законодательные акты РФ».

Изменениями устанавливается, что:

  • ограничение доступа к информации смогут устанавливать не только федеральные законы, но и акты Президента РФ;

  • владельцы сайтов, ИС или программ, предназначенных для распространения информации в социальных сетях, будут обязаны осуществлять мониторинг социальной сети в целях выявления информации, оскорбляющей человеческое достоинство, нравственность, выражающей неуважение к обществу, содержащей изображение противоправных действий;

Также уточняется, что передача информации из ГИС в иные ИС, не соответствующие требованиям о защите информации, не допускается.

Деятельность ФСТЭК России

Требования к защите информации в ГИС и ИС государственных органов

На официальном сайте ФСТЭК России опубликован проект приказа «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений (далее – Требования)», которым планируется заменить действующий приказ ФСТЭК России № 17.

Новые Требования разработаны с целью защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от несанкционированного доступа. Планируется, что Требования будут распространяться не только на ГИС, но и на иные ИС, функционирующие на территории РФ, оператором которых являются государственные органы, государственные учреждения и унитарные предприятия. Также Требования могут применяться для муниципальных ИС, ИС, находящихся в ведении Администрации Президента РФ, аппарата Совета Безопасности РФ, Федерального Собрания РФ и иных государственных органов по решению руководителей органов и если иное не установлено законодательством.

Для ИСПДН новые Требования необходимо будет применять наряду с Требованиями к защите ПДн при их обработке в ИСПДн (утв. постановлением Правительства РФ от 01.11.2012 № 1119) и Составом и содержанием организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн (утв. приказом ФСТЭК России № 21).

Требования определяют перечень мероприятий по защите информации, в том числе требования к:

  • определению целей защиты информации:

    • цели должны содержать ожидаемые результаты от проведения мероприятий по защите информации;

    • для каждой цели должны быть установлены количественные или качественные показатели эффективности их достижения и иное;

  • политике защиты информации:

    • политика должна определять стратегию защиты информации;

    • область действия политики должна охватывать ИС, а также информационно-телекоммуникационную инфраструктуру, на базе которой функционируют ИС;

    • политика защиты информации должна включать цели и показатели эффективности их достижения, задачи защиты информации, объекты защиты, структуру системы управления деятельностью по защите информации, виды и степень ответственности работников и иное;

  • лицам, ответственным за защиту информации;

  • разрабатываемым внутренним регламентам и стандартам, которые описывают порядок проведения мероприятий по защите информации;

  • выделению ресурсов, необходимых для защиты информации;

  • управлению деятельностью по защите информации по циклу PDCA.

Также Требования детально описывают:

  • порядок выявления и оценки актуальных угроз безопасности информации;

  • порядок инвентаризации и управления конфигурациями ИС;

  • управление уязвимостями ИС;

  • управление обновлениями ПО ИС;

  • защиту конфиденциальной информации в ИС;

  • защиту конечных устройств ИС;

  • защиту мобильных устройств, планшетных и переносных компьютеров, используемых для доступа к ИС;

  • мониторинг ИС;

  • физическую защиту программно-аппаратных средств ИС;

  • непрерывность функционирования при возникновении нештатных ситуаций;

  • защиту при удаленном доступе к ИС и иное.

Стандартизация

Профессиональный стандарт «Специалист по обеспечению безопасности значимых объектов КИИ»

Министерство труда и социальной защиты РФ (далее – Минтруд России) представило для общественного обсуждения проект профессионального стандарта «Специалист по обеспечению безопасности значимых объектов КИИ». Согласно стандарту целью профессиональной деятельности является обеспечение устойчивого функционирования значимых объектов КИИ при проведении в отношении них компьютерных атак и реализации иных угроз ИБ.

Стандарт включает следующие трудовые функции:

  • обеспечение функционирования средств защиты информации (далее – СрЗИ) значимых объектов КИИ:

    • установку, настройку, техническое обслуживание и обеспечение работоспособности СрЗИ объектов КИИ;

    • ведение технической документации, связанной с эксплуатацией СрЗИ значимых объектов КИИ;

    • администрирование СрЗИ;

  • управление инцидентами ИБ на значимых объектах КИИ:

    • выявление и регистрацию инцидентов ИБ, в том числе обнаружение факта компьютерных атак;

    • реагирование на инциденты ИБ;

    • восстановление функционирования после инцидентов ИБ;

  • разработка систем защиты информации значимых объектов КИИ:

    • разработка требований по обеспечению безопасности объектов КИИ;

    • проектирование и реализация системы защиты информации;

    • аудит ИБ;

  • контроль и управление обеспечением ИБ значимых объектов КИИ;

    • анализ и обработка компьютерных инцидентов;

    • расследование компьютерных инцидентов;

    • проведение контрольных проверок работоспособности и оценка эффективности применяемых программно-аппаратных СрЗИ;

    • определение измеримых и практических результатов деятельности по обеспечению ИБ значимых объектов КИИ и иное.

Профессиональный стандарт «Специалист в области информационных технологий на атомных станциях»

1 сентября 2024 года вступил в силу приказ Минтруда России от 15.01.2024 № 6н «Об утверждении профессионального стандарта «Специалист в области информационных технологий на атомных станциях (разработка и сопровождение ПО)».

Подробнее с приказом можно ознакомиться в обзоре изменений законодательства за февраль 2024 года, подготовленном Аналитическим центром УЦСБ.

Автор: Любовь Лобачева, аналитик УЦСБ


ссылка на оригинал статьи https://habr.com/ru/articles/841134/

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *