Обзор изменений в законодательстве за август 2024 года

В обзоре изменений за август 2024 года рассмотрим следующие темы:

1.      Критическая информационная инфраструктура

Уточняются критерии отнесения ПАК к числу доверенных. Устанавливаются дополнительные требования при организации и осуществлении дистанционного управления значимыми объектами КИИ, функционирующими в сфере электроэнергетики.

2.      Персональные данные

Рассмотрим изменения в 152-ФЗ в части обезличивания и уничтожения ПДн, новый индикатор риска нарушения требований при осуществлении контроля за обработкой ПДн, виды биометрических ПДн, на которые распространяется действие 572-ФЗ, и порядок обработки ПДн сотрудников ФСБ России.

3.      Безопасность финансовых организаций

Банк России представил новые Методические рекомендации по установлению и расчету показателей уровня риска ИБ при переводе денежных средств.

4.      Иное

Представлены требования к провайдерам хостинга по включению их в перечень провайдеров хостинга и требования, предъявляемые при предоставлении ими вычислительной мощности. Вступили в силу изменения в требованиях к форме квалифицированного сертификата ключа проверки электронной подписи, положение о ГИС в области генетической информации, порядок формирования и ведения автоматизированных и централизованных баз ПДн о пассажирах и персонале транспортных средств и иное.

5.      Деятельность ФСТЭК России

Рассмотрим проект новых Требований к защите информации в ГИС и ИС государственных органов, которыми планируется заменить Приказ ФСТЭК России № 17.

6.      Стандартизация

Рассмотрим два профессиональных стандарта:

‒           Специалист по обеспечению безопасности значимых объектов КИИ;

‒           Специалист в области информационных технологий на атомных станциях.

Критическая информационная инфраструктураИзменения в Правилах перехода субъектов КИИ на преимущественное применение доверенных ПАК на значимых объектах КИИ

Министерство промышленности и торговли Российской Федерации (далее – РФ) представило для общественного обсуждения проект постановления «О внесении изменений в постановление Правительства РФ от 14.11.2023 № 1912», который вносит изменения в Правила перехода субъектов критической информационной инфраструктуры (далее – КИИ) РФ на преимущественное применение доверенных программно-аппаратных комплексов (далее – ПАК) на принадлежащих им значимых объектах КИИ РФ.

Проект уточняет следующие критерии признания ПАК доверенным:

сведения о ПАК ‎или об используемой в составе ПАК радиоэлектронной продукции (в том числе телекоммуникационном оборудовании), являющейся конечной продукцией, должны содержаться в едином реестре российской радиоэлектронной продукции или в реестре российской промышленной продукции;

в случае реализации в ПАК функции защиты информации, ПАК или используемая в составе ПАК радиоэлектронная продукция (в том числе телекоммуникационное оборудование) должны иметь сертификат Федеральной службой по техническому и экспортному контролю РФ (далее – ФСТЭК России) или Федеральной службой безопасности РФ (далее – ФСБ России).

Также проект дополняет форму Сведений о ПАК, которая заполняется в рамках разработки Плана перехода субъекта КИИ на преимущественное применение доверенных ПАК на принадлежащих ему значимых объектах КИИ. В характеристиках ПАК необходимо указать:

код ПАК по ОКПД;

основные технические характеристики ПАК;

номер реестровой записи ПАК и аналогичных ПАК;

реквизиты сертификата о соответствии требованиям ФСТЭК России или ФСБ России (в случае реализации функции защиты информации).

В характеристиках программного обеспечения (далее – ПО) и радиоэлектронной продукции (в том числе телекоммуникационного оборудования), используемых в составе ПАК, необходимо указать:

наименование продукции или ПО;

реквизиты сертификата о соответствии требованиям ФСТЭК России или ФСБ России (в случае реализации функции защиты информации).

Дополнительные требования к значимым объектам КИИ в сфере энергетики

1 сентября 2024 года вступил в силу приказ Министерства энергетики РФ от 26.12.2023 № 1215 «Об утверждении дополнительных требований по обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике».

Приказ будет действовать до 1 сентября 2030 года. Подробнее с приказом можно ознакомиться в обзоре изменений законодательства за май 2024 года, подготовленном Аналитическим центром УЦСБ.

Персональные данныеИзменения в 152-ФЗ

8 августа 2024 года был официально опубликован Федеральный закон от 08.08.2024 № 233-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте РФ — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных».

Закон вносит ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» в части обезличивания и уничтожения персональных данных (далее – ПДн), а также иные изменения. Подробнее с изменениями можно ознакомиться в обзоре изменений законодательства за июль 2024 года, подготовленном Аналитическим центром УЦСБ.

Дополнение Перечня индикаторов риска нарушения требований при осуществлении контроля за обработкой ПДн

Опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры РФ) от 01.08.2024 № 682 «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн, утвержденный приказом Минцифры России от 15.11.2021 № 1187».

Согласно приказу Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн дополняется новым индикатором риска – установление в течение календарного года двух и более фактов несоответствия правилам применения информационных технологий предоставления информации на основе рекомендательных технологий, полученной по запросу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор):

при предоставлении указанной информации контролируемым лицом, являющимся владельцем сайта или страницы сайта в сети «Интернет»;

при проведении контролирующим органом оценки соответствия применения рекомендательных технологий в рамках предоставленного ему доступа к программно-техническим средствам рекомендательных технологий.

Виды биометрических ПДн, на которые распространяется действие 572-ФЗ (ЕБС)

1 сентября 2024 года вступило в силу постановление Правительства РФ от 01.04.2024 № 408 «О видах биометрических ПДн, на которые распространяется действие Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических ПДн, о внесении изменений в отдельные законодательные акты РФ и признании утратившими силу отдельных положений законодательных актов РФ». Подробнее с постановлением можно ознакомиться в обзоре изменений законодательства за апрель 2024 года, подготовленном Аналитическим центром УЦСБ.

Обработка ПДн сотрудников ФСБ России

8 августа 2024 года вступил в силу Федеральный закон от 08.08.2024 № 249-ФЗ «О внесении изменений в отдельные законодательные акты РФ», согласно которому вносятся изменения в Федеральный закон от 03.04.1995 № 40-ФЗ «О федеральной службе безопасности».

Изменениями устанавливается, что в целях обеспечения собственной безопасности ПДн, в том числе биометрические, военнослужащих и гражданского персонала ФСБ России, обрабатываются органами ФСБ России без согласия субъекта ПДн.

Безопасность финансовых организацийМетодические рекомендации по установлению и расчету показателей уровня риска ИБ при переводе денежных средств

Центральный Банк РФ (далее – Банк России) в целях обеспечения единства подходов по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска информационной безопасности (далее – ИБ) разработал «Методические рекомендации по установлению целевых значений и расчету фактических значений количественных контрольных показателей уровня риска ИБ, связанных с осуществлением перевода денежных средств без добровольного согласия клиента и связанных с заключением кредитных договоров (договоров займа) без добровольного согласия клиента, а также установлению пороговых значений и расчету фактических значений ключевых индикаторов риска ИБ» от 20.08.2024 № 13-МР.

Методические рекомендации включают рекомендации по установлению и расчету:

количественных контрольных показателей уровня риска ИБ;

ключевых индикаторов риска ИБ, характеризующих динамику осуществления переводов денежных средств без добровольного согласия клиента;

количественных контрольных показателей уровня риска ИБ, связанных с заключением кредитных договоров без добровольного согласия клиента.

Документ содержит рекомендации по:

выбору статистических данных;

 определению группы типов операций по переводу денежных средств;

расчету сигнальных, контрольных и фактических значений показателей;

 установлению пороговых значений показателей;

частоте осуществления расчетов показателей и иное.

Также документ содержит формулы для расчета показателей. Методические рекомендации применяются с 8 сентября 2024 года.

ИноеТребования по включению в перечень провайдеров хостинга

1 сентября 2024 года вступило в силу постановление Правительства РФ от 24.08.2024 № 1144 «Об утверждении Правил включения сведений о провайдере хостинга в перечень провайдеров хостинга, предоставляющих вычислительные мощности для размещения информации в информационной системе (далее – ИС), постоянно подключенной к информационно-телекоммуникационной сети «Интернет», операторам государственных информационных систем (далее – ГИС), муниципальных информационных систем (далее – ИС), ИС государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений, а также исключения таких сведений из него».

Согласно постановлению для включения в перечень провайдеров хостинга необходимо:

подать заявление, содержащее:

полное и сокращенное (при наличии) наименование, организационно-правовую форму, место нахождения и адрес, идентификационный номер налогоплательщика, основной государственный регистрационный номер, фамилию, имя, отчество руководителя юридического лица, иного контактного лица организации;

информацию, подтверждающую включение сведений о провайдере хостинга в реестр провайдеров хостинга;

информацию о местоположении технических средств, используемых при предоставлении вычислительной мощности, включая адрес их расположения на территории РФ;

приложить к заявлению следующие документы и сведения:

доверенность представителя провайдера хостинга;

сведения, подтверждающие местоположение технических средств, используемых при предоставлении вычислительной мощности, адрес их расположения на территории РФ;

сведения о разработанном плане мероприятий по внедрению технических средств, обеспечивающих выполнение установленных действий при проведении оперативно-разыскных мероприятий, или о подписанном представителями ФСБ России и провайдера хостинга акте ввода таких технических средств в эксплуатацию;

сведения о локальном акте, определяющем структурное подразделение или должностное лицо, ответственное за защиту информации;

сведения о соглашении, подтверждающем взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (далее – ГосСОПКА);

сведения об аттестате соответствия ИС, содержащем информацию о классификации ИС.

По результатам рассмотрения заявления и документов Минцифры России принимает решение о соответствии или несоответствии провайдера хостинга требованиям.

Провайдер хостинга, включенный в перечень, обязан ежегодно с 1 по 30 ноября, начиная с года, следующего за годом включения в перечень сведений о нем, подтверждать соответствие требованиям. В случае изменения сведений, указанных в заявлении о включении, провайдер хостинга не позднее 15 числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить Минцифры России обо всех изменениях.

По результатам рассмотрения заявления и документов Минцифры России принимает решение о соответствии или несоответствии провайдера хостинга требованиям.

Провайдер хостинга, включенный в перечень, обязан ежегодно с 1 по 30 ноября, начиная с года, следующего за годом включения в перечень сведений о нем, подтверждать соответствие требованиям. В случае изменения сведений, указанных в заявлении о включении, провайдер хостинга не позднее 15 числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить Минцифры России обо всех изменениях.

Изменения в требованиях к форме квалифицированного сертификата ключа проверки электронной подписи

1 сентября 2024 года вступил в силу приказ ФСБ России от 02.02.2024 № 50 «О внесении изменений в Требования к форме квалифицированного сертификата ключа проверки электронной подписи, утвержденные приказом ФСБ России от 27.12.2011 № 795».

Приказ будет действовать до 1 сентября 2027 года. Подробнее с приказом можно ознакомиться в обзоре изменений законодательства за февраль 2024 года, подготовленном Аналитическим центром УЦСБ.

ГИС в области генетической информации

1 сентября 2024 года вступило в силу постановление Правительства РФ от 31.01.2024 № 87 «О ГИС в области генетической информации «Национальная база генетической информации», согласно которому до 1 сентября 2025 года Министерство науки и высшего образования РФ должно создать ГИС «Национальная база генетической информации».

Постановление будет действовать до 1 сентября 2030 года. Подробнее с постановлением можно ознакомиться в обзоре изменений законодательства за февраль 2024 года, подготовленном Аналитическим центром УЦСБ.

Порядок формирования и ведения автоматизированных и централизованных баз ПДн о пассажирах и персонале транспортных средств

1 сентября 2024 года вступил в силу приказ Министерства транспорта РФ от 02.05.2024 № 162 «Об утверждении порядка формирования и ведения автоматизированных централизованных баз ПДн о пассажирах и персонале (экипаже) транспортных средств, а также срока хранения и порядка предоставления содержащихся в них данных». Подробнее с приказом можно ознакомиться в обзоре изменений законодательства за июнь 2024 года, подготовленном Аналитическим центром УЦСБ.

Схема пропуска трафика через средства противодействия угрозам сети «Интернет» и сети связи общего пользования

1 сентября 2024 года вступило в силу постановление Правительства РФ от 23.05.2024 № 639 «Об утверждении Положения о схеме пропуска трафика через технические средства противодействия угрозам устойчивости, безопасности и целостности функционирования на территории РФ сети «Интернет» и сети связи общего пользования, в том числе пропуска трафика на присоединенную сеть связи оператора связи, оказывающего услуги по предоставлению доступа к сети «Интернет», которое содержит требования к схеме пропуска трафика и порядку ее представления в Роскомнадзор. Подробнее с постановлением можно ознакомиться в обзоре изменений законодательства за май 2024 года, подготовленном Аналитическим центром УЦСБ.

Изменения в 149-ФЗ

8 августа 2024 года вступил в силу Федеральный закон от 08.08.2024 № 216-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» (далее – 149-ФЗ) и отдельные законодательные акты РФ».

Изменениями устанавливается, что:

ограничение доступа к информации смогут устанавливать не только федеральные законы, но и акты Президента РФ;

владельцы сайтов, ИС или программ, предназначенных для распространения информации в социальных сетях, будут обязаны осуществлять мониторинг социальной сети в целях выявления информации, оскорбляющей человеческое достоинство, нравственность, выражающей неуважение к обществу, содержащей изображение противоправных действий;

Также уточняется, что передача информации из ГИС в иные ИС, не соответствующие требованиям о защите информации, не допускается.

Деятельность ФСТЭК РоссииТребования к защите информации в ГИС и ИС государственных органов

На официальном сайте ФСТЭК России опубликован проект приказа «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений (далее – Требования)», которым планируется заменить действующий приказ ФСТЭК России № 17.

Новые Требования разработаны с целью защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от несанкционированного доступа. Планируется, что Требования будут распространяться не только на ГИС, но и на иные ИС, функционирующие на территории РФ, оператором которых являются государственные органы, государственные учреждения и унитарные предприятия. Также Требования могут применяться для муниципальных ИС, ИС, находящихся в ведении Администрации Президента РФ, аппарата Совета Безопасности РФ, Федерального Собрания РФ и иных государственных органов по решению руководителей органов и если иное не установлено законодательством.

Для ИСПДН новые Требования необходимо будет применять наряду с Требованиями к защите ПДн при их обработке в ИСПДн (утв. постановлением Правительства РФ от 01.11.2012 № 1119) и Составом и содержанием организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн (утв. приказом ФСТЭК России № 21).

Требования определяют перечень мероприятий по защите информации, в том числе требования к:

определению целей защиты информации:

цели должны содержать ожидаемые результаты от проведения мероприятий по защите информации;

для каждой цели должны быть установлены количественные или качественные показатели эффективности их достижения и иное;

политике защиты информации:

политика должна определять стратегию защиты информации;

область действия политики должна охватывать ИС, а также информационно-телекоммуникационную инфраструктуру, на базе которой функционируют ИС;

политика защиты информации должна включать цели и показатели эффективности их достижения, задачи защиты информации, объекты защиты, структуру системы управления деятельностью по защите информации, виды и степень ответственности работников и иное;

лицам, ответственным за защиту информации;

разрабатываемым внутренним регламентам и стандартам, которые описывают порядок проведения мероприятий по защите информации;

выделению ресурсов, необходимых для защиты информации;

управлению деятельностью по защите информации по циклу PDCA.

Также Требования детально описывают:

порядок выявления и оценки актуальных угроз безопасности информации;

порядок инвентаризации и управления конфигурациями ИС;

управление уязвимостями ИС;

управление обновлениями ПО ИС;

защиту конфиденциальной информации в ИС;

защиту конечных устройств ИС;

защиту мобильных устройств, планшетных и переносных компьютеров, используемых для доступа к ИС;

мониторинг ИС;

физическую защиту программно-аппаратных средств ИС;

непрерывность функционирования при возникновении нештатных ситуаций;

защиту при удаленном доступе к ИС и иное.

СтандартизацияПрофессиональный стандарт «Специалист по обеспечению безопасности значимых объектов КИИ»

Министерство труда и социальной защиты РФ (далее – Минтруд России) представило для общественного обсуждения проект профессионального стандарта «Специалист по обеспечению безопасности значимых объектов КИИ». Согласно стандарту целью профессиональной деятельности является обеспечение устойчивого функционирования значимых объектов КИИ при проведении в отношении них компьютерных атак и реализации иных угроз ИБ.

Стандарт включает следующие трудовые функции:

обеспечение функционирования средств защиты информации (далее – СрЗИ) значимых объектов КИИ:

установку, настройку, техническое обслуживание и обеспечение работоспособности СрЗИ объектов КИИ;

ведение технической документации, связанной с эксплуатацией СрЗИ значимых объектов КИИ;

администрирование СрЗИ;

управление инцидентами ИБ на значимых объектах КИИ:

выявление и регистрацию инцидентов ИБ, в том числе обнаружение факта компьютерных атак;

реагирование на инциденты ИБ;

восстановление функционирования после инцидентов ИБ;

разработка систем защиты информации значимых объектов КИИ:

разработка требований по обеспечению безопасности объектов КИИ;

проектирование и реализация системы защиты информации;

аудит ИБ;

контроль и управление обеспечением ИБ значимых объектов КИИ;

анализ и обработка компьютерных инцидентов;

расследование компьютерных инцидентов;

проведение контрольных проверок работоспособности и оценка эффективности применяемых программно-аппаратных СрЗИ;

определение измеримых и практических результатов деятельности по обеспечению ИБ значимых объектов КИИ и иное.

Профессиональный стандарт «Специалист в области информационных технологий на атомных станциях»

1 сентября 2024 года вступил в силу приказ Минтруда России от 15.01.2024 № 6н «Об утверждении профессионального стандарта «Специалист в области информационных технологий на атомных станциях (разработка и сопровождение ПО)».

Подробнее с приказом можно ознакомиться в обзоре изменений законодательства за февраль 2024 года, подготовленном Аналитическим центром УЦСБ.

Автор: Любовь Лобачева, аналитик УЦСБ

Источник: habr.com

0 0 голоса
Рейтинг новости
11627
0
Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии