Обзор изменений в законодательстве ИТ и ИБ за январь 2025 года

В обзоре изменений за январь 2025 года рассмотрим следующие темы:

1. Персональные данные

Срок действия 687-П ограничивается до 1 сентября 2030 года. Представлен проект изменений, расширяющий варианты проведения мероприятий по контролю за операторами ПДн без взаимодействия с ними. Расширен перечень случаев использования биометрических ПДн, размещенных в ЕБС с использованием мобильного приложения. В 152-ФЗ внесено дополнение об обработке ПДн без согласия.

2. Безопасность финансовых организаций

Банк России опубликовал Методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей объектов информационной инфраструктуры организаций финансового рынка.

3. Иное

Вступили в силу:

• Условия по защите информации для участников платформы цифрового рубля;
• Положение о Гособлаке;
• изменения в составе информации, подлежащей хранению организатором распространения информации в сети «Интернет».

Представлена Концепция государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий. Срок осуществления лицензионного контроля в соответствии с 294-ФЗ продлен до конца 2025 года. Утверждены формы согласия на обработку ПДн в соответствии с 572-ФЗ. Завершился переходный период авторизации пользователей информационных ресурсов. Представлен проект изменений Порядка обработки биометрических ПДн в ЕБС.

4. Деятельность ФСТЭК России

ФСТЭК России представила проекты приказов о порядке и сроках проведения лицензионного контроля, а также информационные сообщения о повышении безопасности СрЗИ, в состав которых входят средства контейнеризации, интерпретаторы, веб-сервера и сервера приложений.

Персональные данные

Отмена Положения об особенностях обработки ПДн без средств автоматизации

26 января 2025 года вступило в силу постановление Правительства Российской Федерации (далее – РФ) от 18.01.2025 № 12 «О внесении изменения в постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных (далее – ПДн), осуществляемой без использования средств автоматизации» (далее – 687-П)», согласно которому срок действия 687-П ограничивается до 1 сентября 2030 года.

Изменения в госконтроле за обработкой ПДн

Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) представило для общественного обсуждения проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ ‎от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой ПДн».

Проектом предлагается дополнить варианты проведения мероприятий по контролю за операторами ПДн без взаимодействия с контролируемым лицом использованием информационных систем (далее – ИС), принадлежащих контролирующему органу.

Также расширяется перечень действий, который может быть применен по отношению к оператору, если в ходе контроля без взаимодействия с оператором были выявления нарушения. В отношении оператора принимаются следующие меры:

• по прекращению обработки ПДн ‎и их уничтожению;
• направляется письмо с требованием ‎об уточнении, блокировании или уничтожении недостоверных‎ или полученных незаконным путем ПДн ‎в течение 10 рабочих дней с информированием контролирующего органа об исполнении требования либо ‎с представлением мотивированных пояснений о выявленных нарушениях требований;
• объявляется предостережение ‎о недопустимости нарушения обязательных требований и предлагается принять меры по обеспечению соблюдения обязательных требований.

Общественное обсуждение проекта завершилось 4 февраля 2025 года.

Расширение случаев использования биометрических ПДн, размещенных в ЕБС с использованием мобильного приложения

24 января 2025 года официально вступило в силу постановление Правительства РФ от 18.01.2025 № 15 «О внесении изменений в постановление Правительства РФ от 15.06.2022 № 1067 «О случаях и сроках использования биометрических ПДн, размещенных физическими лицами в единой информационной системе ПДн, обеспечивающей обработку, включая сбор и хранение, биометрических ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн физического лица».

Согласно изменениям биометрические ПДн, размещенные в единой биометрической системе (далее – ЕБС) с использованием мобильного приложения ЕБС, могут использоваться для:

• осуществления продажи алкогольной, табачной продукции, тонизирующих, энергетических напитков и т.д;
• подтверждения факта нахождения гражданина в живых в целях продления выплаты страховой пенсии и фиксированной выплаты гражданину РФ, проживающему за пределами территории РФ.

1 января 2025 года завершился переходный период, установленный Федеральным законом от 12.12.2023 № 588-ФЗ «О внесении изменения в статью 8 Федерального закона «Об информации, информационных технологиях и о защите информации», в течение которого владелец ИС, ПО или ресурсов в сети «Интернет» мог проводить авторизацию пользователей с использованием собственной ИС, обеспечивающей авторизацию.

По истечении переходного периода использовать ИС, обеспечивающие авторизацию пользователей информационных ресурсов, можно только при условии, что ее владельцем является:

• гражданин РФ, не имеющий гражданства другого государства;
• юридическое лицо, находящееся под контролем РФ, субъекта РФ, муниципального образования, гражданина РФ, не имеющего гражданства другого государства.

Завершение переходного периода авторизации пользователей информационных ресурсов

1 января 2025 года завершился переходный период, установленный Федеральным законом от 12.12.2023 № 588-ФЗ «О внесении изменения в статью 8 Федерального закона «Об информации, информационных технологиях и о защите информации», в течение которого владелец ИС, ПО или ресурсов в сети «Интернет» мог проводить авторизацию пользователей с использованием собственной ИС, обеспечивающей авторизацию.

По истечении переходного периода использовать ИС, обеспечивающие авторизацию пользователей информационных ресурсов, можно только при условии, что ее владельцем является:

• гражданин РФ, не имеющий гражданства другого государства;
• юридическое лицо, находящееся под контролем РФ, субъекта РФ, муниципального образования, гражданина РФ, не имеющего гражданства другого государства.

Изменения в Порядке обработки биометрических ПДн в ЕБС

Минцифры России представило для общественного обсуждения проект приказа «О внесении изменений в Порядок обработки, включая сбор, хранение, биометрических ПДн, в том числе требования к параметрам биометрических ПДн, и в Порядок размещения и обновления биометрических ПДн в ЕБС, ‎а также случаи и сроки использования биометрических ПДн при их размещении в ЕБС в соответствии с ч. 14 ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ», утвержденные приказом Минцифры России от 12.05.2023 ‎№ 453».

Проектом предлагается:

• увеличить срок, после которого необходимо обновить биометрические ПДн в ЕБС, с 2 до 4 лет, если ПДн были размещены государственными органами, Банком России, организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами;
• в случае изменения ряда требований к параметрам биометрических ПДн обязать оператора ЕБС осуществлять проверку параметров биометрических ПДн, размещенных в ЕБС совместно с идентификатором учетной записи в единой системе идентификации и аутентификации, на соответствие обновленным требованиям;
• изменить ряд параметров, которым должны соответствовать записи голоса, размещаемые в ЕБС, в частности:

     o   исключить требование о произнесении физическим лицом последовательности букв или цифр, сгенерированной ПО, а также требование о произнесении текста физическим лицом на русском языке;

     o   уточнить, что запись голоса должна содержать длину чистой речи не менее 30 секунд;

• изменить ряд параметров, которым должно соответствовать изображение лица, размещаемое в ЕБС.

Планируется, что в случае принятия, приказ будет действовать до 1 июня 2029 года. Общественное обсуждение проекта приказа завершилось 27 января 2025 года.

ФСТЭК России

Сроки и последовательность лицензионного контроля ФСТЭК России

Федеральная служба по техническому ‎и экспортному контролю РФ (далее – ФСТЭК России) представила проекты приказов:

• Об утверждении сроков и последовательности административных процедур при осуществлении ФСТЭК России и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации;
• Об утверждении сроков и последовательности административных процедур при осуществлении ФСТЭК России и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России).

Проектами приказов закрепляется, что при осуществлении лицензионного контроля в отношении лицензиатов проводятся плановые (внеплановые) документарные и (или) выездные проверки. Для проведения проверки ФСТЭК России назначаются не менее двух должностных лиц. По решению директора ФСТЭК России или руководителя территориального органа к проведению выездной проверки могут привлекаться сторонние по отношению к проверяемому лицу эксперты и экспертные организации.

Срок проведения проверки не может превышать 20 рабочих дней. Однако, для ряда лицензиатов установлены иные максимальные сроки проведения плановых выездных проверок. Так для лицензиатов, являющихся:

• малым предприятием – 50 часов в год;
• микропредприятием – 15 часов в год;
• юридическим лицом, которое осуществляет свою деятельность ‎на территориях нескольких субъектов РФ – устанавливается отдельно по каждому филиалу/ обособленному структурному подразделению, но не более 60 рабочих дней.

В исключительных случаях, связанных с необходимостью проведения сложных или длительных проверок, на основании мотивированных предложений проверяющих срок проведения выездной плановой проверки, может быть продлен.

Также проектами закрепляются порядки проведения проверок, оформления результатов проверок и осуществления контроля за устранением лицензиатом выявленных нарушений лицензионных требований.

Общественное обсуждение проектов завершится 12 февраля 2025 года.

Повышение безопасности СрЗИ, в составе которых средства контейнеризации или образы контейнеров

На официальном сайте ФСТЭК России опубликовано Информационное сообщение от 13.01.2025 № 240/24/38 «О повышении безопасности средств защиты информации (далее – СрЗИ), в состав которых разработчики включают средства контейнеризации или образы контейнеров».

В целях повышения безопасности СрЗИ в контейнерном исполнении изготовителям при разработке и сертификации необходимо:

• использовать сертифицированное средство контейнеризации, если оно не входит в состав СрЗИ и используется в качестве среды его функционирования;
• провести инвентаризацию образов контейнеров, входящих в СрЗИ, а также ПО из состава образов контейнеров. Перечень образов контейнеров должен быть приведен в проектной документации;
• обеспечить контроль целостности образов контейнеров и исполняемых файлов, осуществляется средством самостоятельно, с использованием средства контейнеризации или сертифицированного средства контроля целостности;
• обеспечить совместимость ПО, входящего в состав образов контейнеров, с хостовыми операционными системами (далее – ОС), указанными в эксплуатационной документации в качестве среды функционирования;
• обеспечить запуск контейнеров с полномочиями, минимально необходимыми для функционирования СрЗИ;
• обеспечить управление доступом между компонентами СрЗИ (контейнерами, микросервисами, иными ресурсами), компонентами среды функционирования, внешними по отношению к средству компонентами в соответствии с заданными разработчиком средства правилами. Правила доступа, содержащие разрешенный список действий, должны быть описаны в документации.

Повышение безопасности СрЗИ, в составе которых интерпретаторы, веб‑сервера и сервера приложений

На официальном сайте ФСТЭК России опубликовано Информационное сообщение от 10.01.2025 № 240/24/39 «О повышении безопасности СрЗИ, в состав которых разработчики включают интерпретаторы (компоненты среды функционирования интерпретируемых языков или языков, компилируемых в промежуточное представление), веб-сервера и сервера приложений (далее – программные компоненты) или задействуют для реализации функциональных возможностей средств данные программные компоненты из состава среды функционирования».

В целях повышения безопасности СрЗИ, использующих указанные программные компоненты, при разработке и сертификации необходимо:

• в случае использования в СрЗИ для реализации функций безопасности или в составе поверхности атаки СрЗИ программных компонентов из состава среды функционирования СрЗИ сертифицировать их по требованиям безопасности информации (могут быть сертифицированы самостоятельно, в составе среды функционирования СрЗИ или в составе СрЗИ);
• в случае включения в состав ОС несертифицированных программных компонентов, ко всем функциям по безопасности, содержащихся в программных компонентах, предъявить требования по безопасности информации и включить их в технические условия на ОС, выполнение которых проверяется при проведении сертификационных испытаний;
• в случае включения в состав иных СрЗИ несертифицированных программных компонентов, сертифицировать их в составе СрЗИ в части задействования данных компонентов при реализации функций безопасности СрЗИ или в поверхности атаки СрЗИ;
• наделять программные компоненты минимально необходимыми для функционирования СрЗИ полномочиями;
• обеспечить выполнение программными компонентами кода либо входящего в состав СрЗИ, либо допущенного к выполнению посредством документированных функциональных возможностей СрЗИ (если программными компонентами предусмотрена возможность по выполнению кода);
• включить в эксплуатационную документацию сведения о всех функциональных возможностях, в том числе функциях безопасности, параметрах их безопасной конфигурации, настройки и эксплуатации, а также рекомендации по контролю безопасной конфигурации и настройки средств.