УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Обзор изменений в законодательстве за сентябрь 2022

        Обзор изменений в законодательстве за сентябрь 2022

        11 октября 2022
        Новости

        Автор: Татьяна Пермякова, старший аналитик

        В обзоре изменений за сентябрь 2022 года рассмотрим: изменения в продолжение «реформы 152-ФЗ»: новые электронные формы уведомления от Роскомнадзора, разъяснения ведомства о порядке отнесения фотографии к категории биометрических персональных данных, проекты постановлений Правительства РФ об исключениях применения требований и порядке принятия решений о запрещении/ограничении трансграничной передачи данных; требования к использованию средств криптографической защиты информации в государственных информационных системах, расширение области действия требований о защите платежной системы, результаты работы ТК 362 и другие изменения.

        Законодательство в сфере персональных данных

        Вступление в силу реформы 152-ФЗ

        Напомним, что в июле был официально опубликован Федеральный закон от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ), вносящий ряд изменений в Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – 152-ФЗ).

        Большинство изменений вступило в силу с 01.09.2022.

        Более подробный разбор нововведений приведен в комментариях ООО «УЦСБ». Кроме того, в конце сентября Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) был проведен вебинар по ключевым вопросам, касающихся вступивших в силу изменений.

        Электронные формы уведомлений

        На сайте Роскомнадзора представлены электронные формы для подачи операторами персональных данных (далее – ПДн) уведомлений об утечке ПДн и о трансграничной передаче ПДн.

        В случае утечки ПДн соответствующее уведомление необходимо подать в течение 24 часов с момента наступления события (и в течение 72 часов сообщить в Роскомнадзор результаты внутреннего расследования инцидента). Для заполнения формы необходимо сначала пройти аутентификацию с помощью Единой системы идентификации и аутентификации (ЕСИА), после чего на сайте Роскомнадзора станет доступна сама форма для заполнения. При утечке ПДн необходимо заполнить следующие данные:

        • дата и время инцидента
        • предполагаемые причины инцидента
        • характеристики утекших ПДн
        • предполагаемый вред, нанесенный субъектам ПДн
        • принятые меры по устранению последствий инцидента
        • контакты лица, уполномоченного за дальнейшее взаимодействие.

        К форме можно приложить какие-либо свидетельства (файлы) и указать дополнительную информацию.

        Форма о результатах внутреннего расследования содержит поля для указания следующей информации:

        • результаты внутреннего расследования (в свободной форме: причины инцидента, нанесенный субъектам ПДн вред, описание системы, в которой произошел инцидент, принятые меры по устранению последствий инцидента и предотвращению повторных инцидентов);
        • сведения о лицах, «виновных» в наступлении инцидента (если инцидент произошел по вине сотрудника оператора, необходимо указать фамилию, имя, отчество и должность, если по вине внешних лиц, то всю доступную информацию о нем, например, фамилию, имя, отчество, наименование, IP-адрес, предполагаемое местонахождение и т.д.).

        Форма уведомления о трансграничной передаче данных содержит следующие сведения:

        • цель трансграничной передачи;
        • правовое обоснование (необходимо выбрать из списка);
        • категории передаваемых ПДн (необходимо выбрать из списка);
        • категории субъектов ПДн (необходимо выбрать из списка);
        • перечень иностранных государств, на территорию которых осуществляется передача (необходимо выбрать из списка);
        • дата окончания проведения оценки (необходимо указать дату окончания проведения оператором оценки требований конфиденциальности обработки ПДн операторами иностранных государств, которым осуществляется или планируется осуществляться передача ПДн).
        В соответствии с комментариями Роскомнадзора, в случаях передачи ПДн в страны, обеспечивающие адекватную защиту прав субъектов ПДн, и в страны, не обеспечивающие такой адекватной защиты, необходимо сформировать одно общее уведомление и указать полный перечень стран. Ведомством также опубликован образец заполнения формы уведомления.

        Фотография: биометрия или нет?

        Роскомнадзором опубликовано письмо от 29.08.2022 № 08-78032 «О рассмотрении обращения» с разъяснениями по вопросу определения категории ПДн при обработке фотографического изображения.

        Позиция ведомства состоит в следующем: возможность отнесения тех или иных данных к категории биометрических регулируется отдельными законодательными и иными нормативными правовыми актами.

        Например, согласно п.6 Постановления Правительства РФ от 04.03.2010 №125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию» цветная фотография в загранпаспорте используется для установления личности и относится к биометрическим ПДн.

        Требования к формату изображения лица, предназначенного для записи биометрических данных, установлены Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013, утвержденным Федеральным агентством по техническому регулированию и метрологии (далее – Росстандарт).

        Таким образом, если на законодательном или ином нормативном уровне не установлены требования по обработке фотографических изображений как биометрических данных – фотография не является биометрическими ПДн.

        Проекты Минцифры России

        Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) представило для публичного обсуждения ряд проектов Постановления Правительства Российской Федерации.

        Проект постановления Правительства Российской Федерации «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона ‎«О персональных данных».

        Согласно изменениям, утвержденным 266-ФЗ и вступающим в силу в 01.03.2023, оператор обязан подать отдельное уведомление об осуществлении трансграничной передачи ПДн. При этом если страны, в которые осуществляется передача ПДн, не являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн или не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, Роскомнадзором может быть принято решение о запрете или ограничении трансграничной передачи.

        Согласно проекту постановления, эти изменения не применяются в случаях, если государственные и муниципальные органы осуществляют трансграничную передачу во исполнение полномочий и обязанностей, возложенных международным договором и(или) законодательством РФ, в целях:

        • осуществления международных воздушных и морских перевозок, железнодорожного и автомобильного сообщения;
        • обеспечения транспортной безопасности;
        • обеспечения реадмиссии;
        • осуществления предупреждения и ликвидации чрезвычайных ситуаций;
        • обеспечения безопасности и противодействия преступности;
        • обеспечения дипломатических отношений;
        • обеспечения сотрудничества в рамках Евразийского экономического союза;
        • обеспечения обороны;
        • обеспечения консульских отношений;
        • оказания правовой помощи по гражданским, семейным, административным и уголовным делам.

        Изменения, касающиеся возможности запрета или ограничения Роскомнадзором трансграничной передачи, также не применимы в описанных ранее случаях, при передаче ПДн в целях:

        • реализации физической культуры и спорта;
        • реализации культуры, науки и образования;
        • обеспечения платежей с использованием платежных систем ‎и платежной инфраструктуры.

        Однако в данных случаях требования к подаче уведомления о трансграничной передаче применимы.

        Проект постановления Правительства РФ «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».

        Проект содержит порядок рассмотрения Роскомнадзором уведомлений операторов ПДн о трансграничной передаче данных и принятия решения о запрещении или ограничении трансграничной передачи.

        Рассмотрение Роскомнадзором уведомления о трансграничной передаче ПДн осуществляется в течение 10 рабочих дней. В случае, если уведомление содержит неполные или некорректные сведения, рассмотрение приостанавливается до получения от оператора недостающих данных (по запросу ведомства). Недостающие сведения необходимо предоставить в течение 5 рабочих дней, после чего рассмотрение уведомления возобновляется. Срок предоставления оператором дополнительных сведений может быть продлен (при наличии мотивированного обоснования оператора). Если сведения в установленный срок не предоставлены – рассмотрение уведомления Роскомнадзором прекращается.

        По результатам рассмотрения уведомления о трансграничной передаче ПДн Роскомнадзор принимает решение о запрещении такой передачи в следующих случаях:

        • иностранными лицами, которым планируется трансграничная передача ПДн (далее – иностранные лица), не принимаются меры по защите передаваемых данных и(или) не определены условия прекращения их обработки;
        • иностранное лицо является запрещенной организацией на территории РФ на основании вступившего в законную силу решения суда;
        • иностранное лицо включено в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ;
        • трансграничная передача и дальнейшая обработка переданных ПДн не совместима с целями сбора ПДн;
        • условия обработки ПДн при их трансграничной передаче не соответствуют законным условиям, установленным в ст.6 152-ФЗ.

        Решение о запрещении трансграничной передачи ПДн распространяется на всю деятельность по трансграничной передаче ПДн, указанную в уведомлении.

        Решение об ограничении трансграничной передачи ПДн в свою очередь может быть принято в следующих случаях:

        • содержание и объем ПДн, планируемых ‎к трансграничной передаче, не соответствуют цели трансграничной передачи;
        • категории субъектов ПДн, данные которых планируются к трансграничной передаче, не соответствуют цели трансграничной передачи ПДн.

        Решение об ограничении трансграничной передачи действует только в части трансграничной передачи ПДн, не соответствующей ее целям.

        Проект содержит требования к содержанию решения о запрещении или ограничении трансграничной передачи ПДн. Решение по трансграничной передаче принимается руководителем Роскомнадзора, вступает в силу с момента его подписания и направляется оператору любым доступным способом.

        Оператор, получивший решение о запрещении или ограничении трансграничной передачи данных, вправе направить повторное уведомление о намерении осуществлять такую передачу после устранения причин, повлекших запрещение или ограничение ведомства. Решение также может быть обжаловано оператором в предусмотренном проектом порядке.

        Проект постановления Правительства РФ «Об утверждении Порядка принятия решений о запрещении ‎или об ограничении трансграничной передачи персональных данных‎ по представлению уполномоченного органа».

        Проект определяет порядок принятия решения о запрещении или ограничении трансграничной передачи ПДн по представлению следующих уполномоченных органов:

        • Министерство обороны РФ;
        • Министерство иностранных дел РФ;
        • Федеральная служба безопасности РФ;
        • иные федеральные органы исполнительной власти, уполномоченные Президентом или Правительством РФ на обеспечение защиты экономических и финансовых интересов РФ.

        Представление может быть направлено как в целях запрещения/ограничения передачи на территорию определенного иностранного государства, так и в отношении конкретного оператора ПДн, передающего данные.

        Процедура подачи и рассмотрения представления аналогична процедуре рассмотрения уведомлений операторов (за исключением требований к срокам рассмотрения или предоставления дополнительных сведений). Решение о запрещении или ограничении трансграничной передачи ПДн, принятое по представлению уполномоченных органов, направляется как в адрес самих органов, так и в адрес операторов, осуществляющих такую передачу данных. Решение также может подлежать пересмотру по факту устранения выявленных нарушений трансграничной передачи ПДн (по направлению повторного представления уполномоченным органом).

        Общественное обсуждение проектов завершилось 4 октября 2022 года. Положения постановлений вступят в силу после утверждения проектов с 1 марта 2023 года.

        Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн

        Официально опубликован приказ Роскомнадзора от 05.08.2022 №128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».

        Как обсуждалось в обзоре изменений законодательства за июль, в перечень вошли иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн (далее – Конвенция), а также иностранные государства, не являющиеся сторонами Конвенции, но действующие нормы права и применяемые меры обеспечения безопасности ПДн которых соответствуют положениям Конвенции.

        В обновленный перечень включены 11 иностранных государств, включая Республику Беларусь и Федеративную Республику Бразилия. С учетом внесенных изменений количество стран, обеспечивающих адекватную защиту прав субъектов ПДн, увеличилось до 29.

        Из перечня исключены:

        • Аргентинская Республика;
        • Королевство Марокко;
        • Тунисская Республика.

        Приказ вступает в силу с 1 марта 2023 года.

        Об отраслевом центре ГосСОПКА

        Опубликовано постановление Правительства РФ от 17.09.2022 №1641 «О признании утратившими силу некоторых актов Правительства Российской Федерации».

        Постановление отменяет иное постановление Правительства РФ от 07.10.2019 №1285 «Об утверждении Правил предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах» и ряд иных постановлений, ранее вводящих изменения в порядок предоставления таких субсидий.

        Отраслевой центр компетенций промбезопасности

        Правительством РФ опубликовано постановление от 17.09.2022 №1636 «Об утверждении Правил предоставления субсидии из федерального бюджета на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности».

        Субсидию на создание данного центра предоставляет Министерство промышленности и торговли Российской Федерации (далее ‑ Минпромторг). Деятельность создаваемого центра направлена на решение следующих задач:

        • обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы промышленных предприятий;
        • проведение мероприятий по оценке степени защищенности информационных ресурсов промышленных предприятий;
        • проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на информационные ресурсы промышленных предприятий;
        • сбор и анализ данных о состоянии информационной безопасности информационных ресурсов промышленных предприятий;
        • формирование и поддержание в актуальном состоянии информации об информационных ресурсах промышленных предприятий;
        • проведение мероприятий по повышению уровня образования в сфере информационной безопасности в отношение информационных ресурсов промышленных предприятий.

        Постановление утверждает порядок проведения конкурса среди российских организаций на создание такого центра, а также правила расчета размера субсидии, порядок ее предоставления и формирования отчетности о ее расходовании.

        Объявление о конкурсе должно появиться на сайте Минпромторга в течение 5 рабочих дней со дня принятия решения о проведении конкурсного отбора.

        Об использовании криптографии в ГИС

        Федеральная служба безопасности РФ (далее – ФСБ России) представила проект приказа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».

        Согласно проекту защиту информации, содержащейся в государственных информационных системах (далее – ГИС), необходимо осуществлять с использованием средств криптографической защиты информации (далее – СКЗИ) в следующих случаях:

        • если эта обязанность предусмотрена законодательством РФ;
        • в ГИС осуществляется передача данных по каналам связи, выходящим за пределы охраняемого периметра (контролируемой зоны);
        • необходимо обеспечить юридическую значимость и защиту от подделки электронных документов;
        • в ГИС осуществляется хранение данных на носителях, несанкционированный доступ к которым не может быть предотвращен без использования СКЗИ.

        Необходимость использования СКЗИ согласно проекту подлежит обоснованию в модели угроз, техническом проекте и техническом задании на создание (развитие) ГИС. При наличии такой необходимости требуется использование СКЗИ соответствующего класса, сертифицированных ФСБ России. Класс СКЗИ согласно проекту определяется в зависимости от уровня значимости защищаемой информации и возможностей актуальных нарушителей. В приложении к проекту приказа приведена сводная таблица для определения класса СКЗИ. Напомним, что ранее класс СКЗИ определялся исключительно для СКЗИ, применяемых в ИСПДн, на основании Методических рекомендаций по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности (утверждены руководством 8 Центра ФСБ России 31.03.2015 №149/7/2/6-423).

        Проект также содержит требования к использованию и хранению СКЗИ. Требования предъявляются к физической защите, организации хранения в помещениях и строгих процедур контроля физического доступа к СКЗИ.

        Положения проекта не распространяются на ГИС Администрации Президента, Совета безопасности, Федерального собрания и Правительства РФ, Конституционного и Верховного Судов РФ и ФСБ России, а также ГИС, содержащие сведения, составляющие государственную тайну.

        Общественное обсуждение приказа завершилось 7 октября.

        О платежной системе

        Для общественного обсуждения опубликован проект постановления Правительства РФ «О внесении изменения в Положение о защите информации в платежной системе».

        В связи с расширением перечня операторов платежной инфраструктуры в платежной системе, которые обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности (ст.27 Федерального закона от 27.06.2011 г. №161-ФЗ «О национальной платежной системе»), предлагается скорректировать область действия постановления Правительства РФ от 13.06.2012 №584 «Об утверждении Положения о защите информации в платежной системе», дополнив ее операторами услуг информационного обмена, поставщиками платежных приложений и операторами электронных платформ платежной инфраструктуры.

        Общественное обсуждение приказа завершится 11 октября.

        Результаты работы ТК 362

        В начале сентября опубликована справка-доклад о ходе работ по плану Технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2022 год по состоянию на 29.08.2022.

        В соответствии с приказом Росстандарта, с 1 сентября 2022 года отменен ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».

        Председателю ТК 362 представлены для рассмотрения и принятия решения об организации публичного обсуждения проекты следующих национальных стандартов:

        • ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (идентичный на основе ISO/IEC 15408-1:2022);
        • ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (идентичный на основе ISO/IEC 15408-2:2022);
        • ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения».

        Организовано публичное обсуждение проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по оценке безопасности разработки программного обеспечения». Публичное обсуждение было завершено 22 сентября.

        Организациям-членам ТК 362 отправлена на рассмотрение первая редакция проекта национального стандарта ГОСТ Р «Искусственный интеллект. Нейросетевые алгоритмы в защищенном исполнении. Автоматическое обучение нейросетевых моделей на малых выборках в задачах классификации». Рассмотрение планировалось завершить в до конца сентября.

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы