Обзор изменений в законодательстве ИТ и ИБ за январь 2025 года

В обзореизменений за январь 2025 года рассмотрим следующие темы:

1. Персональные данные

Срок действия 687-П ограничивается до 1 сентября 2030 года. Представлен проект изменений, расширяющий варианты проведения мероприятий по контролю за операторами ПДн без взаимодействия с ними. Расширен перечень случаев использования биометрических ПДн, размещенных в ЕБС с использованием мобильного приложения. В 152-ФЗ внесено дополнение об обработке ПДн без согласия.

2. Безопасность финансовых организаций

Банк России опубликовал Методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей объектов информационной инфраструктуры организаций финансового рынка.

3. Иное

Вступили в силу:

• Условия по защите информации для участников платформы цифрового рубля;

• Положение о Гособлаке;

• изменения в составе информации, подлежащей хранению организатором распространения информации в сети «Интернет».

Представлена Концепция государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно‑коммуникационных технологий. Срок осуществления лицензионного контроля в соответствии с 294-ФЗ продлен до конца 2025 года. Утверждены формы согласия на обработку ПДн в соответствии с 572-ФЗ. Завершился переходный период авторизации пользователей информационных ресурсов. Представлен проект изменений Порядка обработки биометрических ПДн в ЕБС.

4. Деятельность ФСТЭК России

ФСТЭК России представила проекты приказов о порядке и сроках проведения лицензионного контроля, а также информационные сообщения о повышении безопасности СрЗИ, в состав которых входят средства контейнеризации, интерпретаторы, веб‑сервера и сервера приложений.

Персональные данные

Отмена Положения об особенностях обработки ПДн без средств автоматизации

26 января 2025 года вступило в силу постановление Правительства Российской Федерации (далее — РФ) от 18.01.2025 № 12 «О внесении изменения в постановление Правительства РФ от 15.09.2008 № 687 „Об утверждении Положения об особенностях обработки персональных данных (далее — ПДн), осуществляемой без использования средств автоматизации“ (далее — 687-П)», согласно которому срок действия 687-П ограничивается до 1 сентября 2030 года.

Изменения в госконтроле за обработкой ПДн

Министерство цифрового развития, связи и массовых коммуникаций РФ (далее — Минцифры России) представило для общественного обсуждения проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ ‎от 29.06.2021 № 1046 „О федеральном государственном контроле (надзоре) за обработкой ПДн“.

Проектом предлагается дополнить варианты проведения мероприятий по контролю за операторами ПДн без взаимодействия с контролируемым лицом использованием информационных систем (далее — ИС), принадлежащих контролирующему органу.

Также расширяется перечень действий, который может быть применен по отношению к оператору, если в ходе контроля без взаимодействия с оператором были выявления нарушения. В отношении оператора принимаются следующие меры:

• по прекращению обработки ПДн ‎и их уничтожению;

• направляется письмо с требованием ‎об уточнении, блокировании или уничтожении недостоверных‎ или полученных незаконным путем ПДн ‎в течение 10 рабочих дней с информированием контролирующего органа об исполнении требования либо ‎с представлением мотивированных пояснений о выявленных нарушениях требований;

• объявляется предостережение ‎о недопустимости нарушения обязательных требований и предлагается принять меры по обеспечению соблюдения обязательных требований.

Общественное обсуждение проекта завершилось 4 февраля 2025 года.

Расширение случаев использования биометрических ПДн, размещенных в ЕБС с использованием мобильного приложения

24 января 2025 года официально вступило в силу постановление Правительства РФ от 18.01.2025 № 15 «О внесении изменений в постановление Правительства РФ от 15.06.2022 № 1067 „О случаях и сроках использования биометрических ПДн, размещенных физическими лицами в единой информационной системе ПДн, обеспечивающей обработку, включая сбор и хранение, биометрических ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн физического лица“.

Согласно изменениям биометрические ПДн, размещенные в единой биометрической системе (далее — ЕБС) с использованием мобильного приложения ЕБС, могут использоваться для:

• осуществления продажи алкогольной, табачной продукции, тонизирующих, энергетических напитков и т.д;

• подтверждения факта нахождения гражданина в живых в целях продления выплаты страховой пенсии и фиксированной выплаты гражданину РФ, проживающему за пределами территории РФ.

Изменения в 152-ФЗ

Опубликован Федеральный закон от 28.12.2024 № 519-ФЗ «О внесении изменений в статьи 10 и 11 Федерального закона от 27.07.2006 № 152-ФЗ „О персональных данных“ и отдельные законодательные акты РФ».

В статьи об обработке специальных категорий ПДн и биометрических ПДн вносится уточнение, что такие категории ПДн допускается обрабатывать без согласия субъекта ПДн в случаях, предусмотренных уголовно‑процессуальным законодательством.

Изменения вступают в силу 1 сентября 2025 года.

Безопасность финансовых организаций

Методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей

Центральный банк РФ (далее — Банк России) опубликовал Методические рекомендации от 22.01.2025 2-МР Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка.

Рекомендации разработаны в целях обеспечения единого подхода к реализации организациями финансового рынка тестирования на проникновение и анализа уязвимостей автоматизированных систем (далее — АС), программного обеспечения (далее — ПО), средств вычислительной техники, телекоммуникационного оборудования в соответствии с требованиями Положений Банка России № 683-П, № 757-П, № 821-П, № 808‑П.

Целями проведения тестирования на проникновение и анализа уязвимостей могут являться:

• оценка уровня защищенности объектов информационной инфраструктуры;

• обеспечение доверия к объектам информационной инфраструктуры, в том числе входящим в критичную архитектуру.

Согласно документу организациям финансового рынка рекомендуется:

• определить границы тестирования и анализа уязвимостей, включить в них объекты информационной инфраструктуры, распространяемые клиентам для совершения финансовых операций и ПО, используемое для приема электронных сообщений, в том числе:

  • веб‑приложения дистанционного банковского обслуживания (далее — ДБО);

  • мобильные приложения ДБО;

  • мобильные приложения личных кабинетов клиентов;

  • АС, участвующие во взаимодействии с ДБО;

  • серверы приложений и систем управления базами данных;

  • специализированные клиентские приложения ДБО;

• использовать Методические рекомендации Банка России от 20.12.2023 № 18‑МР при описании наименований объектов информационной инфраструктуры;

• перед проведением тестирования на проникновение и анализа уязвимостей разработать:

  • техническое задание;

  • соглашение об ответственности сторон;

  • модель угроз информационной безопасности;

  • планы восстановления операционной надежности в случае возникновения нештатных ситуаций;

• руководствоваться положениями:

  • ГОСТ Р 58 143–2018 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей ПО в соответствии с ГОСТ Р ИСО/МЭК 15 408 и ГОСТ Р ИСО/МЭК 18 045. Часть 2. Тестирование проникновения»;

  • Профиля защиты прикладного ПО АС и приложений кредитных организаций и некредитных финансовых организаций.

Проводить тестирование на проникновение и анализ уязвимостей можно как самостоятельно, так и с привлечением на договорной основе сторонней организации. Результаты рекомендуется оформлять в форме отчета, который будет храниться не менее 5 лет.

Привлекаемая сторонняя организация должна соответствовать следующим требованиям:

• наличие действующей лицензии на осуществление деятельности по технической защите конфиденциальной информации для оказания услуг по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;

• наличие опыта работы по проведению тестирования на проникновение объектов информационной инфраструктуры не менее 3 лет в организациях финансового рынка, подтвержденного не менее чем тремя соответствующими завершенными договорами;

• наличие подтвержденного опыта проведения тестирования на проникновение объектов информационной инфраструктуры у привлекаемых специалистов сторонней организации не менее 3 лет.

Отметим, что ООО «УЦСБ» соответствует всем вышеперечисленным требованиям.

Иное

Защита информации для участников платформы цифрового рубля

1 января 2025 года вступили в силу Условия по защите информации для участников платформы цифрового рубля (далее — Условия). Подробнее с Условиями можно ознакомиться в обзоре изменений законодательства за май 2024 года, подготовленном Аналитическим центром УЦСБ.

Продление лицензионного контроля в соответствии с 294-ФЗ

Вступило в силу постановление Правительства РФ от 27.12.2024 № 1931 «О внесении изменений в некоторые акты Правительства РФ», согласно которому лицензионный контроль за:

• разработкой и производством средств защиты конфиденциальной информации (постановление Правительства РФ от 03.03.2012 № 171);

• деятельностью по технической защите конфиденциальной информации (постановление Правительства РФ от 03.02.2012 № 79),

продолжает осуществляться в соответствии с Федеральным законом от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее — 294-ФЗ) до 31 декабря 2025 года.

Напомним, что ранее срок осуществления контроля в соответствии с 294-ФЗ был ограничен до 31 декабря 2024 года включительно.

Утверждение форм согласий на обработку ПДн в соответствии с 572-ФЗ

1 января 2025 года вступило в силу распоряжение Правительства РФ от 09.04.2024 № 856-р, которое вносит изменения в распоряжение Правительства РФ от 30.06.2018 № 1322-р «Об утверждении формы согласия на обработку ПДн, необходимых для регистрации гражданина РФ в единой системе идентификации и аутентификации, и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических ПДн гражданина РФ в единой информационной системе ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн гражданина РФ».

Подробнее с изменениями можно ознакомиться в обзоре изменений законодательства за апрель 2024 года, подготовленном Аналитическим центром УЦСБ.

Государственная облачная платформа

1 января 2025 года вступило в силу постановление Правительства РФ от 10.07.2024 № 929 «Об утверждении Положения о государственной единой облачной платформе (далее — Гособлако)».

Подробнее с целью создания, задачами, которые решает Гособлако, и его возможностями можно ознакомиться в обзоре изменений законодательства за июль 2024 года, подготовленном Аналитическим центром УЦСБ.

Концепция государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно‑коммуникационных технологий

Опубликовано Распоряжение Правительства РФ от 30.12.2024 № 4154-р об утверждении Концепции государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно‑коммуникационных технологий.

Задачами системы являются:

• прогнозирование и выявление противоправных деяний;

• повышение результативности расследования преступлений, совершаемых с использованием информационно‑коммуникационных технологий;

• совершенствование законодательства в сфере противодействия противоправным деяниям;

• разработка и реализация правовых, организационных, технических и иных мер противодействия противоправным деяниям;

• сбор, обработка, анализ и обмен информацией в сфере противодействия противоправным деяниям;

• создание подразделений, специализирующихся на противодействии противоправным деяниям и иные.

Для выполнения задач планируется, что система будет реализовывать следующие функции:

• обеспечивать оперативный обмен информацией между правоохранительными органами, Банком России, кредитными организациями, а также операторами связи (за исключением случаев, когда произошли компьютерная атака или компьютерный инцидент);

• проведение мониторинга и ограничение доступа к противоправным ресурсам в информационно‑телекоммуникационных сетях;

• обеспечение эффективного применения норм законодательства в сфере противодействия противоправным деяниям, в том числе проведение систематического мониторинга правоприменительной практики в данной сфере;

• совершенствование вопросов, связанных с порядком выпуска, обращения и реализации ограничительных процедур в отношении цифровой валюты;

• реализация механизма оперативного приостановления операций с денежными средствами, использовавшимися в преступной деятельности и иные.

Изменения в составе информации, подлежащей хранению организатором распространения информации в сети «Интернет»

1 января 2025 года вступило в силу постановление Правительства РФ от 09.10.2024 № 1348 «О внесении изменений в постановление правительства РФ от 23.09.2020 № 1526», согласно которому вносятся изменения в состав информации, подлежащей хранению организатором распространения информации в сети «Интернет» при обеспечении функционирования коммуникационного интернет‑сервиса.

Подробнее изменениями можно ознакомиться в обзоре изменений законодательства за октябрь 2024 года, подготовленном Аналитическим центром УЦСБ.

Завершение переходного периода авторизации пользователей информационных ресурсов

1 января 2025 года завершился переходный период, установленный Федеральным законом от 12.12.2023 № 588-ФЗ «О внесении изменения в статью 8 Федерального закона „Об информации, информационных технологиях и о защите информации“, в течение которого владелец ИС, ПО или ресурсов в сети „Интернет“ мог проводить авторизацию пользователей с использованием собственной ИС, обеспечивающей авторизацию.

По истечении переходного периода использовать ИС, обеспечивающие авторизацию пользователей информационных ресурсов, можно только при условии, что ее владельцем является:

• гражданин РФ, не имеющий гражданства другого государства;

• юридическое лицо, находящееся под контролем РФ, субъекта РФ, муниципального образования, гражданина РФ, не имеющего гражданства другого государства.

Изменения в Порядке обработки биометрических ПДн в ЕБС

Минцифры России представило для общественного обсуждения проект приказа «О внесении изменений в Порядок обработки, включая сбор, хранение, биометрических ПДн, в том числе требования к параметрам биометрических ПДн, и в Порядок размещения и обновления биометрических ПДн в ЕБС, ‎а также случаи и сроки использования биометрических ПДн при их размещении в ЕБС в соответствии с ч. 14 ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ», утвержденные приказом Минцифры России от 12.05.2023 ‎№ 453».

Проектом предлагается:

• увеличить срок, после которого необходимо обновить биометрические ПДн в ЕБС, с 2 до 4 лет, если ПДн были размещены государственными органами, Банком России, организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами;

• в случае изменения ряда требований к параметрам биометрических ПДн обязать оператора ЕБС осуществлять проверку параметров биометрических ПДн, размещенных в ЕБС совместно с идентификатором учетной записи в единой системе идентификации и аутентификации, на соответствие обновленным требованиям;

• изменить ряд параметров, которым должны соответствовать записи голоса, размещаемые в ЕБС, в частности:

  • исключить требование о произнесении физическим лицом последовательности букв или цифр, сгенерированной ПО, а также требование о произнесении текста физическим лицом на русском языке;

  • уточнить, что запись голоса должна содержать длину чистой речи не менее 30 секунд;

• изменить ряд параметров, которым должно соответствовать изображение лица, размещаемое в ЕБС.

Планируется, что в случае принятия, приказ будет действовать до 1 июня 2029 года. Общественное обсуждение проекта приказа завершилось 27 января 2025 года.

ФСТЭК России

Сроки и последовательность лицензионного контроля ФСТЭК России

Федеральная служба по техническому ‎и экспортному контролю РФ (далее — ФСТЭК России) представила проекты приказов:

• Об утверждении сроков и последовательности административных процедур при осуществлении ФСТЭК России и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации;

• Об утверждении сроков и последовательности административных процедур при осуществлении ФСТЭК России и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России).

Проектами приказов закрепляется, что при осуществлении лицензионного контроля в отношении лицензиатов проводятся плановые (внеплановые) документарные и (или) выездные проверки. Для проведения проверки ФСТЭК России назначаются не менее двух должностных лиц. По решению директора ФСТЭК России или руководителя территориального органа к проведению выездной проверки могут привлекаться сторонние по отношению к проверяемому лицу эксперты и экспертные организации.

Срок проведения проверки не может превышать 20 рабочих дней. Однако, для ряда лицензиатов установлены иные максимальные сроки проведения плановых выездных проверок. Так для лицензиатов, являющихся:

• малым предприятием — 50 часов в год;

• микропредприятием — 15 часов в год;

• юридическим лицом, которое осуществляет свою деятельность ‎на территориях нескольких субъектов РФ — устанавливается отдельно по каждому филиалу/ обособленному структурному подразделению, но не более 60 рабочих дней.

В исключительных случаях, связанных с необходимостью проведения сложных или длительных проверок, на основании мотивированных предложений проверяющих срок проведения выездной плановой проверки, может быть продлен.

Также проектами закрепляются порядки проведения проверок, оформления результатов проверок и осуществления контроля за устранением лицензиатом выявленных нарушений лицензионных требований.

Общественное обсуждение проектов завершится 12 февраля 2025 года.

Повышение безопасности СрЗИ, в составе которых средства контейнеризации или образы контейнеров

На официальном сайте ФСТЭК России опубликовано Информационное сообщение от 13.01.2025 № 240/24/38 «О повышении безопасности средств защиты информации (далее — СрЗИ), в состав которых разработчики включают средства контейнеризации или образы контейнеров».

В целях повышения безопасности СрЗИ в контейнерном исполнении изготовителям при разработке и сертификации необходимо:

• использовать сертифицированное средство контейнеризации, если оно не входит в состав СрЗИ и используется в качестве среды его функционирования;

• провести инвентаризацию образов контейнеров, входящих в СрЗИ, а также ПО из состава образов контейнеров. Перечень образов контейнеров должен быть приведен в проектной документации;

• обеспечить контроль целостности образов контейнеров и исполняемых файлов, осуществляется средством самостоятельно, с использованием средства контейнеризации или сертифицированного средства контроля целостности;

• обеспечить совместимость ПО, входящего в состав образов контейнеров, с хостовыми операционными системами (далее — ОС), указанными в эксплуатационной документации в качестве среды функционирования;

• обеспечить запуск контейнеров с полномочиями, минимально необходимыми для функционирования СрЗИ;

• обеспечить управление доступом между компонентами СрЗИ (контейнерами, микросервисами, иными ресурсами), компонентами среды функционирования, внешними по отношению к средству компонентами в соответствии с заданными разработчиком средства правилами. Правила доступа, содержащие разрешенный список действий, должны быть описаны в документации.

Повышение безопасности СрЗИ, в составе которых интерпретаторы, веб‑сервера и сервера приложений

На официальном сайте ФСТЭК России опубликовано Информационное сообщение от 10.01.2025 № 240/24/39 «О повышении безопасности СрЗИ, в состав которых разработчики включают интерпретаторы (компоненты среды функционирования интерпретируемых языков или языков, компилируемых в промежуточное представление), веб‑сервера и сервера приложений (далее — программные компоненты) или задействуют для реализации функциональных возможностей средств данные программные компоненты из состава среды функционирования».

В целях повышения безопасности СрЗИ, использующих указанные программные компоненты, при разработке и сертификации необходимо:

• в случае использования в СрЗИ для реализации функций безопасности или в составе поверхности атаки СрЗИ программных компонентов из состава среды функционирования СрЗИ сертифицировать их по требованиям безопасности информации (могут быть сертифицированы самостоятельно, в составе среды функционирования СрЗИ или в составе СрЗИ);

• в случае включения в состав ОС несертифицированных программных компонентов, ко всем функциям по безопасности, содержащихся в программных компонентах, предъявить требования по безопасности информации и включить их в технические условия на ОС, выполнение которых проверяется при проведении сертификационных испытаний;

• в случае включения в состав иных СрЗИ несертифицированных программных компонентов, сертифицировать их в составе СрЗИ в части задействования данных компонентов при реализации функций безопасности СрЗИ или в поверхности атаки СрЗИ;

• наделять программные компоненты минимально необходимыми для функционирования СрЗИ полномочиями;

• обеспечить выполнение программными компонентами кода либо входящего в состав СрЗИ, либо допущенного к выполнению посредством документированных функциональных возможностей СрЗИ (если программными компонентами предусмотрена возможность по выполнению кода);

• включить в эксплуатационную документацию сведения о всех функциональных возможностях, в том числе функциях безопасности, параметрах их безопасной конфигурации, настройки и эксплуатации, а также рекомендации по контролю безопасной конфигурации и настройки средств.

Автор: Любовь Лобачева, аналитик УЦСБ