В обзоре изменений за декабрь 2024 года рассмотрим следующие темы:
1. Критическая информационная инфраструктура
Вступило в силу постановление Правительства РФ о передаче Минтруду России ответственности по организации перехода субъектов КИИ, осуществляющих функции государственного пенсионного обеспечения, обязательного пенсионного и социального страхования, на преимущественное применение доверенных ПАК.
2. Персональные данные
Представлен проект постановления Правительства РФ, предлагающий ограничить срок действия постановления Правительства РФ № 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации».
3. Иное
Предлагается ограничить срок действия приказа Мининформсвязи «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации».
Предложен проект требований о защите информации, содержащейся в ГИС и иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием СКЗИ, а также проект требований о защите информации в таких системах некриптографическими методами.
Актуализирован перечень форм документов, используемых ФСБ России в процессе лицензирования.
4. Стандартизация
Вступили в силу:
ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО. Общие требования»;
ГОСТ Р 71753-2024 «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования».
5. Деятельность ФСТЭК России
Опубликована справка-доклад о ходе работ по плану ТК 362 за декабрь 2024 года. Представлен план разработки нормативных правовых актов на 2025 год. Внесены изменения в перечень документов, необходимых для выполнения работ по лицензированию деятельности по технической защите конфиденциальной информации и разработке и производству средств защиты конфиденциальной информации.
6. Судебная практика
Рассмотрим судебную практику в области информационной безопасности за 4 квартал 2024 года.
Критическая информационная инфраструктура
Назначение Минтруда России ответственным за организацию перехода на преимущественное использование доверенных ПАК на значимых объектах КИИ
27 декабря 2024 года вступило в силу постановление Правительства Российской Федерации (далее – РФ) от 26.12.2024 № 1915 «О внесении изменений в постановление Правительства РФ от 14.11.2023 № 1912», согласно которому ответственность по организации перехода субъектов критической информационной инфраструктуры (далее – КИИ) РФ, осуществляющих функции:
государственного пенсионного обеспечения;
обязательного пенсионного и социального страхования,
на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ РФ переходит от Министерства финансов РФ к Министерству труда и социальной защиты РФ (далее – Минтруд России). В целях выполнения требований Минтруд России должен определить должностное лицо, ответственное за организацию перехода, и утвердить План организации перехода.
Персональные данные
Отмена Положения об особенностях обработки ПДн без средств автоматизации
Для общественного обсуждения представлен проект постановления Правительства РФ «О внесении изменения в постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных (далее – ПДн), осуществляемой без использования средств автоматизации» (далее – 687-П). В случае принятия проекта постановления для 687-П будет установлен срок действия до 1 сентября 2030 года.
Общественное обсуждение проекта постановления завершилось 23 декабря 2024 года.
Иное
Ограничен срок действия требований по защите сетей связи от НСД
Официально опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) от 26.08.2024 № 726, согласно которому приказ Министерства информационных технологий и связи РФ (далее – Мининформсвязи) от 09.01.2008 № 1 «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации» будет действовать до 1 сентября 2031 года.
Приказ Мининформсвязи содержит организационные и технические меры, направленные на предотвращение доступа к линиям, сооружениям и средствам связи, а также к передаваемой по сетям связи информации.
Приказ Минцифры, ограничивающий срок действия, вступает в силу с 1 сентября 2025 года.
Новые требования о защите информации в ГИС и ИС госорганов
Федеральная служба по техническому и экспортному контролю РФ (далее – ФСТЭК России) представила обновленный проект приказа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах (далее – ГИС), иных информационных системах (далее – ИС) государственных органов, государственных унитарных предприятий, государственных учреждений (далее – Требования)», которым планируется заменить действующий приказ ФСТЭК России от 11.02.2013 № 17.
Новые Требования разработаны с целью защиты информации (в том числе ограниченного доступа), содержащейся в ГИС, иных ИС, функционирующих на территории РФ, оператором которых являются государственные органы, государственные учреждения и унитарные предприятия. Также Требования могут применяться для муниципальных ИС, если иное не установлено законодательством. Требования не распространяются на ряд ИС, в том числе на ИС, находящиеся в ведении Администрации Президента РФ, аппарата Совета Безопасности РФ, Федерального Собрания РФ и иные.
Требования применяются для обеспечения защиты информации некриптографическими методами. Требования необходимо применять совместно с:
требованиями к защите ПДн при их обработке в ИСПДн (утв. постановлением Правительства РФ от 01.11.2012 № 1119) при обработке ПДн в ИС;
требованиями Федерального закона от 27.07.2017 № 187-ФЗ «О безопасности КИИ РФ», если ИС является значимым объектом КИИ;
требованиями о защите информации, содержащейся в ГИС, с использованием шифровальных (криптографических) средств (утв. приказом Федеральной службы безопасности РФ (далее – ФСБ России) от 24.10.2022 № 524) в случае использования средств криптографической защиты информации (далее – СКЗИ).
Требования определяют следующий порядок организации деятельности по защите информации:
утверждение политики защиты информации, содержащей:
область действия;
цели и задачи защиты информации;
принципы защиты информации;
перечни объектов защиты, включая программные, программно-аппаратные средства, ИС, сети и подсети, образующие информационно-телекоммуникационную инфраструктуру;
категории лиц, участвующих в защите информации, их права и обязанности;
состав организационной системы управления деятельностью по защите информации и схему взаимодействия ее элементов;
ответственность работников за нарушения установленных требований и правил обработки информации;
определение лиц, ответственных за защиту информации;
применение программных, программно-аппаратных средств, предназначенных для защиты информации;
разработку и утверждение внутренних стандартов и регламентов по защите информации, среди которых:
требования к первичной идентификации пользователей;
требования к применяемым моделям доступа пользователей;
перечень разрешенного (запрещенного) для использования программного обеспечения (далее – ПО);
требования к типовым конфигурациям и настройкам программных, программно-аппаратных средств;
требования к непрерывности функционирования ИС;
требования к резервному копированию информации и ПО в ИС;
порядок предоставления удаленного доступа;
порядок повышения уровня знаний и информированности работников подразделений оператора по вопросам защиты информации;
иные регламенты и стандарты;
выделение организационных, технических и иных ресурсов, необходимых для защиты информации.
Требования описывают проведение оценки состояния защиты информации на основе определения:
показателя, характеризующего текущее состояние защиты информации от базового уровня угроз безопасности информации (КЗИ). Расчет показателя должен производиться не реже одного раза в 6 месяцев;
показателя, который определяет достаточность и эффективность проведения мероприятий по защите информации (ПЗИ). Расчет показателя должен производиться не реже одного раза в 2 года.
Результаты оценки необходимо будет направлять во ФСТЭК России.
Также в Требованиях представлены разъяснения к проведению мероприятий по защите информации, среди которых:
выявление и оценка угроз безопасности информации;
контроль конфигураций ИС;
управление уязвимостями и обновлениями;
обеспечение защиты информации при использовании конечных устройств, мобильных устройств, при обработке и обращении с информацией ограниченного доступа;
обеспечение мониторинга информационной безопасности;
обеспечение разработки безопасного ПО;
обеспечение физической защиты ИС;
обеспечение защиты от атак, направленных на отказ в обслуживании;
обеспечение защиты информации при использовании искусственного интеллекта и иные.
Требованиями устанавливается соответствие применяемых сертифицированных средств защиты информации (далее – СрЗИ) и класса защищенности ИС. Для защиты ИС:
1 класса защищенности необходимо применять СрЗИ не ниже 4 класса защиты и уровня доверия;
2 класса защищенности необходимо применять СрЗИ не ниже 5 класса защиты и уровня доверия;
3 класса защищенности необходимо применять СрЗИ 6 класса защиты и уровня доверия.
Планируется, что в случае принятия приказ вступит в силу с 1 сентября 2025 года.
Общественное обсуждение проекта приказа завершилось 18 января 2025 года.
Новые требования о защите информации в ГИС и ИС госорганов с использованием СКЗИ
Для общественного обсуждения представлен проект приказа ФСБ России «Об утверждении Требований о защите информации, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием СКЗИ», которым предлагается заменить действующий приказ ФСБ России от 24.10.2022 № 524.
Проектом приказа закрепляется, что требования о защите информации будут распространяться не только на ГИС, но и на иные ИС государственных органов, государственных унитарных предприятий и учреждений.
Проект приказа содержит обновленные правила определения класса СКЗИ и требования к защите информации с помощью СКЗИ, в том числе к помещениям, в которых размещены или хранятся СКЗИ. Проект включает таблицу определения минимально допустимого класса СКЗИ, которая соответствует таблице в действующем приказе.
Общественное обсуждение проекта завершилось 27 декабря 2024 года.
Обновлены формы документов ФСБ России по лицензированию
15 декабря 2024 года вступил в силу приказ ФСБ России от 16.11.2024 № 479 «О внесении изменений в приказ ФСБ России от 31.01.2022 № 35 «Об утверждении форм документов, используемых ФСБ России в процессе лицензирования в соответствии с Федеральным законом от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности».
Приказ дополняет перечень форм, используемых ФСБ России в процессе лицензирования новыми формами, среди которых:
заявления юридического лица или индивидуального предпринимателя о:
предоставлении лицензии;
внесении изменений в реестр лицензий;
о прекращении лицензируемого вида деятельности;
заявление о предоставлении сведений о конкретной лицензии;
заявление об исправлении допущенных технических ошибок.
Приказ также вносит изменения в форму уведомления о принятии к рассмотрению заявления о предоставлении лицензии и прилагаемых к нему документов.
Стандартизация
Системы автоматизированного управления учетными записями и правами доступа
20 декабря 2024 года вступил в силу ГОСТ Р 71753-2024 «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования». Стандарт устанавливает требования к системам управления учетными записями и правами доступа пользователей, а также к автоматизации процессов, связанных с предоставлением доступа. Подробнее со стандартом можно ознакомиться в обзоре изменений законодательства за ноябрь 2024 года, подготовленном Аналитическим центром УЦСБ.
Стандарт Разработка безопасного ПО
20 декабря 2024 года вступил в силу ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО. Общие требования», который введен взамен ГОСТ Р 56939-2016. Подробнее со стандартом можно ознакомиться в обзоре изменений законодательства за ноябрь 2024 года, подготовленном Аналитическим центром УЦСБ.
ФСТЭК России
Деятельность ТК 362
ФСТЭК России на своем официальном сайте опубликовала справку-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2024 год по состоянию на 25 декабря 2024 года;
В интересах выполнения плана в декабре были проведены следующие работы:
председателю ТК 362 представлен укрупненный план-график работы ТК 362 на 2025 год;
проект национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации» направлен на повторное рассмотрение;
работы по заключению договора на издательское редактирование проектов национальных стандартов:
ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации СрЗИ, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом»;
разослан на рассмотрение в организации-члены ТК 362 проект предварительного национального стандарта ПНСТ «КИИ. ПО для доверенных программно-аппаратных комплексов. Общие положения», направлены результаты рассмотрения.
Планы разработки НПА на 2025 год
На официальном сайте ФСТЭК России опубликована Выписка из плана разработки нормативных правовых актов на 2025 год, согласно которой планируется подготовка проектов:
‒ постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов КИИ РФ, а также перечня показателей критериев значимости объектов КИИ РФ и их значений»;
‒ приказов ФСТЭК России:
o «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в ГИС, иных ИС государственных органов, государственных унитарных предприятий, государственных учреждений». Ознакомиться с проектом приказа можно в настоящем обзоре законодательства;
o «О внесении изменений в Порядок проведения сертификации процессов безопасной разработки ПО СрЗИ, утвержденный приказом ФСТЭК России от 01.12.2023 № 240»;
o «О внесении изменений в Требования по обеспечению безопасности значимых объектов КИИ РФ, утвержденные приказом ФСТЭК России от 25.12.2017 № 239»;
o «О внесении изменений в Форму направления сведений о результатах присвоения объекту КИИ одной из категории значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом ФСТЭК России от 22.12.2017 №236» и иные.
Изменения в перечнях документов, необходимых для выполнения работ по лицензированию деятельности
ФСТЭК России обновила перечни документов, необходимых для выполнения работ и (или) оказания услуг, установленных:
Положением о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденным постановлением Правительства РФ от 03.03.2012 № 171 (перечень);
Положением о лицензировании деятельности по технической защите конфиденциальной информации, утвержденным постановлением Правительства РФ от 03.02.2012 № 79 (перечень).
Согласно информационному сообщению организации-лицензиаты ФСТЭК России должны привести свою деятельность в соответствие новым перечням до 1 сентября 2025 года. В перечнях указано при осуществлении каких видов деятельности документы должны быть в наличии.
Судебная практика
Штраф за распространение персональных данных в WhatsApp
Мировой судья судебного района г. Арсеньева Приморского края, рассмотрев материалы административного дела Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), вынес постановление о привлечении физического лица к административной ответственности за совершение правонарушения, предусмотренного ч. 1 ст. 13.11 Кодекса РФ об административных правонарушениях (далее – КоАП).
Гражданин допустил разглашение паспортных данных третьих лиц в мессенджере WhatsApp в нарушение требований ч. 1 ст. 6 и ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ), в которых говорится, что обработка ПДн, а также раскрытие и распространение ПДн должны осуществляться с согласия субъекта ПДн.
По результатам рассмотрения административного дела суд признал виновным физическое лицо в совершении административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП и назначил наказание в виде штрафа в размере 3 000 рублей.
Ответственность за отказ в уничтожении ПДн
Ленинский районный суд г. Курска возложил обязанность на финансовую организацию уничтожить ПДн гражданина и предоставить акт об уничтожении этих данных.
Гражданин подал заявку на получение кредита в финансовую организацию и дал согласие на обработку своих ПДн. Однако, организация отказала ему в предоставлении кредита, при этом начала рассылать рекламные предложения на электронную почту.
Мужчина направил в финансовую организацию заявление об отзыве согласия на обработку его ПДн и их уничтожении. Финансовая организация уведомила гражданина о прекращении обработки его ПДн, но в их уничтожении отказала, что является нарушением ч. 5 ст. 21 152-ФЗ.
Суд признал виновным организацию в совершении административного правонарушения, предусмотренного ч. 5 ст. 13.11 КоАП. На финансовую организацию была возложена обязанность уничтожить ПДн субъекта ПДн и предоставить акт об их уничтожении. Кроме того, организации необходимо выплатить неустойку в размере 100 рублей за каждый день неисполнения решения суда, компенсацию морального вреда в размере 5 тысяч рублей и возместить судебные расходы.
Отказ в удовлетворении обжалования наказания за нарушение требований по обеспечению безопасности ПДн
Второй кассационный суд общей юрисдикции оставил без изменения постановление мирового судьи Головинского района г. Москвы и решение судьи Головинского районного суда г. Москвы, вынесенные в отношении ООО «Тинькофф Мобайл» по делу об административном правонарушении, предусмотренном ч. 5 ст. 13.11 КоАП.
ООО «Тинькофф Мобайл», являющееся оператором ПДн, не выполнило в срок требования Роскомнадзора о блокировании, уничтожении ПДн в случае, когда ПДн являются незаконно полученными и не являются необходимыми для заявленной цели; не привило деятельность по обработке ПДн в соответствии с требованиями законодательства РФ в области ПДн.
ООО «Тинькофф Мобайл» признано виновным в совершении административного правонарушения, предусмотренного ч. 5 ст. 13.11 КоАП, и подвергнуто наказанию в виде штрафа в размере 50 тысяч рублей, так как не выполнило блокирование неправомерно обрабатываемых ПДн субъекта ПДн при обращении Роскомнадзора.
ООО «Тинькофф Мобайл» обратилось во второй кассационный суд общей юрисдикции с жалобой, в которой ставится вопрос об отмене наказания и прекращении производства по делу или изменении назначенного административного штрафа на предупреждение.
Суд жалобу ООО «Тинькофф Мобайл» оставил без удовлетворения, так как факт совершения административного правонарушения и виновность организации подтверждаются исследованными доказательствами.
Наказание за установку пиратской ОС Windows
Приморский районный суд г. Санкт-Петербурга признал работника института, подведомственного Министерству обороны РФ, виновным за использование на рабочем ноутбуке, предназначенном для обработки служебной информации ограниченного распространения, пиратской сборки операционной системы Windows Zver и вредоносного ПО, относящегося к классу вредоносных программ и сценариев, созданных с использованием языка JavaScript. Вредоносное ПО предназначалось для несанкционированного получения конфиденциальной информации пользователя без его согласия и позволяло внедрить на компьютер иные вредоносные программы.
Работник института, подведомственного Министерству обороны РФ, полностью признал свою ответственность за совершенное деяние. Суд установил, что мужчина совершил преступление, предусмотренное ч.1 ст. 273 Уголовного кодекса РФ (создание, использование и распространение вредоносных компьютерных программ). В качестве меры пресечения работнику института было назначено наказание в виде ограничения свободы сроком на полтора года.
Незаконный отказ в предоставлении услуги по причине не предоставления ПДн
Апелляционный суд признал действия межрегиональной инспекции Федеральной налоговой службы России по Московской области г. Пушкино (далее – МИФНС), которые привели к отказу в выдаче сертификата ООО «Компания СтройГрупп», незаконными.
ООО «Компания СтройГрупп» обратилось в МИФНС с заявлением на изготовление квалифицированного сертификата ключа проверки электронной подписи юридического лица. Но в форме согласия на обработку ПДн в заявлении ООО «Компания СтройГрупп» вычеркнуло отдельные виды ПДн, а именно фотографию и пол. В связи с этим МИФНС было отказано в выдаче сертификата электронной подписи.
Представитель ООО «Компания СтройГрупп», являясь субъектом ПДн, руководствуясь своей свободной волей (п. 1. ст. 9 ФЗ № 152), был вправе внести правки в форму согласия на обработку ПДн путем их исключения из согласия в отношении тех элементов ПДн, которые в нарушение ст. 5 № 152-ФЗ не отвечали целям обработки ПДн и являлись избыточными по отношению к заявленным целям их обработки.
Такой вид ПДн как фотографическое изображение представителя ООО «Компания СтройГрупп», получаемое МИФНС посредством проведения процедуры фотофиксации, не соответствует заявленной в согласии цели идентификации заявителя и противоречит позиции Роскомнадзора изложенной в письме от 31.01.2023 № 08ВМ-6592.
Апелляционный суд обязал МИФНС оказать услугу ООО «Компания СтройГрупп» по изготовлению и выдаче квалифицированного сертификата ключа проверки электронной подписи.
Незаконное увольнение фельдшера за разглашение врачебной тайны
Кассационный суд признал незаконным увольнение фельдшера за разглашение ПДн пациента скорой медицинской помощи.
Сотрудница скорой помощи по собственной инициативе передала сотруднику прокуратуры документы со сведениями о пациенте, к которому выезжала бригада скорой медицинской помощи, а также сведения о работниках больницы, принимавших участие в оказании платных медицинских услуг.
Узнав о прокурорской проверке, а также об источнике сведений прокуратуры, работодатель уволил фельдшера по п. 6 ч. 1 ст. 81 Трудового кодекса РФ, в соответствии с которым трудовой договор может быть расторгнут работодателем в случае однократного грубого нарушения работником трудовых обязанностей, выразившихся в разглашении охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения ПДн другого работника.
Фельдшер с таким наказанием не согласилась и оспорила свое увольнение в суде. Районный суд жалобу фельдшера не удовлетворил, так как посчитал, что медицинский работник злоупотребила своими правами. Однако, в следующей инстанции женщина добилась восстановления на работе, оплаты времени вынужденного прогула и компенсации морального вреда.
Суд кассационной инстанции согласился с тем, что работница при обращении в прокуратуру допустила передачу ПДн третьих лиц, но заявил, что выбор меры дисциплинарной ответственности в виде увольнения несоразмерен тяжести совершенного проступка, его последствиям, обстоятельствам, при которых он был совершен.
Авторы: Любовь Лобачева и Чельдинова Александра, аналитики УЦСБ
Источник: habr.com
