Квартальный отчёт о нормативном регулировании в сфере ИБ в III квартале

BIS Journal №4(55)2024

5 декабря, 2024

Квартальный отчёт о нормативном регулировании в сфере ИБ в III квартале

Подведение промежуточных итогов

В рамках подведения промежуточных итогов в III квартале 2024 года были опубликованы:

  • 17.07.2024 сведения о принятых национальных и международных стандартах за II квартал 2024 года (на сайте ФСТЭК России);
  • 20.08.2024 обзор отчётности об инцидентах информационной безопасности при переводе денежных средств за II квартал 2024 года (на сайте Банка России);
  • 03.09.2024 справка-доклад о ходе работ по плану ТК 362 «Защита информации» на 2024 год (по состоянию на 30.08.2024);
  • 05.09.2024 (до этого — 19.08.2024) перечень организаций, осуществляющих образовательную деятельность, имеющих дополнительные профессиональные программы в области информационной безопасности, согласованные с ФСТЭК России;
  • 13.09.2024 обновлённые по состоянию на 13.09.2024: перечень органов по аттестации, реестр аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий и государственный реестр сертифицированных средств защиты информации (доступно на сайте реестров ФСТЭК России).

О новых разрабатываемых и утверждённых документах расскажем далее.

 

Критическая информационная инфраструктура (КИИ)

10.07.2024 ФСТЭК России был представлен проект Постановления Правительства Российской Федерации «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации».

Если изменения будут приняты, с субъектов КИИ будет снята обязанность разработки перечней объектов КИИ, подлежащих категорированию.

05.08.2024 был опубликован проект постановления Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 14.11.2023 № 1912». Проектом предлагается внести изменения в Правила перехода субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ.

20.08.2024 Минтруда Российской Федерации опубликовало проект ведомственного акта об утверждении профессионального стандарта «Специалист по обеспечению безопасности значимых объектов критической информационной инфраструктуры».

 

Персональные данные (ПДн)

Вступил в силу (частично с 08.08.2024) Федеральный закон от 08.08.2024 № 233-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“ и Федеральный закон „О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона „О персональных данных“».

Настоящим законом разрешено использование средств защиты информации с функцией уничтожения данных, определены особенности обработки обезличенных ПДн при формировании составов данных и предоставления доступа к ним, урегулирована передача обезличенных ПДн в ГИС Минцифры.

Изменения вступили в силу со дня опубликования, за исключением некоторых положений, для которых был установлен иной срок (п. п. 1–3, 5 статьи 1, статья 2 Федерального закона вступят в силу с 01.09.2025).

 

Президент и Правительство РФ

11.07.2024 было опубликовано постановление Правительства Российской Федерации от 10.07.2024 № 929 «Об утверждении Положения о государственной единой облачной платформе» (в части требований к обеспечению информационной безопасности в рамках предоставления облачных услуг)».

В Положении определены цели, задачи и основные принципы функционирования единой облачной платформы, основные группы предоставляемых облачных услуг, состав участников и их функции.
Постановление вступит в силу с 01.01.2025, с этой же даты Единая облачная платформа будет функционировать в полном объёме.

08.08.2024 опубликован и вступил в силу Федеральный закон от 08.08.2024 № 216-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации».

В числе прочего настоящим законом:

  • на владельца социальной сети возлагается обязанность выявления в том числе информации, оскорбляющей человеческое достоинство и общественную нравственность, выражающей явное неуважение к обществу, содержащей изображение действий с признаками противоправных, в том числе насильственных, и распространяемой из хулиганских, корыстных или иных низменных побуждений;
  • на оператора связи возлагается обязанность по установке в своей сети предоставляемых Роскомнадзором технических средств контроля, предусматривающих ограничение доступа к информации, а также обязанность предоставлять в Роскомнадзор информацию, позволяющую идентифицировать средства связи и пользовательское оборудование (оконечное оборудование) в сети Интернет на территории Российской Федерации, территории субъекта Российской Федерации или части территории субъекта Российской Федерации;
  • Роскомнадзор наделяется полномочиями по управлению сетью связи общего пользования путём управления техническими средствами противодействия угрозам или путём передачи обязательных к выполнению указаний операторам связи, собственникам или иным владельцам технологических сетей связи, собственникам или иным владельцам точек обмена трафиком, собственникам или иным владельцам линий связи, пересекающих Государственную границу Российской Федерации, иным лицам;
  • скорректирован порядок лицензирования деятельности в области оказания услуг связи.

22.08.2024 было опубликовано «Соглашение между Правительством Российской Федерации и Правительством Исламской Республики Иран о сотрудничестве в области обеспечения информационной безопасности» от 26.01.2021.Документ вступил в силу 15.08.2024.

01.09.2024 вступило в силу Постановление Правительства Российской Федерации от 26.08.2024 № 1151 «Об образовании регионального сегмента единой биометрической системы в г. Москве». В соответствии с Постановлением в Москве будет образован региональный сегмент единой биометрической системы (ЕБС) и определены случаи использования сегмента, предоставления векторов ЕБС, использования ЕБС с применением биометрических ПДн, размещённых через региональное мобильное приложение системы, актуальные до 01.01.2027.

 

Минцифры РФ

19.08.2024 был опубликован приказ Минцифры Российской Федерации от 01.08.2024 № 682 «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утверждённый приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15.11.2021 № 1187».

Документ определяет новый индикатор риска нарушения обязательных требований для госконтроля за обработкой персональных данных, связанный с выявлением в предоставленных владельцем сайта данных или в ходе проверки в течение календарного года двух и более фактов несоответствия установленным правилам информации, связанной с применением рекомендательных технологий в рамках предоставленного контролируемым лицом доступа к программно-техническим средствам этих технологий.

30.08.2024 вышел приказ Минцифры Российской Федерации от 31.07.2024 № 677 «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключённой к информационно-телекоммуникационной сети „Интернет“, операторам государственных информационных систем, муниципальных информационных систем, информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений».

Приказ устанавливает для провайдеров хостинга требования к защите информации (в том числе с использованием криптографических средств) при предоставлении вычислительной мощности для размещения сведений в информационной системе, постоянно подключённой к сети Интернет.

 

ФСТЭК России, ТК № 26 «Криптографическая защита информации»

17.07.2024 были опубликованы проекты документов ТК № 26 «Криптографическая защита информации»:

  • Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Использование российских криптографических алгоритмов в протоколе получения актуальных статусов сертификатов (OCSP)»;
  • Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Ключевая система сети шифрованной связи с использованием ККСВ ВРК с сетевой топологией „звезда“»;
  • Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Ключевая система полносвязной многоарендаторной сети шифрованной связи на базе ККС ВРК с ДПУ».

Также был выпущен проект документа ТК № 058 «Функциональная безопасность»: ГОСТ Р/IEC TS 63074: 2023 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности».

18.07.2024 ФСТЭК России опубликовал проект приказа «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждённые приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утверждённые приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».

Проект приказа конкретизирует требования по защите информации, содержащейся в государственных информационных системах (ГИС) и информационных системах значимых объектов КИИ от угроз атак типа «отказ в обслуживании».

01.08.2024 ФСТЭК России также был выпущен Приказ от 27.06.2024 № 127 «Об утверждении форм документов, используемых ФСТЭК России и её территориальными органами при осуществлении и по результатам федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России», зарегистрированный 01.08.2024 за № 78984.

Приказом были утверждены формы:

  • приказа о проведении плановой (внеплановой) выездной проверки;
  • акта проверки;
  • предписания о приостановлении работ, связанных с использованием государственной тайны;
  • предписания об устранении выявленных нарушений.

08.08.2024 ФСТЭК России был опубликован Проект приказа «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений».

 

Банк России

12.08.2024 Банком России был опубликован проект Указания «О внесении изменений в Положение Банка России от 17 августа 2023 года № 821-П».

Было предложено внести изменения в части требований к обеспечению защиты информации при осуществлении переводов денежных средств, а также о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств. Изменения касаются:

  • определения обязанности реализации наиболее высокого из требуемых нормативными актами Банка России уровней защиты информации при определённых условиях;
  • установления сроков предоставления сведений об инцидентах операторами по переводу денежных средств, операторами услуг платёжной инфраструктуры в Банк России (в том числе по запросу Банка России);
  • установления требований к расчёту значений показателей оценки выполнения требований к мерам защиты информации в отношении технологии безопасной обработки защищаемой информации и оценки выполнения требований к мерам защиты информации в отношении прикладного программного обеспечения автоматизированных систем и приложений;
  • установления требования об осуществлении деятельности по планированию, реализации, контролю и совершенствованию мер и мероприятий, направленных на реализацию требований, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений и в отношении технологии обработки защищаемой информации;
  • определения права субъекта Национальной платёжной системы по реализации процессов разработки программного обеспечения и приложений, включающих меры обеспечения безопасного жизненного цикла разработки программного обеспечения и приложений;
  • расширения перечня сведений о действиях клиентов участников национальной платёжной системы, осуществляемых в рамках переводов денежных средств, подлежащих регистрации и хранению.

В то же время был выпущен и проект указания «О внесении изменений в Положение Банка России от 20.04.2021 №757-П».

Предполагались изменения в части установления обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций, касающиеся:

  • распространения требований по реализации минимального уровня защиты информации, установленного национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 на микрофинансовые организации, операторов инвестиционной платформы (с некоторыми оговорками);
  • определения обязанности реализации наиболее высокого из требуемых нормативными актами Банка России уровней защиты информации при определённых условиях;
  • установления сроков предоставления сведений об инцидентах некредитными финансовыми организациями в Банк России (в том числе по запросу Банка России);
  • установления требований к расчёту значений показателей оценки выполнения требований к мерам защиты информации в отношении технологии безопасной обработки защищаемой информации и оценки выполнения требований к мерам защиты информации в отношении прикладного программного обеспечения автоматизированных систем и приложений;
  • корректировки значения термина «получатель финансовых услуг»;
  • установления требования об осуществлении деятельности по планированию, реализации, контролю и совершенствованию мер и мероприятий, направленных на реализацию требований, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений и в отношении технологии обработки защищаемой информации;
  • определения права некредитных финансовых организаций по реализации процессов разработки программного обеспечения и приложений, включающих меры обеспечения безопасного жизненного цикла разработки программного обеспечения и приложений;
  • распространения требований по использованию электронной подписи для некредитных финансовых организаций, реализующих минимальный уровень ГОСТ Р 57580.1;
  • установления требований по регистрации информации о действиях клиентов при приёме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети Интернет.

20.08.2024 Банк России опубликовал «Методические рекомендации по установлению целевых значений и расчёту фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без добровольного согласия клиента и связанных с заключением кредитных договоров (договоров займа) без добровольного согласия клиента, а также установлению пороговых значений и расчёту фактических значений ключевых индикаторов риска информационной безопасности» № 13-МР.

Документ содержит новые методические рекомендации по установлению пороговых значений индикаторов и целевых значений показателей, а также по расчёту фактических значений индикаторов и показателей.

 

Отраслевые документы

30.07.2024 появился проект постановления Правительства Российской Федерации «О внесении изменений в Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности».

Напоминаем, что такие документы полезно рассмотреть как примеры проработки вопросов аналогичного содержания в других организациях и ведомствах.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

23.01.2025
Сокращение издержек или самосаботаж? Трамп избавляется от ИБ-консультантов
23.01.2025
АРПП: Хакеры обращают российских айтишников в «кротов»
23.01.2025
В ИТ-секторе рассказали о впечатлениях от отечественного инфраструктурного ПО
23.01.2025
Микроблогеров не берут в специальный реестр Роскомнадзора
23.01.2025
Хакеры отравляют и перекрашивают чужие мобильные приложения
22.01.2025
Немкин: Количество сбоев в работе Google в России будет расти
22.01.2025
Трамп снимает тормоза с нейросетей
22.01.2025
Малварь в дорогой упаковке. Чего вы можете не знать о своём новом смартфоне
22.01.2025
Скамеры заходят с младших карт
22.01.2025
РКН обновляет сачок для посторонних голосов. Что известно о проекте ЕСМ РЧС

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных