Изменения законодательства в области ИБ за ноябрь 2021 года

Ноябрь закончился, конец 2021 года приближается, а значит настало время резюмировать самые интересные новости и основные изменения законодательства Российской Федерации в ноябре в сфере IT и ИБ.

Изменения в области защиты ПДн:

  1. Опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 01.09.2021 № 902 «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»(Зарегистрирован 03.11.2021 № 65692).

Речь идет об угрозах, возникающих при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и других организаций. Основными названы угрозы нарушения целостности (подмены, удаления) данных; нарушения конфиденциальности (компрометации), достоверности (то есть внесение фиктивных биометрических данных), нарушения целостности информации о степени соответствия, нарушения доступности (блокирования передачи) информации о степени соответствия.

Также указывается, при каких условиях актуальны такие угрозы. Например, при сборе и обработке данных с помощью мобильных устройств и в офисах организаций есть риски умышленной подмены данных, умышленного нарушения конфиденциальности, уязвимости кода, внедрения вирусных программ и других технических сбоев. Есть угрозы подмены, удаления и нарушения конфиденциальности персональных данных при автоматизированной обработке на пользовательском оборудовании.

  1. Опубликован Федеральный закон от 19.11.2021 № 367-ФЗ «О ратификации Соглашения о взаимной правовой помощи по административным вопросам в сфере обмена персональными данными».

Предметом запроса об оказании правовой помощи являются данные:

— о наличии (отсутствии) гражданства Сторон Соглашения (Сторонами Соглашения именуются государства-участники Содружества Независимых Государств);

— о наличии документов, дающих право на постоянное (временное) пребывание (проживание) на территориях Сторон;

— о постановке на миграционный учет или регистрации по месту жительства (месту пребывания) граждан Сторон, граждан третьих государств и лиц без гражданства;

— об обязательствах имущественного характера;

— о привлечении субъекта персональных данных к уголовной или административной ответственности на территориях Сторон Соглашения и другие данные.

Изменение в области эксплуатации СЗИ (СКЗИ):

  1. ФСТЭК России опубликовала информационное сообщение от 10.11.2021 № 240/24/5444 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55».

Регулятор приводит консолидированный состав внесённых изменений:

  1. Установлен запрет на сертификацию средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации.
  2. Отменен срок действия сертификата соответствия для единичного образца или партии средства защиты информации. Определены условия, при которых серийно производимые средства защиты считаются сертифицированными, в том числе после окончания срока действия сертификата соответствия.
  3. Уточнен порядок отбора образцов (образца) средства защиты информации для сертификационных испытаний.
  4. Упразднена процедура предварительного рассмотрения образца средства защиты информации и документации на него.
  5. Изменен порядок маркирования сертифицированных средств защиты информации.
  6. Сокращен объем испытаний сертифицированных средств защиты информации при продлении срока действия сертификата соответствия.

Изменения в области защиты государственной тайны:

  1. Опубликовано постановление Правительства Российской Федерации от 30.10.2021 № 1868  «О внесении изменений в Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности». Указанное постановление вступает в силу с 1 января 2022 г.

В целом основания причисления сведений к секретным, совершенно секретным и особой важности практически не меняются в сравнении с предыдущей редакцией правил, впервые утвержденных в 1995 году. При этом из правил исключен пункт о том, что руководители органов государственной власти, Росатома и Роскосмоса, наделенные полномочиями по отнесению сведений к гостайне, организуют разработку перечня и несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к государственной тайне. В предыдущей редакции правил были прописаны также порядок составления перечней сведений, подлежащих засекречиванию, различными госорганами и госкорпорациями. В новом документе остались лишь основания отнесения тех или иных сведений к секретным, совершенно секретным и особой важности.

Изменения в сфере лицензирования деятельности по ТЗКИ и производства СЗИ:

  1. Опубликовано постановление Правительства Российской Федерации от 26.11.2021 № 2054 «О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации».Постановление вступает в силу с 1 марта 2022 г.

Кратко резюмируя вышеуказанное постановление Правительства:

— актуализирован порядок лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации

— внесены поправки в связи с переходом на реестровую модель лицензирования.

— закреплен запрет на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством РФ) иностранными юридическими лицами.

  1. Опубликовано Постановление Правительства Российской Федерации от 26.11.2021 № 2055 «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации». Постановление вступает в силу с 1 марта 2022 года.

Кратко резюмируя вышеуказанное постановление Правительства:

— актуализирован порядок лицензирования деятельности по технической защите конфиденциальной информации

— внесены поправки в связи с переходом на реестровую модель лицензирования.

— предусмотрен запрет на осуществление деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством РФ) иностранными юридическими лицами.

  1.     Опубликовано постановление Правительства Российской Федерации от 26.11.2021 № 2052 «Об утверждении Правил обращения со сведениями, составляющими служебную тайну в области обороны».

Правила устанавливают порядок обращения с документами и другими материальными носителями информации, содержащими сведения, составляющие служебную тайну в области обороны, в органах государственной власти РФ, органах государственной власти субъектов РФ, органах местного самоуправления и организациях, участвующих в организации и выполнении мероприятий в области обороны.

Новости из сферы защиты КИИ:

  1. Опубликован приказ ФСБ России от 29.11.2021 № 472  «О внесении изменений в приказ ФСБ России от 11 декабря 2013 г. № 747 «Об утверждении Перечня должностных лиц органов федеральной службы безопасности, уполномоченных составлять протоколы об административных правонарушениях, и о реализации отдельных положений Кодекса Российской Федерации об административных правонарушениях в органах федеральной службы безопасности» и утвержденный этим приказом Перечень».

ФСБ России расширила перечень должностных лиц органов федеральной службы безопасности (в том числе научные консультанты), уполномоченных составлять протоколы об административных правонарушениях по нарушениям, связанным с обеспечением функционирования ГосСОПКА (части 2 и 3 статьи 13.12.1 и часть 2 статьи 19.7.15 КОАП РФ).

Новости из сферы IT и ИБ:

  1. Опубликованы49 ГОСТов, связанных с информационной безопасностью, введенных в действие 30.11.2021.

Анализ введенных ГОСТов будет опубликован позднее в отдельной статье.

Перечень введенных ГОСТов:

  1. ГОСТ ISO/IEC 19896-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетенции специалистов по тестированию и оценке безопасности информационных технологий. Часть 1. Введение, основные понятия и общие требования».
  2. ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции».
  3. ГОСТ ISO/IEC 24760-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 2. Базовая архитектура и требования».
  4. ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы».
  5. ГОСТ Р 59383-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом».
  6. ГОСТ ISO/IEC 27014-2021 «Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности».
  7. ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных».
  8. ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных».
  9. ГОСТ ISO/IEC TS 19249-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Каталог принципов построения архитектуры и проектирования безопасных продуктов, систем и приложений».
  10. ГОСТ Р 59494-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5-1. Структуры данных протоколов и мер обеспечения безопасности приложений. XML-схемы».
  11. ГОСТ Р 59503-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации».
  12. ГОСТ Р 59506-2021 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности».
  13. ГОСТ Р 59515-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение идентичности».
  14. ГОСТ Р 59516-2021 «Информационные технологии. Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности».
  15. ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».
  16. ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности».
  17. ГОСТ Р ИСО/МЭК 27003-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации».
  18. ГОСТ Р ИСО/МЭК 27004-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание».
  19. ГОСТ Р ИСО/МЭК 27017-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб».
  20. ГОСТ Р ИСО/МЭК 27019-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)».
  21. ГОСТ Р ИСО/МЭК 27021-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности».
  22. ГОСТ Р ИСО/МЭК 27033-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей».
  23. ГОСТ Р ИСО/МЭК 27034-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 2. Нормативная структура организации».
  24. ГОСТ Р ИСО/МЭК 27034-3-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений».
  25. ГОСТ Р ИСО/МЭК 27034-6-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 6. Практические примеры».
  26. ГОСТ Р ИСО/МЭК 27036-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия».
  27. ГОСТ Р 59329-2021 «Системная инженерия. Защита информации в процессах приобретения и поставки продукции и услуг для системы».
  28. ГОСТ Р 59330-2021 «Системная инженерия. Защита информации в процессе управления моделью жизненного цикла системы».
  29. ГОСТ Р 59331-2021 «Системная инженерия. Защита информации в процессе управления инфраструктурой системы».
  30. ГОСТ Р 59332-2021 «Системная инженерия. Защита информации в процессе управления портфелем проектов».
  31. ГОСТ Р 59333-2021 «Системная инженерия. Защита информации в процессе управления человеческими ресурсами системы».
  32. ГОСТ Р 59334-2021 «Системная инженерия. Защита информации в процессе управления качеством системы».
  33. ГОСТ Р 59335-2021 «Системная инженерия. Защита информации в процессе управления знаниями о системе».
  34. ГОСТ Р 59336-2021 «Системная инженерия. Защита информации в процессе планирования проекта».
  35. ГОСТ Р 59337-2021 «Системная инженерия. Защита информации в процессе оценки и контроля проекта».
  36. ГОСТ Р 59338-2021 «Системная инженерия. Защита информации в процессе управления решениями».
  37. ГОСТ Р 59339-2021 «Системная инженерия. Защита информации в процессе управления рисками для системы».
  38. ГОСТ Р 59340-2021 «Системная инженерия. Защита информации в процессе управления конфигурацией системы».
  39. ГОСТ Р 59342-2021 «Системная инженерия. Защита информации в процессе измерений системы».
  40. ГОСТ Р 59344-2021 «Системная инженерия. Защита информации в процессе анализа бизнеса или назначения системы».
  41. ГОСТ Р 59345-2021 «Системная инженерия. Защита информации в процессе определения потребностей и требований заинтересованной стороны для системы».
  42. ГОСТ Р 59347-2021 «Системная инженерия. Защита информации в процессе определения архитектуры системы».
  43. ГОСТ Р 59348-2021 «Системная инженерия. Защита информации в процессе определения проекта».
  44. ГОСТ Р 59350-2021 «Системная инженерия. Защита информации в процессе реализации системы».
  45. ГОСТ Р 59351-2021 «Системная инженерия. Защита информации в процессе комплексирования системы».
  46. ГОСТ Р 59353-2021 «Системная инженерия. Защита информации в процессе передачи системы».
  47. ГОСТ Р 59354-2021 «Системная инженерия. Защита информации в процессе аттестации системы».
  48. ГОСТ Р 59355-2021 «Системная инженерия. Защита информации в процессе функционирования системы».
  49. ГОСТ Р 59357-2021 «Системная инженерия. Защита информации в процессе изъятия и списания системы»





Заказать обратный звонок

Вы можете заказать обратный звонок или позвонить
по телефону 8-800-200-7932






Я даю свое согласие ГК ИСА (далее – isoit.ru) на обработку, с использованием средств автоматизации или без использования таких средств, моих персональных данных, представленных в настоящем обращении, включая сбор, запись, систематизацию, накопление, хранение, извлечение, использование, обезличивание, удаление и уничтожение персональных данных, в целях обработки настоящего электронного обращения, предоставления информации о результатах его рассмотрения и опросах сайта isoit.ru о качестве обслуживания.

Я согласен на предоставление мне информации посредством электронной почты, телефонных обращений, sms-сообщений, направления почтовой корреспонденции.

Согласие предоставляется с момента оформления настоящего обращения и действует в течение 5 (пяти) лет. Согласие может быть отозвано путем подачи в isoit.ru заявления об отзыве согласия.






Заказать обратный звонок

Вы можете заказать обратный звонок или позвонить
по телефону 8-800-200-7932