Ноябрь закончился, конец 2021 года приближается, а значит настало время резюмировать самые интересные новости и основные изменения законодательства Российской Федерации в ноябре в сфере IT и ИБ.
Изменения в области защиты ПДн:
Речь идет об угрозах, возникающих при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и других организаций. Основными названы угрозы нарушения целостности (подмены, удаления) данных; нарушения конфиденциальности (компрометации), достоверности (то есть внесение фиктивных биометрических данных), нарушения целостности информации о степени соответствия, нарушения доступности (блокирования передачи) информации о степени соответствия.
Также указывается, при каких условиях актуальны такие угрозы. Например, при сборе и обработке данных с помощью мобильных устройств и в офисах организаций есть риски умышленной подмены данных, умышленного нарушения конфиденциальности, уязвимости кода, внедрения вирусных программ и других технических сбоев. Есть угрозы подмены, удаления и нарушения конфиденциальности персональных данных при автоматизированной обработке на пользовательском оборудовании.
Предметом запроса об оказании правовой помощи являются данные:
— о наличии (отсутствии) гражданства Сторон Соглашения (Сторонами Соглашения именуются государства-участники Содружества Независимых Государств);
— о наличии документов, дающих право на постоянное (временное) пребывание (проживание) на территориях Сторон;
— о постановке на миграционный учет или регистрации по месту жительства (месту пребывания) граждан Сторон, граждан третьих государств и лиц без гражданства;
— об обязательствах имущественного характера;
— о привлечении субъекта персональных данных к уголовной или административной ответственности на территориях Сторон Соглашения и другие данные.
Изменение в области эксплуатации СЗИ (СКЗИ):
- ФСТЭК России опубликовала информационное сообщение от 10.11.2021 № 240/24/5444 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55».
Регулятор приводит консолидированный состав внесённых изменений:
- Установлен запрет на сертификацию средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации.
- Отменен срок действия сертификата соответствия для единичного образца или партии средства защиты информации. Определены условия, при которых серийно производимые средства защиты считаются сертифицированными, в том числе после окончания срока действия сертификата соответствия.
- Уточнен порядок отбора образцов (образца) средства защиты информации для сертификационных испытаний.
- Упразднена процедура предварительного рассмотрения образца средства защиты информации и документации на него.
- Изменен порядок маркирования сертифицированных средств защиты информации.
- Сокращен объем испытаний сертифицированных средств защиты информации при продлении срока действия сертификата соответствия.
Изменения в области защиты государственной тайны:
- Опубликовано постановление Правительства Российской Федерации от 30.10.2021 № 1868 «О внесении изменений в Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности». Указанное постановление вступает в силу с 1 января 2022 г.
В целом основания причисления сведений к секретным, совершенно секретным и особой важности практически не меняются в сравнении с предыдущей редакцией правил, впервые утвержденных в 1995 году. При этом из правил исключен пункт о том, что руководители органов государственной власти, Росатома и Роскосмоса, наделенные полномочиями по отнесению сведений к гостайне, организуют разработку перечня и несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к государственной тайне. В предыдущей редакции правил были прописаны также порядок составления перечней сведений, подлежащих засекречиванию, различными госорганами и госкорпорациями. В новом документе остались лишь основания отнесения тех или иных сведений к секретным, совершенно секретным и особой важности.
Изменения в сфере лицензирования деятельности по ТЗКИ и производства СЗИ:
- Опубликовано постановление Правительства Российской Федерации от 26.11.2021 № 2054 «О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации».Постановление вступает в силу с 1 марта 2022 г.
Кратко резюмируя вышеуказанное постановление Правительства:
— актуализирован порядок лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации
— внесены поправки в связи с переходом на реестровую модель лицензирования.
— закреплен запрет на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством РФ) иностранными юридическими лицами.
- Опубликовано Постановление Правительства Российской Федерации от 26.11.2021 № 2055 «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации». Постановление вступает в силу с 1 марта 2022 года.
Кратко резюмируя вышеуказанное постановление Правительства:
— актуализирован порядок лицензирования деятельности по технической защите конфиденциальной информации
— внесены поправки в связи с переходом на реестровую модель лицензирования.
— предусмотрен запрет на осуществление деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством РФ) иностранными юридическими лицами.
Правила устанавливают порядок обращения с документами и другими материальными носителями информации, содержащими сведения, составляющие служебную тайну в области обороны, в органах государственной власти РФ, органах государственной власти субъектов РФ, органах местного самоуправления и организациях, участвующих в организации и выполнении мероприятий в области обороны.
Новости из сферы защиты КИИ:
ФСБ России расширила перечень должностных лиц органов федеральной службы безопасности (в том числе научные консультанты), уполномоченных составлять протоколы об административных правонарушениях по нарушениям, связанным с обеспечением функционирования ГосСОПКА (части 2 и 3 статьи 13.12.1 и часть 2 статьи 19.7.15 КОАП РФ).
Новости из сферы IT и ИБ:
- Опубликованы49 ГОСТов, связанных с информационной безопасностью, введенных в действие 30.11.2021.
Анализ введенных ГОСТов будет опубликован позднее в отдельной статье.
Перечень введенных ГОСТов:
- ГОСТ ISO/IEC 19896-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетенции специалистов по тестированию и оценке безопасности информационных технологий. Часть 1. Введение, основные понятия и общие требования».
- ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции».
- ГОСТ ISO/IEC 24760-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 2. Базовая архитектура и требования».
- ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы».
- ГОСТ Р 59383-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом».
- ГОСТ ISO/IEC 27014-2021 «Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности».
- ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных».
- ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных».
- ГОСТ ISO/IEC TS 19249-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Каталог принципов построения архитектуры и проектирования безопасных продуктов, систем и приложений».
- ГОСТ Р 59494-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5-1. Структуры данных протоколов и мер обеспечения безопасности приложений. XML-схемы».
- ГОСТ Р 59503-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации».
- ГОСТ Р 59506-2021 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности».
- ГОСТ Р 59515-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение идентичности».
- ГОСТ Р 59516-2021 «Информационные технологии. Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности».
- ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».
- ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности».
- ГОСТ Р ИСО/МЭК 27003-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации».
- ГОСТ Р ИСО/МЭК 27004-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание».
- ГОСТ Р ИСО/МЭК 27017-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб».
- ГОСТ Р ИСО/МЭК 27019-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)».
- ГОСТ Р ИСО/МЭК 27021-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности».
- ГОСТ Р ИСО/МЭК 27033-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей».
- ГОСТ Р ИСО/МЭК 27034-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 2. Нормативная структура организации».
- ГОСТ Р ИСО/МЭК 27034-3-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений».
- ГОСТ Р ИСО/МЭК 27034-6-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 6. Практические примеры».
- ГОСТ Р ИСО/МЭК 27036-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия».
- ГОСТ Р 59329-2021 «Системная инженерия. Защита информации в процессах приобретения и поставки продукции и услуг для системы».
- ГОСТ Р 59330-2021 «Системная инженерия. Защита информации в процессе управления моделью жизненного цикла системы».
- ГОСТ Р 59331-2021 «Системная инженерия. Защита информации в процессе управления инфраструктурой системы».
- ГОСТ Р 59332-2021 «Системная инженерия. Защита информации в процессе управления портфелем проектов».
- ГОСТ Р 59333-2021 «Системная инженерия. Защита информации в процессе управления человеческими ресурсами системы».
- ГОСТ Р 59334-2021 «Системная инженерия. Защита информации в процессе управления качеством системы».
- ГОСТ Р 59335-2021 «Системная инженерия. Защита информации в процессе управления знаниями о системе».
- ГОСТ Р 59336-2021 «Системная инженерия. Защита информации в процессе планирования проекта».
- ГОСТ Р 59337-2021 «Системная инженерия. Защита информации в процессе оценки и контроля проекта».
- ГОСТ Р 59338-2021 «Системная инженерия. Защита информации в процессе управления решениями».
- ГОСТ Р 59339-2021 «Системная инженерия. Защита информации в процессе управления рисками для системы».
- ГОСТ Р 59340-2021 «Системная инженерия. Защита информации в процессе управления конфигурацией системы».
- ГОСТ Р 59342-2021 «Системная инженерия. Защита информации в процессе измерений системы».
- ГОСТ Р 59344-2021 «Системная инженерия. Защита информации в процессе анализа бизнеса или назначения системы».
- ГОСТ Р 59345-2021 «Системная инженерия. Защита информации в процессе определения потребностей и требований заинтересованной стороны для системы».
- ГОСТ Р 59347-2021 «Системная инженерия. Защита информации в процессе определения архитектуры системы».
- ГОСТ Р 59348-2021 «Системная инженерия. Защита информации в процессе определения проекта».
- ГОСТ Р 59350-2021 «Системная инженерия. Защита информации в процессе реализации системы».
- ГОСТ Р 59351-2021 «Системная инженерия. Защита информации в процессе комплексирования системы».
- ГОСТ Р 59353-2021 «Системная инженерия. Защита информации в процессе передачи системы».
- ГОСТ Р 59354-2021 «Системная инженерия. Защита информации в процессе аттестации системы».
- ГОСТ Р 59355-2021 «Системная инженерия. Защита информации в процессе функционирования системы».
- ГОСТ Р 59357-2021 «Системная инженерия. Защита информации в процессе изъятия и списания системы»