Оглавление
Усиление ответственности в области обработки ПДн. Стандарт по системам автоматизированного управления учетными записями и правами доступа. Изменения в 187-ФЗ. Использование криптографических средств. Программа профилактики нарушений лицензионных требований от ФСТЭК России. Программа профессиональной переподготовки от ФСТЭК России.
Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
Ноябрь–2024
Большую часть обзора изменений законодательства за ноябрь 2024 г. посвятим рассмотрению усиления административной и уголовной ответственности в области обработки ПДн, а также немного поговорим о стандарте по системам автоматизированного управления учетными записями и правами доступа.
Усиление административной и уголовной ответственности в области обработки ПДн
Изменения в Кодекс Российской Федерации об административных правонарушениях и Уголовный кодекс Российской Федерации были официально опубликованы 30 ноября 2024 г:
Федеральный закон от 30.11.2024 № 420–ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» [1] – вступает в силу с 30 мая 2025 г.;
Федеральный закон от 30.11.2024 № 421–ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» [2] – вступает в силу с 11 декабря 2024 г.
Изменения ужесточают ответственность в сфере персональных данных. Обзор изменений, вносимых в Кодекс Российской Федерации об административных правонарушениях Федеральным законом от 30.11.2024 № 420–ФЗ см. в таблице.
Стоит обратить внимание, что для административных правонарушений, предусмотренных чч. 15 и 18 ст. 13.11 предусмотрены смягчающие обстоятельства. Административное наказание в виде административного штрафа назначается в размере одной десятой минимального размера административного штрафа, предусмотренного за совершение соответствующего административного правонарушения, но не менее 15 млн руб. и не более 500 млн руб. в случае выполнения лицом, до момента вынесения постановления о наложении административного штрафа, одновременно следующих условий:
Ежегодные расходы оператора в течение трех календарных лет, предшествующих году, в котором было выявлено административное правонарушение, на мероприятия по обеспечению информационной безопасности, проведенные организациями, имеющими лицензию в области ИБ, либо самостоятельно при условии наличия у оператора такой лицензии, составляли не менее одной десятой процента годового совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), либо размера собственных средств (капитала) кредитной организации.
Оператор соблюдал требования к защите ПДн при их обработке в ИСПДн при условии документального подтверждения указанного факта, проведенного в течение 12 месяцев, предшествующих моменту выявления административного правонарушения.
Обстоятельства, отягчающие административную ответственность, отсутствовали.
Обзор изменений, вносимых в Уголовный кодекс Российской Федерации (УК РФ) Федеральным законом от 30.11.2024 № 421–ФЗ, смотрите в таблице 1.
Таблица 1. Обзор изменений, вносимых в Уголовный кодекс Российской Федерации
Стандарт по системам автоматизированного управления учетными записями и правами доступа
В ноябре на сайте ФСТЭК России был размещен приказ Росстандарта от 30.10.2024 № 1558–ст «Об утверждении национального стандарта ГОСТ Р 71753– 2024 «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования» [4]. ГОСТ Р 71753–20245 вводится в действие с 20 декабря 2024 г.
Стандарт устанавливает общие требования к системам управления учетными записями и правами доступа пользователей и автоматизации процессов, связанных с управлением учетными записями и правами доступа.
Для процессов, связанных с управлением учетными записями и правами доступа, определяются состав участников и содержание процессов, подлежащих автоматизации, и даются общие рекомендации по разработке и внедрению систем управления учетными записями и правами доступа пользователей.
Положения стандарта не описывают детальные требования к управлению учетными записями и правами непосредственно в контролируемых информационных системах, так как подход к реализации управления учетными записями и правами доступа определяется архитектурой конкретных систем. Устанавливаются общие требования по реализации процессов управления в ИС.
Декабрь–2024
В декабрьском обзоре изменений законодательства за 2024 год рассмотрим законопроект о внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», требования по использование шифровальных (криптографических) средств от ФСБ России и др.
Законопроект о внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации»
Законопроект № 581689–8 «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» [6] был рассмотрен во втором чтении 12 декабря 2024 г. Рассмотрение Советом Государственной Думы законопроекта перенесено не весеннюю сессию 2025 г.
Рассмотрим ряд тезисов из текста законопроекта по внесению изменений в Федеральный закон от 26.07.2017 № 187–ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» ко второму чтению:
Из дефиниции субъектов критической информационной инфраструктуры предлагается исключить индивидуальных предпринимателей.
К полномочиям Правительства РФ предлагается добавить установление отраслевых особенностей категорирования объектов КИИ, которыми должны будут руководствоваться субъекты КИИ при категорировании.
В соответствии с отраслевыми особенностями категорирования объектов КИИ, утверждаемыми Правительством РФ, государственные органы [7], выполняющие функции по регулированию в установленной сфере деятельности, формируют и утверждают по согласованию с ФСТЭК России перечни типовых отраслевых объектов КИИ и отраслевые требования по категорированию, регламентирующие с учетом установленных перечней типовых отраслевых объектов КИИ особенности категорирования объектов КИИ и присвоения им категорий значимости. Перечни должны включать в себя наименование типов информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, выполняемых отраслевыми объектами КИИ функций и осуществляемых ими видов деятельности, для обеспечения которых они предназначены. При этом в перечни включаются только типы ИС, ИТС, АСУ, обладающие признаком значимости в соответствии с отраслевыми требованиями по категорированию. Отраслевые требования по категорированию определяют порядок установления соответствия объекта КИИ отраслевым критериям значимости и показателям их значений с целью присвоения ему одной из категорий значимости и включают в себя отраслевые признаки значимости объектов КИИ, соответствующие критериям значимости и показателям их значений, а также методики их расчета с учетом особенностей их функционирования. В государственный контроль в области обеспечения безопасности значимых объектов КИИ также войдет проверка правильности отнесения субъектами КИИ принадлежащих им объектов КИИ к значимым в соответствии с отраслевыми особенностями категорирования объектов КИИ.
До утверждения отраслевых требований по категорированию, а также установления перечней типовых отраслевых объектов КИИ в сфере, в которой субъект КИИ осуществляет деятельность, категорирование объектов КИИ осуществляется в соответствии с порядком осуществления категорирования, устанавливаемым Правительством РФ. Государственные органы должны обеспечить принятие требуемых нормативных правовых актов в течение трех месяцев со дня вступления в силу законопроекта. Предполагается, что изменения должны вступить в силу с 1 сентября 2025 г.
Категория значимости объектов КИИ теперь может быть изменена при мотивированном решении ФСТЭК России, которое больше не обязано быть принято по результатам проверки, проведенной в рамках осуществления государственного контроля. Изменение отраслевых особенностей категорирования объектов КИИ также может послужить причиной для пересмотра категории.
Закрепляется обязанность субъектов КИИ, которым принадлежат значимые объекты КИИ, использовать на значимых объектах КИИ российское ПО и программно-аппаратные средства, требования к которым установлены Правительством РФ (то есть доверенные программно-аппаратные средства).
Обязанности, предусмотренные ч. 2 и п. 7 ч. 3 ст. 9 187–ФЗ [8], должны будут распространяться на руководителей государственных органов и подведомственных им организаций, государственных учреждений, государственных фондов, государственных корпораций (компаний) в части принадлежащих таким органам и организациям на праве собственности, аренды или ином законном основании информационных ресурсов РФ. Порядок и технические условия установки и эксплуатации в указанных информационных ресурсах средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, в том числе средств, предназначенных для поиска признаков компьютерных атак, устанавливаются ФСБ России. Порядок информирования указанными руководителями ФСБ России о компьютерных атаках и компьютерных инцидентах, связанных с функционированием их информационных ресурсов, устанавливается ФСБ России.
Использование шифровальных (криптографических) средств
Проект приказа ФСБ России «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств» [9] был представлен к общественному обсуждению 13 декабря 2024 г.
Как отмечается в пояснительной записке, проектом приказа закрепляется, что требования о защите информации с использованием шифровальных (криптографических) средств теперь распространяются не только на государственные информационные системы, но и на иные информационные системы государственных органов, государственных унитарных предприятий и государственных учреждений. Ряд положений приказа ФСБ России от 24 октября 2022 г. № 524 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств» скорректирован с учетом практики его применения.
Одновременно с изданием проекта приказа предусмотрено признание утратившим силу приказа № 524.
Формы документов, используемые ФСБ России в процессе лицензирования
Приказ ФСБ России от 16.11.2024 № 479 «О внесении изменений в приказ ФСБ России от 31 января 2022 г. № 35 «Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99–ФЗ «О лицензировании отдельных видов деятельности» [10] был официально опубликован 4 декабря 2024 г. Приказ ФСБ России от 16.11.2024 № 479 вступил в силу с 15 декабря 2024 г.
Приказом вносятся корректировки в ряд форм документов, используемых ФСБ России в процессе лицензирования, также вводятся дополнительные формы.
Заявление юридического лица о предоставлении лицензии.
Заявление индивидуального предпринимателя о предоставлении лицензии.
Заявление юридического лица о внесении изменений в реестр лицензий.
Заявление индивидуального предпринимателя о внесении изменений в реестр лицензий.
Заявление о предоставлении сведений о конкретной лицензии.
Заявление юридического лица о прекращении лицензируемого вида деятельности.
Заявление индивидуального предпринимателя о прекращении лицензируемого вида деятельности.
Заявление об исправлении допущенных технических ошибок.
Установление срока действия требований по защите сетей связи от несанкционированного доступа
Приказ Минцифры России от 26.08.2024 № 726 «О внесении изменения в приказ Мининформсвязи России от 9 января 2008 г. № 1 «Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации» [11] был официально опубликован 9 декабря 2024 г.
Приказ Минцифры России от 26.08.2024 № 726 вступает в силу с 1 сентября 2025 г. и устанавливает, что приказ Мининформсвязи России от 9 января 2008 г. № 1 действует до 1 сентября 2031 года.
Установление срока действия постановления Правительства РФ от 15.09.2008 № 687
Проект Постановления Правительства РФ «О внесении изменения в постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687» [12] был представлен к общественному обсуждению 9 декабря 2024 г.
Проектом постановления предлагается установить срок действия постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» до 1 сентября 2030 г.
Программа профилактики нарушений лицензионных требований от ФСТЭК России
В декабре 2024 г. на официальном сайте ФСТЭК России был опубликован приказ ФСТЭК России от 10 декабря 2024 г. № 227 «Об утверждении программы профилактики нарушений лицензионных требований, соблюдение которых оценивается при проведении ФСТЭК России лицензионного контроля за деятельностью по технической защите конфиденциальной информации и деятельностью по разработке и производству средств защиты конфиденциальной информации, на 2025 г.» [13].
В программу профилактики нарушений лицензионных требований вошел краткий анализ текущего состояния подконтрольной сферы. Так, отмечается, что в области защиты конфиденциальной информации выдано 4947 лицензий, в том числе на деятельность по технической защите конфиденциальной информации – 3416, на деятельность по разработке и производству средств защиты конфиденциальной информации – 1531.
За 2020–2024 гг. из 84 проверок, проведенных ФСТЭК России в рамках лицензионного контроля за деятельностью по технической защите конфиденциальной информации и деятельностью по разработке и производству средств защиты конфиденциальной информации, выявлено 57 нарушений лицензионных требований. По фактам выявленных нарушений лицензиатам выданы 28 предписаний об их устранении, в отношении 16 лицензиатов применены административные наказания, предусмотренные Кодексом Российской Федерации об административных правонарушениях.
Программа профессиональной переподготовки от ФСТЭК России
На сайте ФСТЭК России доступно информационное сообщение от 4 декабря 2024 г. № 240/11/6043 «О разработанной ФСТЭК России примерной программе профессиональной переподготовки «Организация и обеспечение информационной безопасности в органе (организации)» [14].
ФСТЭК России разработана и утверждена примерная программа профессиональной переподготовки, предназначенная для профессиональной переподготовки руководителей в рамках выполнения требований Указа Президента РФ от 01.05.2022 № 250.
Рекомендации по стандартизации в сфере криптографической защиты информации
В декабре 2024 г. на сайте Технического комитета по стандартизации «Криптографическая защита информации» (ТК 26) опубликована новость об утверждении рекомендации по стандартизации «Криптографические алгоритмы выработки ключей шифрования информации и аутентификационных векторов, предназначенные для реализации в аппаратных модулях доверия для использования в подвижной радиотелефонной связи» [15].
Приказом № 1785–ст от 28.11.2024 Росстандарта [16] утверждены рекомендации по стандартизации Р 1323565.1.003– 2024 «Информационная технология. Криптографическая защита информации. Криптографические алгоритмы выработки ключей шифрования информации и аутентификационных векторов, предназначенных для реализации в аппаратных модулях доверия для использования в подвижной радиотелефонной связи» с датой введения в действие 1 января 2025 г.
Документ введен взамен рекомендаций по стандартизации Р.1323565.1.003– 2017.
http://publication.pravo.gov.ru/document/0001202411300011
http://publication.pravo.gov.ru/document/0001202411300012
Под трансграничным перемещением носителей информации понимается совершение действий по ввозу на территорию РФ и (или) вывозу с территории РФ машиночитаемого носителя информации (в том числе магнитного и электронного), на который осуществлены запись и хранение указанной информации
https://fstec.ru/tk-362/deyatelnost-tk362/prikazy-ob-utverzhdenii-natsionalnykh-standartov/prikaz-rosstandarta-ot-30-oktyabrya2024-g-n-1558-st
https://protect.gost.ru/document1.aspx?control=31&id=263930
https://sozd.duma.gov.ru/bill/581689-8
А также Центральный банк Российской Федерации и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности
Обязательное непрерывное взаимодействие с ГосСОПКА в порядке, установленном ФСБ России
https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=153171
http://publication.pravo.gov.ru/document/0001202412040003
http://publication.pravo.gov.ru/document/0001202412090008
https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=153056
https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-10-dekabrya-2024-g-n-227
https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii-ot-4-dekabrya-2024-g-n-240-11-6043
https://tc26.ru/news/novosti-tk26/utverzhdeny-rekomendatsii-po-standartizatsii-kriptograficheskie-algoritmy-vyrabotki-klyuchey-shifrovaniya-informatsii-i-autentifikatsionnykh-vektorov-prednaznachennye-dlya-realizatsii-v-apparatnykh-modulyakh-doveriya-dlyaispolzovaniya-v-podvizhnoy-r.html
https://tc26.ru/upload/medialibrary/b97/68zbjtiw0s6lnsizpapvfgiej8nbey96/1.11.026-1.036.23%20Приказ.pdf
ITSec_articles