Дайджест изменений в российское законодательство по ИБ №17

Дата: 22.12.2021. Автор: Алексей Лукацкий. Категории: Блоги экспертов по информационной безопасности
Дайджест изменений в российское законодательство по ИБ №17
  1. Свежая версия законопроекта о Национальной системе управления данными (НСУД), который представляет из себя большой пакет правок в ФЗ-149 “Об информации, информационных технологиях и защите информации”, в случае своего принятия повлечет за собой достаточно много изменений в основополагающем законе в области работы с информацией. Среди предлагаемых правок:
    • Новые определения терминов “информация”, “обладатель информации”, “документированная информация” и т.п.. 
    • Введение нового типа информационных систем — ИС публичного сектора, которая объединяет ГИС/МИС, внутриведомственные ИС, что потребует изменения большого числа нормативных актов, как минимум, ФСТЭК, которая у нас все свои основные требования пишет именно под ГИС. В случае принятия нового ФЗ, видимо, ФСТЭКу придется переписывать свои нормативные акты.
    • Введение новых терминов — “государственные данные”, “муниципальные данные”.
    • В контексте НСУД новый законопроект вводит понятия общедоступные данные, открытые данные, персональные данные (да-да, определение отличается от ФЗ-152), данные конфиденциального характера и данные, составляющие тайну. Эти определения, конечно, подпортят сильно жизнь всем юристам.
    • Вводятся различные категории доступа к данным НСУД — свободный, ограниченный, дискреционный, мандатный.
  2. Вслед за ФСБ и МинОбороны еще и Росгвардия подготовила проект приказа «Об утверждении Перечня сведений Федеральной службы войск национальной гвардии Российской Федерации, подлежащих отнесению к служебной тайне в области обороны», который продолжает практику “засекречивания” информации, обрабатываемой в правоохранительных и силовых структурах.

  3. ФСБ подготовила проект приказа «Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности». Среди прочего проект приказа включает перечни вопросов, подтверждающих выполнение требований при осуществлении деятельности по:

    • разработке, производству, распространению СКЗИ;

    • разработке и производству средств защиты конфиденциальной информации.
  4. РКН своим письмом от 19.11.2021 N 09-78548 «О неактуальности разъяснений Роскомнадзора» сообщает о неактуальности разъяснений от 02.09.2013 «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», в разработке которых мне довелось принимать участие. Причин такого решения не приведено, но так как сам закон “О персональных данных” с тех пор не менялся и причин менять свое мнение у РКН нет, то предположу, что речь может идти о том, что государство окончательно решило прибрать к рукам тему биометрии и любые неустраивающие его разъяснения должны быть отменены.

  5. ФСТЭК опубликовала план разработки нормативных правовых актов на 2022-й год. В том числе планируется разработать:

    • изменения в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации;

    • изменения в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации;
    • изменения в Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации
    • изменения в Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации;
    • изменения  в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17;
    • приказ «Об утверждении формы оценочного листа, в соответствии с которым проводится оценка соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации»;
    • приказ «Об утверждении формы оценочного листа, в соответствии с которым проводится оценка соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации».
  6. Банк России опубликовал проект Положения “Об установлении обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, требований к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами», который, в-основном, устанавливает требования по защите информации для бюро кредитных историй. Для иных профессиональных участников финансового рынка, на которых уже и так распространяются требования 757-П, какие-либо требования практически отсутствуют. При этом Банк России уже выпускал проект требований по защите информации для бюро кредитных историй. Его судьба не ясна.

  7. Банк России опубликовал проект “Основных направлений цифровизации финансового рынка на период 2022-2024 годов”, в котором среди прочего определены и то, чем Банк России будет заниматься в области информационной безопасности в ближайшие 3 года. Всего выделено 6 направлений развития:

    • Обеспечение возможности использования сервиса облачной УКЭП участниками финансового рынка

    • Обеспечение всех поднадзорных организаций УКЭП
    • Формирование среды доверия при удаленном предоставлении финансовых услуг и сервисов
    • Снижение уровня потерь по операциям, совершаемым с использованием дистанционных каналов обслуживания, включая социальную инженерию
    • Внедрение института киберучений как основного механизма стресс-тестирования при осуществлении надзора в части оценки киберрисков
    • Развитие информационного обмена ФинЦЕРТ с участниками кредитно-финансовой сферы в части противодействия компьютерным атакам

Заметка Дайджест изменений в российское законодательство по ИБ №17 была впервые опубликована на Бизнес без опасности.

Об авторе Алексей Лукацкий

Алексей Викторович Лукацкий – бизнес-консультант по безопасности, Cisco Systems. Все, что написано в этом блоге, отражает только личную точку зрения автора и не имеет никакого отношения к точке зрения его работодателя или иной организации, с которой автора связывают официальные отношения (если это не выделено особо).
Читать все записи автора Алексей Лукацкий

Добавить комментарий

Ваш адрес email не будет опубликован.