Обзор изменений в законодательстве за апрель 2020

В апрельском обзоре за 2020 г. рассмотрим предложения по сдвигу сроков обязательного использования средств защиты информации, сертифицированных по требованиям к уровням доверия, в государственных информационных системах и информационных системах персональных данных. Поговорим о рекомендациях ФСТЭК России к документарному сопровождению обязательных процедур в рамках категорирования объектов КИИ и немного о новой, всеми ожидаемой Методике моделирования угроз безопасности информации.

СрЗИ, соответствующие уровням доверия

8 апреля 2020 г. ФСТЭК России опубликовала Проект приказа «О внесении изменения в приказ ФСТЭК России от 28 мая 2019 г. № 106 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17» (далее – Проект Приказа).

Согласно пояснительной записке к Проекту Приказа проводимые разработчиками и производителями сертифицированных средств защиты информации (далее – СрЗИ) работы по оценке соответствия СрЗИ, применяемых в государственных информационных системах (далее – ГИС), Требованиям безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвержденным приказом ФСТЭК России от 30 июля 2018 г. № 131, приостановлены. В связи с чем Проект Приказа предусматривает сдвиг срока по вступлению в силу требования по применению в ГИС сертифицированных СрЗИ, соответствующих уровням доверия, до 1 января 2021 г.

23 апреля 2020 г. ФСТЭК России опубликовала для общественных обсуждений Проект приказа «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21» (далее – Проект Приказа). Обсуждения по Проекту Приказа продлятся до 7 мая 2020 г.

Проект Приказа предусматривает внесение изменений в отношении требований, предъявляемых к сертифицированным СрЗИ, используемым для защиты в информационных системах персональных данных (далее – ИСПДн). В ИСПДн, как и в ГИС, необходимо будет применять СрЗИ, соответствующие уровням доверия, с 1 января 2021 г.

Лицензирование деятельности по технической защите конфиденциальной информации

Приказ ФСТЭК России от 17.12.2019 № 240 «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134» официально опубликован 13 апреля 2020 г., вступил в силу 24 апреля 2020 г.

Данным приказом вносятся изменения в регламент по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации (далее – ТЗКИ). В частности, в перечень предоставляемых государственных услуг добавлена возможность исправления, по запросу от лицензиата, допущенных опечаток и (или) ошибок в выданных лицензиях на ТЗКИ. Также, вводится форма заявления на предоставление услуг.

Вопросы категорирования объектов КИИ

В Информационном сообщении ФСТЭК России от 17 апреля 2020 г. N 240/84/611 рассматриваются вопросы представления перечней объектов критической информационной инфраструктуры (далее – КИИ), подлежащих категорированию, и направления сведений о результатах категорирования объектов КИИ.

Основные тезисы Информационного сообщения: 

• Перечень объектов КИИ, подлежащих категорированию, направляемый во ФСТЭК России, рекомендовано оформить в соответствии с предлагаемой формой.
• Перечень объектов КИИ, подлежащих категорированию, необходимо направлять в печатном и электронном виде (формат .ods и (или). odt).
• Уведомлять ФСТЭК России об отсутствии объектов КИИ или о том, что организация не является субъектом КИИ, не нужно.
• Сведения о результатах категорирования необходимо направлять во ФСТЭК России в бумажном виде с приложением электронных копий в формате файлов электронных таблиц (формат .ods).
• Обязательный для государственных организаций срок (для иных субъектов КИИ срок носит рекомендательный характер) по утверждению перечней объектов КИИ, подлежащих категорированию, истек 1 сентября 2019 г. Как следствие, категорирование объектов КИИ должно быть завершено к 1 сентября 2020 г.

Изменения в Закон «О персональных данных»

Федеральный закон от 24.04.2020 № 123-ФЗ «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных"» (далее – ФЗ № 123) опубликован 24 апреля 2020 г.

Согласно ФЗ № 123 в Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» вносятся изменения, вступающие в силу с 1 июля 2020 г. Обработка персональных данных (далее – ПДн), в т.ч. касающихся состояния здоровья, что является специальной категорий ПДн, которые получены в результате обезличивания ПДн в целях исполнения ФЗ №123, будет разрешена без получения согласия субъекта ПДн.

Проект Методики моделирования угроз безопасности информации

ФСТЭК России информирует о разработке методического документа «Методика моделирования угроз безопасности информации». Предложения и замечания по проекту методики моделирования угроз безопасности информации (далее – УБИ) принимались до 30 апреля 2020 г.

Для того, чтобы новую Методику моделирования УБИ можно было применять, планируется модернизация раздела «Угрозы» банка данных угроз безопасности информации ФСТЭК России (далее – БДУ ФСТЭК России). Как видно из текста проекта Методики, как минимум планируется добавить в БДУ ФСТЭК России тактики и соответствующие им техники (способы), использование которых возможно нарушителем при реализации УБИ.

Также из основных моментов стоит отметить, что Методику необходимо будет применять для моделирования УБИ в ИСПДн, информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, в том числе отнесенных к объектам КИИ, в информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах, защита информации в которых или безопасность которых обеспечивается в соответствии с требованиями по защите информации (обеспечению безопасности), утвержденными ФСТЭК России в пределах своей компетенции. При этом, Методика определения актуальных угроз безопасности ПДн при их обработке в ИСПДн (ФСТЭК России, 2008 г.) и Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (ФСТЭК России, 2007 г.) в случае утверждения рассматриваемого проекта Методики будут отменены.

Важные моменты рассматриваемого проекта Методики моделирования УБИ:

• Моделирование УБИ должно проводиться с учетом применяемых в системах и сетях СрЗИ. Однако при этом необходимо учитывать возможность наличия в организации работ и применяемых СрЗИ уязвимостей, которые могут использоваться для реализации УБИ.
• Для моделирования УБИ возможно привлечение организаций, имеющих лицензию ФСТЭК России на деятельность по ТЗКИ.
• Ведение модели угроз и поддержание ее в актуальном состоянии может осуществляться в электронном виде.
• Негативные последствия необходимо будет определять на основе оценки ущерба (рисков) от нарушения основных критических процессов.
• Предусмотрены рекомендации по формированию экспертной группы (состоящей минимум из трех экспертов) и проведению экспертной оценки.
• При моделировании УБИ на этапе эксплуатации систем и сетей возможность идентификации и использования уязвимостей оценивается по результатам контроля защищенности систем и сетей (тестирований на проникновение).