Обзор изменений в законодательстве за апрель 2024 года

В обзоре изменений за апрель 2024 года рассмотрим следующие темы:

Персональные данные

Согласно принятым НПА, опубликовано постановление, в целях выполнения ч. 9 ст. 26 572-ФЗ. Кроме того, были утверждены новые формы согласия на обработку биометрических ПДн и предусмотрена возможность предоставления согласия на размещение и обработку ПДн несовершеннолетнего лица.

Проекты НПА по ПДн предусматривают разрешение на обработку биометрических ПДн иностранных граждан и лиц без гражданства без их согласия, если это предусмотрено законодательством. Кроме того, предлагается внести в согласия на обработку ПДн обязательное указание способа отзыва такого согласия. Оператор должен обеспечить возможность отзыва согласия в той же форме, в которой было получено само согласие.

Безопасность финансовых организаций

Принятые НПА: Банк России разработал рекомендуемые меры по устранению последствий КМ и обновил требования по защите информации в платежной системе. Кроме того, было опубликовано новое положение 821-П, которое заменило устаревшее положение 719-П.

В рамках проектов НПА предлагается расширить обязанности КО при предоставлении информации об операциях, счетах и других финансовых данных.

Иное

Принятые НПА включают порядок сертификации процессов безопасной разработки ПО СрЗИ и расширенные требования к деятельности операторов связи. Опубликован Перечень сведений для идентификации физического лица в АИС страхования.

Предлагаемые НПА включают уточнения терминов и условий выполнения работ в 149-ФЗ для создания, развития и эксплуатации ГИС, расширение состава хранимой информации организатором распространения информации в сети «Интернет» и эксперимент по получению квалифицированных сертификатов ключей проверки ЭП гражданами РФ за пределами страны.

Стандартизация в сфере защиты информации

Согласно принятым НПА, были установлены несколько стандартов в сфере ЗИ: термины и определения в области КИИ, разработка безопасного ПО и описание протокола защищенного обмена.

Деятельность ФСТЭК России

Были обновлены реестры ФСТЭК России, опубликованы результаты работы ТК-362 за 1 квартал 2024 года.

Также с 2024 года мы начинаем ежеквартальную серию обзоров судебной практики в области ПДн и КИИ за 2024г. В текущем обзоре рассмотрим судебную практику за 1 квартал 2024 года.

Персональные данныеБиометрические персональные данные

Официально опубликовано постановление Правительства Российской Федерации (далее – РФ) от 01.04.2024 № 408 «О видах биометрических персональных данных (далее – ПДн), на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ».

Согласно постановлению действие Федерального закона от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ» (далее – 572-ФЗ) распространяется на следующие виды биометрических ПДн:

изображение лица человека, полученное с помощью фото- и видеоустройств;

запись голоса человека, полученная с помощью звукозаписывающих устройств.

Постановление вступает в силу с 1 сентября 2024 года и будет действовать до 1 сентября 2027 года.

Утверждение форм согласия на обработку ПДн в соответствии с 572-ФЗ

9 апреля 2024 года было опубликовано распоряжение Правительства РФ от 09.04.2024 № 856-р, которое вносит изменения в распоряжение Правительства РФ от 30.06.2018 № 1322-р «Об утверждении формы согласия на обработку ПДн, необходимых для регистрации гражданина РФ в единой системе идентификации и аутентификации (далее – ЕСИА), и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических ПДн гражданина РФ в единой информационной системе ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн гражданина РФ в соответствии с ч.2.ст.4 572-ФЗ.

Распоряжением утверждаются формы согласия на размещение и обработку ПДн в ЕСИА и биометрических ПДн в единой биометрической системе (далее – ЕБС), в том числе на передачу векторов ЕБС, представляемого на бумажном носителе и в форме электронного документа.

Ключевым изменением в форме согласия на размещение и обработку ПДн в ЕСИА и биометрических ПДн в ЕБС, в том числе на передачу векторов ЕБС, является возможность предоставления согласия на размещение и обработку ПДн несовершеннолетнего лица.

Распоряжение вступает в силу 1 января 2025 года.

Изменения в 126-ФЗ и 572-ФЗ

Представлен проект Федерального закона «О внесении изменений в Федеральный закон «О связи» и Федеральный закон «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ».

Изменения, которые предлагается внести в Федеральный закон от 07.07.2003 № 126-ФЗ «О связи»:

добавить требования к предоставлению сведений о трудоустройстве абонента, если пользователем услугами связи является иностранный гражданин, сведения о таком гражданине должны быть подтверждены с использованием ЕСИА;

изменить условия отправки экземпляра подписанного договора оператору связи;

добавить описание обязанностей оператора услуг и прав абонента;

добавить описание особенностей оказания услуг подвижной радиотелефонной связи иностранным гражданам и лицам без гражданства.

Изменения, которые предлагается внести в 572-ФЗ:

дополнить некоторые пункты ст. 3 условием, что физическое лицо должно быть гражданином РФ;

добавить возможность обработки биометрических ПДн иностранных граждан и лиц без гражданства без согласия на обработку ПДн в случаях, когда использование ЕБС обязательно в соответствии с законодательством РФ.

Публичное обсуждение законопроекта завершится 30 мая 2024 года.

Отзыв согласия на обработку ПДн

Представлен проект Федерального закона «О внесении изменений в статью 9 Федерального закона «О персональных данных», целью которого является обеспечение возможности субъекта ПДн отменить свое согласие на обработку его ПДн.

Предлагается внести следующие изменения:

в перечне информации, указанной в согласии на обработку ПДн, уточняется способ отзыва такого согласия. В согласии должна быть заявлена возможность отзыва согласия в той же форме, в какой оно было получено;

устанавливается обязательное требование к оператору, осуществляющему сбор ПДн: обеспечивать осуществление отзыва в той же форме, в которой было получено согласие.

Примерная программа повышения квалификации «Обеспечение безопасности ПДн при их обработке в ИСПДн»

Федеральной службой по техническому и экспортному контролю (далее – ФСТЭК России) разработана и утверждена новая редакция Примерной программы повышения квалификации «Обеспечение безопасности ПДн при их обработке в информационных системах ПДн», целью реализации которой является совершенствование и получение новых компетенций, необходимых для осуществления профессиональной деятельности специалистов, работающих в данных областях.

Обучающиеся по данной программе готовятся к решению задач профессиональной деятельности:

в проектной деятельности:

определение угроз безопасности ПДн в информационной системе ПДн (далее – ИСПДн);

формирование требований к системе защиты ПДн (далее – СЗПДн);

разработка и внедрение СЗПДн;

в эксплуатационной деятельности:

установка, настройка, испытания и техническое обслуживание программных средств защиты информации (далее – СрЗИ);

обеспечение безопасности ПДн в ходе эксплуатации ИСПДн и при выводе ИСПДн из эксплуатации.

Также в примерной программе определены оптимальный срок обучения — 14 к.д., состав и содержание учебных модулей и планируемые результаты обучения.

Безопасность финансовых организацийУстранение (прекращение) последствий контрольных мероприятий Банка России

Центральный банк РФ (далее – Банк России) опубликовал Информационное письмо от 16.04.2024 № ИН-03-25/27 «Об устранении (прекращении) последствий контрольных мероприятий Банка России».

В целях устранения (прекращения) последствий контрольных мероприятий Банка России (далее – КМ) кредитным и некредитным организациям рекомендуется:

уничтожать ПДн уполномоченных представителей Банка России и ПДн третьих лиц, предоставленные в соответствии с п. 1.2 Инструкции Банка России № 195-И в рамках проведения КМ в отношении поднадзорных организаций, в сроки, предусмотренные частью 4 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

при уничтожении таких ПДн учитывать требования к подтверждению уничтожения ПДн, установленные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения ПДн» (далее – приказ Роскомнадзора № 179), в том числе путем составления актов об уничтожении ПДн, содержащихся на материальных носителях и в информационных системах, включая содержащие ПДн анкеты и (или) досье, сформированные в ходе КМ в рамках исполнения требований Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

информировать иных лиц, которым поднадзорной организацией были переданы указанные ПДн, о необходимости подтверждения их уничтожения с учетом требований, установленных приказом Роскомнадзора № 179, и представления поднадзорной организации соответствующих актов об уничтожении ПДн.

Требования к обеспечению защиты информации при осуществлении переводов денежных средств

1 апреля вступило в силу Положение Банка России от 17.08.2023 № 821-П «О требованиях к обеспечению защиты информации п осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – 821-П), за исключением положений, для которых предусмотрен иной срок вступления в силу, и заменило Положение Банка России от 04.06.2020 года № 719-П, которое признается утратившим силу.

Рассмотрим основные отличия 821-П:

добавлено такое понятие, как операторы электронных платформ (далее – ОЭП), а также требования к ним в целях обеспечения защиты информации при осуществлении переводов денежных средств, такие как:

ОЭП, осуществляющие деятельность оператора финансовой платформы и информационной системы, должны обеспечивать выполнение требований Положения Банка России от 20.04.2021 № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций»;

ОЭП для объектов информационной инфраструктуры должны применять меры защиты информации (далее – ЗИ), реализующие уровни ЗИ, установленные национальным стандартом ГОСТ Р 57580.1-2017 «Безопасность финансовых операций. ЗИ финансовых организаций. Базовый состав организационных и технических мер»;

ОЭП должны обеспечивать ЗИ и реализовывать технологические меры при осуществлении операций по номинальному счету, указанных в Федеральном законе от 27.06.2011 № 161-ФЗ «О национальной платежной системе»;

изменения в технологических мерах, а именно добавление обязанности использования усиленной электронной подписи (далее – ЭП).

Изменения в Федеральном законе № 395-1

Представлен проект Федерального закона «О внесении изменений в статью 26 Федерального закона «О банках и банковской деятельности», целью которого является повышение эффективности регулирования института иностранных агентов с учетом текущих вызовов безопасности и суверенитету России.

Предлагается ч. 12 изложить в новой редакции, предусмотрев обязанность кредитных организаций представлять информацию об операциях, счетах и вкладах физических и юридических лиц по запросам, направленным руководителем (заместителем руководителя) территориального подразделения Федерального органа исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере юстиции.

Условия по защите информации в платежной системе и системе передачи финансовых сообщений Банка России

Обновлены «Условия по ЗИ» (утв. Банком России) (вместе с «Условиями управлениями криптографическими ключами», «Порядком направления обращений о приостановлении (возобновлении) обмена электронными сообщениями (далее – ЭС) или заявлений о приостановлении (возобновлении) обмена финансовыми сообщениями (далее – ФС) в случае выявления инцидента, связанного с несоблюдением Клиентом (Пользователем) требований к ЗИ», «Требованиями к использованию СКЗИ», «Требованиями к формированию ЭС и контролю реквизитов ЭС», «Требованиями к формированию ФС и контролю реквизитов ФС»), которые применяются для целей договора, заключаемого Банком России с клиентом и предусматривающего участие в обмене ЭС в платежной системе Банка России (ФС в системе передачи ФС Банка России).

В правила ЗИ, касающиеся электронного обмена сообщениями в системах Банка России, были добавлены:

требования к размещению объектов информационной инфраструктуры, автоматизированного рабочего места, а также к контуру формирования ЭС и контуру контроля реквизитов ЭС;

способы отправления акта о результатах устранения нарушений;

требования к СрЗИ: реализация двухсторонней аутентификации и шифрование на уровне звена данных или сетевом уровне;

формы документов:

акт о готовности Пользователя к обмену ФС с использованием системы передачи финансовых сообщений;

требования к формированию ФС и контролю реквизитов ФС.

Большинство положений документа применяются с 10 июня 2024 года.

ИноеСертификация процессов безопасной разработки ПО СрЗИ

Официально опубликован приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения (далее – ПО) СрЗИ».

Сертификация проводится в целях подтверждения соответствия процессов безопасной разработки ПО, внедренных изготовителем СрЗИ, требованиям национального стандарта ГОСТ Р 56939-2016 «ЗИ. Разработка безопасного ПО. Общие требования». Основные задачи нового вида сертификации:

сокращение сроков дополнительных мероприятий по подтверждению уязвимостей в обновленном СрЗИ;

сокращение периода, в рамках которого будет подтверждаться, что обновленная версия продукта безопасна;

экономия части финансов изготовителя СрЗИ.

Основными процессами, которые проверяются в ходе сертификации процессов безопасной разработки ПО СрЗИ, являются:

оценка соответствия законодательным требованиям руководства и документации по безопасной разработке ПО и документации, имеющихся у изготовителя (заявителя);

проверка наличия у изготовителя средств разработки ПО, а также средств, предназначенных для проведения композиционного, статического и динамического анализа ПО;

проверка реализации изготовителем процессов разработки безопасного ПО, прописанных в руководстве и в документации по безопасной разработке ПО;

проверка реализации изготовителем процедур поддержки безопасности ПО;

проверка выполнения требований к обучению специалистов изготовителя, участвующих в реализации процессов безопасной разработки ПО. 

Определены перечень сведений, указываемых изготовителем в заявке на сертификацию, и прилагаемые к ней документы, порядок их рассмотрения ФСТЭК России, принятия и оформления решения о проведении сертификации, порядок проведения сертификации и оформления соответствующих протоколов.

В приложениях приведены рекомендуемые образцы заявки на сертификацию процессов безопасной разработки ПО, решения о проведении сертификации, сертификата соответствия.

Приказ вступит в силу 1 июня 2024 года.

Требования к эксплуатации и управлению сетями связи в части использования операторами связи услуг сторонних организаций

Официально опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций РФ от 29.02.2024 № 147 «Об утверждении Требований к эксплуатации сетей связи и управлению сетями в части использования операторами связи услуг сторонних организаций».

Приказом были утверждены требования, направленные на регулирование деятельности операторов связи в части использования услуг сторонних организаций по:

изменению маршрутизации на сети связи;

контролю и поддержанию показателей функционирования сетей связи в соответствии с технической документацией на используемые средства связи;

технической поддержке и сервисному обслуживанию средств связи;

сбору и анализу статистических данных;

ликвидации аварийных ситуаций на сетях связи;

управлению сетями связи, составляющими сеть связи общего пользования.

Приказ вступает в силу с 1 сентября 2024 года и будет действовать до 1 сентября 2030 года.

Перечень сведений, используемых при проведении идентификации физического лица, информация о котором содержится в АИС страхования

Опубликовано распоряжение Правительства РФ от 17.04.2024 № 958-р «Об утверждении перечня сведений, используемых при проведении оператором автоматизированной информационной системы страхования идентификации физического лица, информация о котором содержится в автоматизированной информационной системе страхования».

Такими сведениями являются:

фамилия, имя, отчество (при наличии);

дата рождения;

реквизиты документа, удостоверяющего личность физического лица;

страховой номер индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Фонда пенсионного и социального страхования РФ;

сведения о водительском удостоверении.

Изменения в 149-ФЗ и 44-ФЗ

Представлен проект Федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о ЗИ», а также в статью 15 Федерального закона «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».

Изменения, которые предлагается внести в Федеральный закон «Об информации, информационных технологиях и о ЗИ» от 27.07.2006 № 149-ФЗ (далее – 149-ФЗ):

уточнить понятие «информационная система», добавить понятия «цифровая платформа», «государственные цифровые платформы», «электронный сервис», «облачные услуги по предоставлению вычислительных ресурсов», «облачные услуги по предоставлению ПО»;

добавить в описание государственных информационных систем (далее – ГИС) федеральные и региональные ГИС;

добавить условия выполнения работ, необходимых для создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации ГИС, среди которых:

выполнение работ может осуществляться подведомственными государственными органами, являющимися заказчиками таких систем;

технические средства информационных систем, используемые для обеспечения функционирования ГИС, должны размещаться на территории РФ;

изменить порядок создания и эксплуатации информационных систем, не являющихся ГИС;

цели создания ГИС уточняются для каждого вида ГИС – федеральных и региональных.

В Федеральный закон «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» от 05.04.2013 № 44-ФЗ предлагается добавить информацию о закупке товаров, работ, услуг для целей создания, развития, ввода в эксплуатацию, эксплуатации, а также выводу из эксплуатации ГИС.

Общественное обсуждение законопроекта завершилось 11 мая 2024 года.

Изменения в составе информации, подлежащей хранению организаторами распространения информации

Представлен проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 23.09.2020 № 1526».

Изменениями предлагается расширить состав информации, подлежащей хранению организатором распространения информации в сети «Интернет» при обеспечении функционирования коммуникационного интернет-сервиса, указанных в Правилах хранения организаторами распространения информации в информационно-телекоммуникационной сети «Интернет» информации о фактах приема, передачи, доставки и (или) обработки голосовой информации, письменного текста, изображений, звуков, видео- или иных ЭС пользователей информационно-телекоммуникационной сети «Интернет» и информации об этих пользователях и предоставления ее уполномоченным государственным органам, осуществляющим оперативно-разыскную деятельность или обеспечение безопасности РФ.

Согласно изменениям хранению будет подлежать не только сетевой адрес, с которого осуществлена регистрация пользователя, проводилась авторизация и прекращалась регистрация, но и порты пользователя, коммуникационного интернет-сервиса.

Общественное обсуждение законопроекта завершится 23 мая 2024 года.

Эксперимент по получению ЭП за пределами РФ

Представлен проект постановления правительства РФ «О проведении эксперимента по реализации возможности получения квалифицированных сертификатов ключей проверки ЭП гражданами РФ за пределами РФ».

Данным постановлением утверждается положение о проведении эксперимента по реализации возможности получения квалифицированных сертификатов ключей проверки ЭП гражданами РФ за пределами РФ, которое устанавливает порядок и условия проведения эксперимента.

Эксперимент будет проводится с 1 июля 2024 года по 31 декабря 2025 года в целях создания комфортной среды для граждан РФ, находящихся за рубежом, при реализации их конституционных и иных гражданских прав, на территории:

Республики Армения;

Республики Казахстан;

Киргизской Республики;

Республики Узбекистан.

Публичное обсуждение законопроекта завершилось 2 мая 2024 года.

Изменения в Положении о федеральной ГИС «Единая информационная платформа национальной системы управления данными»

Представлен проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 14.05.2021 № 733», которое вносит изменения в Положение о федеральной ГИС «Единая информационная платформа национальной системы управления данными», утвержденное Постановлением Правительства РФ от 14.05.2021 № 733 «Об утверждении Положения о федеральной государственной информационной системе «Единая информационная платформа национальной системы управления данными» и о внесении изменений в некоторые акты Правительства РФ».

Предлагается дополнить термины и определения, действия обладателей государственных данных и действия оператора единой информационной платформы, среди которых:

создание и переработка (модификация) типового тиражируемого ПО витрин данных;

создание или развитие витрин данных ГИС на единой цифровой платформе РФ «ГосТех» (далее – платформа «ГосТех») в рамках создания и развития ГИС с использованием элементов инфраструктуры для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, в соответствии с постановлением Правительства РФ от 16.12.2022 № 2338 «Об утверждении Положения о платформе «ГосТех», о внесении изменений в постановление Правительства РФ от 06.07.2015 № 676 и признании утратившим силу пункта 6 изменений, которые вносятся в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства РФ от 11.05.2017 № 555».

Общественное обсуждение законопроекта завершилось 30 апреля 2024 года.

СтандартизацияЕдиная терминологическая система на доверенные программно-аппаратные комплексы

С 1 апреля 2024 года введен в действие стандарт ПНСТ 905-2023 «Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы (далее – ПАК). Термины и определения».

Стандарт устанавливает термины и определения основных понятий, относящихся к доверенным ПАК, применяемым на объектах критической информационной инфраструктуры (далее – КИИ). В стандарте введены следующие понятия: ПАК и доверенный ПАК, КИИ, технологическая независимость КИИ, требования к доверенному ПАК по функциональности, надежности, защищенности, жизненный цикл ПАК, ПО для доверенного ПАК и другие термины, относящиеся к ПАК и их к компонентам.

Термины, установленные стандартом, рекомендуются для применения во всех видах документации и литературы в области проектирования, разработки и изготовления доверенных ПАК и их компонентов, используемых в составе ПАК, а также при разработке нормативных документов в указанной области.

Стандарты по разработке безопасного ПО

1 апреля 2024 года были введены в действия национальные стандарты РФ:

ГОСТ Р 71206-2024 «ЗИ. Разработка безопасного ПО. Безопасный компилятор языков С/С++. Общие требования»;

ГОСТ Р 71207-2024 «ЗИ. Разработка безопасного ПО. Статический анализ ПО. Общие требования».

Подробнее со стандартами можно ознакомиться в обзоре изменений законодательства за февраль 2024 года, подготовленном Аналитическим центром УЦСБ.

Протокол защищенного обмена для индустриальных систем

Введен в действие национальный стандарт РФ ГОСТ Р 71252-2024 «Информационная технология. Криптографическая ЗИ. Протокол защищенного обмена для индустриальных систем».

Стандарт содержит описание протокола Cryptographic Industrial Security Protocol, который применяется в системах с жесткими ограничениями на длину передаваемых данных, требующих использования неинтерактивных протоколов.

Стандарт заменил собой рекомендации по стандартизации Р 1323565.1.029-2019 «Информационная технология. Криптографическая ЗИ. Протокол защищенного обмена индустриальных систем».

Деятельность ФСТЭК РоссииОбновление реестров ФСТЭК России

На официальном сайте ФСТЭК России было опубликовано Информационное сообщение, согласно которому на сайте реестров ФСТЭК России были размещены обновленные по состоянию на 27 апреля 2024 года:

реестр лицензий на деятельность по технической защите конфиденциальной информации;

реестр лицензий на деятельность по разработке и производству средств защиты конфиденциальной информации;

государственный реестр сертифицированных СрЗИ;

перечень организаций, имеющих право проведения работ по аттестации объектов информатизации;

перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации;

реестр аккредитованных ФСТЭК России органов по сертификации;

реестр аккредитованных ФСТЭК России испытательных лабораторий;

перечень организаций, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну;

перечень органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не содержащей сведений, составляющих государственную тайну.

Использование российских криптографических алгоритмов в протоколе получения актуальных статусов сертификатов OCSP

Технический комитет по стандартизации «ЗИ» (далее – ТК 362) приступил к рассмотрению проекта Рекомендаций по стандартизации «Информационная технология. Криптографическая ЗИ. Использование российских криптографических алгоритмов в протоколе получения актуальных статусов сертификатов (OCSP)».

В проекте описан протокол получения актуального статуса сертификата – Online Certificate Status Protocol (далее – OCSP):

обзор протокола;

порядок формирования запроса к службе OSCP и проверки ее ответа;

определение полномочий службы OSCP;

проверка статуса сертификата службы OSCP;

форматы запроса и ответа;

использование российский криптографических алгоритмов;

способы передачи.

Предполагаемый срок введения рекомендаций по стандартизации – 30 ноября 2024 года.

Результаты анализа работы ТК 362 в I квартале 2024 года

На сайте ФСТЭК России опубликованы результаты работы ТК 362 и активности организаций-членов ТК 362 в I квартале 2024 года.

В рамках деятельности ТК 362 проводились работы по разработке, согласованию и подготовке к утверждению проектов национальных стандартов РФ, часть, которых описана в справке-докладе о ходе работ по плану ТК 362 на 2024 год.

Состояние работ по разработке, согласованию и подготовке к утверждению проектов национальных стандартов:

проект дорабатывается:

ГОСТ Р «ЗИ. Система организации и управления защитой информации. Общие положения»;

ГОСТ Р «ЗИ. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения»;

ГОСТ Р «ЗИ. Идентификация и аутентификация. Управление идентификацией и аутентификацией»;

ГОСТ Р «ЗИ. Система автоматизированного управления учетными записями и правами доступа. Общие требования»;

ГОСТ Р «ЗИ. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования»;

ГОСТ Р «ЗИ. Системы с конструктивной информационной безопасностью. Методология разработки»;

проект представлен на утверждение председателю ТК 362:

ГОСТ Р «ЗИ. Идентификация и аутентификация. Уровни доверия аутентификации»;

ГОСТ Р 52447 «ЗИ. Техника ЗИ. Классификация СрЗИ от несанкционированного доступа и номенклатура показателей качества»;

публичное обсуждение проекта:

ГОСТ Р «ЗИ. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»;

ГОСТ Р «ЗИ. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»;

ГОСТ Р «ЗИ. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;

ГОСТ Р «ЗИ. Формальная модель управления доступом. Часть 4. Рекомендации по верификации СрЗИ, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;

работы по разработке проекта приостановлены:

ГОСТ Р ИСО/МЭК 27001 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни. Система менеджмента информационной безопасности»;

ГОСТ Р ИСО/МЭК 27002 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни. Меры обеспечения информационной безопасности»;

ГОСТ Р ИСО/МЭК 28005 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни. Руководство по управлению рисками»;

ГОСТ Р «ЗИ. Разработка безопасного ПО. Динамический анализ ПО. Общие требования»;

ГОСТ Р «ЗИ. Разработка безопасного ПО. Термины и определения»;

проект находится на согласовании у председателя подкомитета «Международное сотрудничество в области защиты информации»:

ГОСТ Р «ЗИ. Доверенная среда исполнения. Общие требования»;

проводятся работы по разработке первой редакции проекта:

ГОСТ Р «ЗИ. Разработка безопасного ПО. Методика оценки уровня внедрения процессов разработки безопасного ПО»;

ГОСТ Р «ЗИ. Разработка безопасного ПО. Руководство по внедрению процессов разработки безопасного ПО»;

разработана окончательная редакция проекта:

ГОСТ Р 56939 «ЗИ. Разработка безопасного ПО. Общие требования».

Судебная практикаНарушение защиты ПДн

Пресечение нарушений, обеспечение законности и защита прав граждан в области ПДн остается одним из приоритетных и весьма активных направлений деятельности Роскомнадзора и его территориальных органов.

Более подробную информацию о судебной практике, связанной с деятельностью ведомства, можно найти на официальном сайте. Здесь размещены материалы по наиболее значимым делам, рассматриваемым в судах, а также обзоры судебной практики по отдельным вопросам, входящим в компетенцию Роскомнадзора.

В Перечнях судебных споров, а также принятых по ним решений Роскомнадзором, за 1 квартал 2024 года описано количество судебных решений по ПДн:

два судебных решения за январь;

одно судебное решение за февраль;

пять судебных решений за март.

Не все судебные решения доступны для просмотра в открытом доступе. Только после прохождения определенных процедур они могут быть опубликованы в обезличенном виде. Далее приведены несколько примеров таких судебных решений:

Дело специалиста из компании сотовой связи

Новгородский районный суд признал виновным специалиста офиса продаж одной из компаний сотовой связи по ч. 3 ст. 272 «Уголовного кодекса РФ» от 13.06.1996 № 63-ФЗ.

Приговором суда специалисту было назначено наказание в виде штрафа в размере 60 тысяч рублей с лишением права заниматься деятельностью, связанной с доступом к охраняемой законом конфиденциальной информации на срок 2 года.

Дело ООО «МВМ»

Мировой суд в Москве оштрафовал на 60 тысяч рублей ООО «МВМ» (далее — М.Видео) за совершение правонарушения, предусмотренного ч.1 ст. 13.11 «Кодекса РФ об административных правонарушениях» от 30.12.2001 № 195-ФЗ (далее — КоАП РФ).

Из представленных документов следует, что Роскомнадзор в результате проведенного мониторинга обнаружил в сети Интернет базу данных, принадлежащую М.Видео, которая содержит ПДн участников бонусной программы и клиентов магазина. В базе данных содержатся следующие сведения: фамилия, имя, отчество, адрес электронной почты, номер телефона и количество бонусных рублей. Всего в базе данных содержится 317 тысяч записей.

На данный момент М.Видео отправило жалобу на постановление по делу об административном нарушении.

Дело ООО «Экспресс лаб»

Арбитражный суд Республики Башкортостан решил взыскать с ООО «Экспресс лаб» (далее — Подрядчик) сумму убытков ООО «Банк ПТБ» (далее — Заказчик) в размере 60 тысяч рублей, расходы по оплате государственной пошлины в размере 2400 рублей.

В 2021 году Заказчик заключил договор с Подрядчиком на оказание услуг по разработке единой формы «Заявка на кредит» для заполнения ее на официальном сайте Заказчика. Через два года на данном сайте произошла утечка ПДн, причиной возникновения инцидента была публикация журнального файла, хранящего информацию о ПДн пользователей, сотрудником Подрядчика в открытом виде в сети интернет без каких-либо систем защиты.

На момент подписания актов приемки работ Заказчику не было известно о том, что сотрудник Подрядчика опубликовал журнальный файл. Поэтому в 2023 году Заказчик был привлечен к административной ответственности по ст. 13.11 КоАП РФ за нарушение ч.1 ст.6 152-ФЗ в виде наложения административного штрафа в размере 60 тысяч рублей.

В 2024 году Заказчик подал жалобу на судебное решение. Суд, принимая во внимание установленные обстоятельства оказания услуг ненадлежащего качества, которые явились причиной назначения Заказчику административного наказания в виде штрафа, пришел к выводу о наличии оснований для возложения на Подрядчика меры гражданско-правовой ответственности в виде возмещения убытков в соответствии с Решением от 14.02.2024 г. по делу № А07-34409/2023.

Обзор подготовила Анна Толмачева Анна, аналитик УЦСБ

Источник: habr.com