Изменения законодательства в области ИБ за ноябрь 2021 года

Ноябрь закончился, конец 2021 года приближается, а значит настало время резюмировать самые интересные новости и основные изменения законодательства Российской Федерации в ноябре в сфере IT и ИБ.

Изменения в области защиты ПДн:

1. Опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 01.09.2021 № 902 «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»(Зарегистрирован 03.11.2021 № 65692).

Речь идет об угрозах, возникающих при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и других организаций. Основными названы угрозы нарушения целостности (подмены, удаления) данных; нарушения конфиденциальности (компрометации), достоверности (то есть внесение фиктивных биометрических данных), нарушения целостности информации о степени соответствия, нарушения доступности (блокирования передачи) информации о степени соответствия.

Также указывается, при каких условиях актуальны такие угрозы. Например, при сборе и обработке данных с помощью мобильных устройств и в офисах организаций есть риски умышленной подмены данных, умышленного нарушения конфиденциальности, уязвимости кода, внедрения вирусных программ и других технических сбоев. Есть угрозы подмены, удаления и нарушения конфиденциальности персональных данных при автоматизированной обработке на пользовательском оборудовании.

2. Опубликован Федеральный закон от 19.11.2021 № 367-ФЗ «О ратификации Соглашения о взаимной правовой помощи по административным вопросам в сфере обмена персональными данными».

Предметом запроса об оказании правовой помощи являются данные:

— о наличии (отсутствии) гражданства Сторон Соглашения (Сторонами Соглашения именуются государства-участники Содружества Независимых Государств);

— о наличии документов, дающих право на постоянное (временное) пребывание (проживание) на территориях Сторон;

— о постановке на миграционный учет или регистрации по месту жительства (месту пребывания) граждан Сторон, граждан третьих государств и лиц без гражданства;

— об обязательствах имущественного характера;

— о привлечении субъекта персональных данных к уголовной или административной ответственности на территориях Сторон Соглашения и другие данные.

Изменение в области эксплуатации СЗИ (СКЗИ):

1. ФСТЭК России опубликовала информационное сообщение от 10.11.2021 № 240/24/5444 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55».

Регулятор приводит консолидированный состав внесённых изменений:

1. Установлен запрет на сертификацию средств защиты информации иностранного производства, в отношении которых нормативными правовыми актами Российской Федерации установлены ограничения или запреты на их использование в Российской Федерации.
2. Отменен срок действия сертификата соответствия для единичного образца или партии средства защиты информации. Определены условия, при которых серийно производимые средства защиты считаются сертифицированными, в том числе после окончания срока действия сертификата соответствия.
3. Уточнен порядок отбора образцов (образца) средства защиты информации для сертификационных испытаний.
4. Упразднена процедура предварительного рассмотрения образца средства защиты информации и документации на него.
5. Изменен порядок маркирования сертифицированных средств защиты информации.
6. Сокращен объем испытаний сертифицированных средств защиты информации при продлении срока действия сертификата соответствия.

Изменения в области защиты государственной тайны:

1. Опубликовано постановление Правительства Российской Федерации от 30.10.2021 № 1868  «О внесении изменений в Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности». Указанное постановление вступает в силу с 1 января 2022 г.

В целом основания причисления сведений к секретным, совершенно секретным и особой важности практически не меняются в сравнении с предыдущей редакцией правил, впервые утвержденных в 1995 году. При этом из правил исключен пункт о том, что руководители органов государственной власти, Росатома и Роскосмоса, наделенные полномочиями по отнесению сведений к гостайне, организуют разработку перечня и несут персональную ответственность за принятые ими решения о целесообразности отнесения конкретных сведений к государственной тайне. В предыдущей редакции правил были прописаны также порядок составления перечней сведений, подлежащих засекречиванию, различными госорганами и госкорпорациями. В новом документе остались лишь основания отнесения тех или иных сведений к секретным, совершенно секретным и особой важности.

Изменения в сфере лицензирования деятельности по ТЗКИ и производства СЗИ:

1. Опубликовано постановление Правительства Российской Федерации от 26.11.2021 № 2054 «О внесении изменений в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации».Постановление вступает в силу с 1 марта 2022 г.

Кратко резюмируя вышеуказанное постановление Правительства:

— актуализирован порядок лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации

— внесены поправки в связи с переходом на реестровую модель лицензирования.

— закреплен запрет на осуществление деятельности по разработке и производству средств защиты конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством РФ) иностранными юридическими лицами.

2. Опубликовано Постановление Правительства Российской Федерации от 26.11.2021 № 2055 «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации». Постановление вступает в силу с 1 марта 2022 года.

Кратко резюмируя вышеуказанное постановление Правительства:

— актуализирован порядок лицензирования деятельности по технической защите конфиденциальной информации

— внесены поправки в связи с переходом на реестровую модель лицензирования.

— предусмотрен запрет на осуществление деятельности по технической защите конфиденциальной информации (не содержащей сведения, составляющие государственную тайну, но защищаемой в соответствии с законодательством РФ) иностранными юридическими лицами.

3.     Опубликовано постановление Правительства Российской Федерации от 26.11.2021 № 2052 «Об утверждении Правил обращения со сведениями, составляющими служебную тайну в области обороны».

Правила устанавливают порядок обращения с документами и другими материальными носителями информации, содержащими сведения, составляющие служебную тайну в области обороны, в органах государственной власти РФ, органах государственной власти субъектов РФ, органах местного самоуправления и организациях, участвующих в организации и выполнении мероприятий в области обороны.

Новости из сферы защиты КИИ:

1. Опубликован приказ ФСБ России от 29.11.2021 № 472  «О внесении изменений в приказ ФСБ России от 11 декабря 2013 г. № 747 «Об утверждении Перечня должностных лиц органов федеральной службы безопасности, уполномоченных составлять протоколы об административных правонарушениях, и о реализации отдельных положений Кодекса Российской Федерации об административных правонарушениях в органах федеральной службы безопасности» и утвержденный этим приказом Перечень».

ФСБ России расширила перечень должностных лиц органов федеральной службы безопасности (в том числе научные консультанты), уполномоченных составлять протоколы об административных правонарушениях по нарушениям, связанным с обеспечением функционирования ГосСОПКА (части 2 и 3 статьи 13.12.1 и часть 2 статьи 19.7.15 КОАП РФ).

Новости из сферы IT и ИБ:

1. Опубликованы49 ГОСТов, связанных с информационной безопасностью, введенных в действие 30.11.2021.

Анализ введенных ГОСТов будет опубликован позднее в отдельной статье.

Перечень введенных ГОСТов:

1. ГОСТ ISO/IEC 19896-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетенции специалистов по тестированию и оценке безопасности информационных технологий. Часть 1. Введение, основные понятия и общие требования».
2. ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции».
3. ГОСТ ISO/IEC 24760-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 2. Базовая архитектура и требования».
4. ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. Практические приемы».
5. ГОСТ Р 59383-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом».
6. ГОСТ ISO/IEC 27014-2021 «Информационные технологии. Информационная безопасность, кибербезопасность и защита конфиденциальности. Руководство деятельностью по обеспечению информационной безопасности».
7. ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных».
8. ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных».
9. ГОСТ ISO/IEC TS 19249-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Каталог принципов построения архитектуры и проектирования безопасных продуктов, систем и приложений».
10. ГОСТ Р 59494-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5-1. Структуры данных протоколов и мер обеспечения безопасности приложений. XML-схемы».
11. ГОСТ Р 59503-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации».
12. ГОСТ Р 59506-2021 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности».
13. ГОСТ Р 59515-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение идентичности».
14. ГОСТ Р 59516-2021 «Информационные технологии. Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности».
15. ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».
16. ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности».
17. ГОСТ Р ИСО/МЭК 27003-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации».
18. ГОСТ Р ИСО/МЭК 27004-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание».
19. ГОСТ Р ИСО/МЭК 27017-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб».
20. ГОСТ Р ИСО/МЭК 27019-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)».
21. ГОСТ Р ИСО/МЭК 27021-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности».
22. ГОСТ Р ИСО/МЭК 27033-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей».
23. ГОСТ Р ИСО/МЭК 27034-2-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 2. Нормативная структура организации».
24. ГОСТ Р ИСО/МЭК 27034-3-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений».
25. ГОСТ Р ИСО/МЭК 27034-6-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 6. Практические примеры».
26. ГОСТ Р ИСО/МЭК 27036-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия».
27. ГОСТ Р 59329-2021 «Системная инженерия. Защита информации в процессах приобретения и поставки продукции и услуг для системы».
28. ГОСТ Р 59330-2021 «Системная инженерия. Защита информации в процессе управления моделью жизненного цикла системы».
29. ГОСТ Р 59331-2021 «Системная инженерия. Защита информации в процессе управления инфраструктурой системы».
30. ГОСТ Р 59332-2021 «Системная инженерия. Защита информации в процессе управления портфелем проектов».
31. ГОСТ Р 59333-2021 «Системная инженерия. Защита информации в процессе управления человеческими ресурсами системы».
32. ГОСТ Р 59334-2021 «Системная инженерия. Защита информации в процессе управления качеством системы».
33. ГОСТ Р 59335-2021 «Системная инженерия. Защита информации в процессе управления знаниями о системе».
34. ГОСТ Р 59336-2021 «Системная инженерия. Защита информации в процессе планирования проекта».
35. ГОСТ Р 59337-2021 «Системная инженерия. Защита информации в процессе оценки и контроля проекта».
36. ГОСТ Р 59338-2021 «Системная инженерия. Защита информации в процессе управления решениями».
37. ГОСТ Р 59339-2021 «Системная инженерия. Защита информации в процессе управления рисками для системы».
38. ГОСТ Р 59340-2021 «Системная инженерия. Защита информации в процессе управления конфигурацией системы».
39. ГОСТ Р 59342-2021 «Системная инженерия. Защита информации в процессе измерений системы».
40. ГОСТ Р 59344-2021 «Системная инженерия. Защита информации в процессе анализа бизнеса или назначения системы».
41. ГОСТ Р 59345-2021 «Системная инженерия. Защита информации в процессе определения потребностей и требований заинтересованной стороны для системы».
42. ГОСТ Р 59347-2021 «Системная инженерия. Защита информации в процессе определения архитектуры системы».
43. ГОСТ Р 59348-2021 «Системная инженерия. Защита информации в процессе определения проекта».
44. ГОСТ Р 59350-2021 «Системная инженерия. Защита информации в процессе реализации системы».
45. ГОСТ Р 59351-2021 «Системная инженерия. Защита информации в процессе комплексирования системы».
46. ГОСТ Р 59353-2021 «Системная инженерия. Защита информации в процессе передачи системы».
47. ГОСТ Р 59354-2021 «Системная инженерия. Защита информации в процессе аттестации системы».
48. ГОСТ Р 59355-2021 «Системная инженерия. Защита информации в процессе функционирования системы».
49. ГОСТ Р 59357-2021 «Системная инженерия. Защита информации в процессе изъятия и списания системы»