12.07.2021В Compliance Дайджесте собраны ключевые изменения требований регуляторов по информационной безопасности за июнь 2021 года. Уже по хорошей традиции мы разделили новости регуляторов на несколько блоков для вашего удобства: изменения в КоАП РФ, безопасность финансовых организаций, безопасность единой биометрической системы, безопасность объектов КИИ, безопасность электронной подписи, безопасность дистанционной работы и новости в области стандартизации.
Изменения в Кодексе об административных правонарушениях РФ
1. Официально опубликован Федеральный закон от 11 июня 2021 г. № 206-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», которыми предусматривается увеличение штрафов за разглашение информации с ограниченным доступом.
С 21 июня 2021 г. вступили в силу следующие изменения:
|
Содержание статьи |
Старый штраф |
Новый штраф |
|
Статья 13.14 Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных ч. 1 ст. 14.33 КоАП |
Для граждан: 500–1000 руб. Для должностных лиц: 4–5 тыс. руб. |
Для граждан: 5–10 тыс. руб. Для должностных лиц: 40–50 тыс. руб. Для юридических лиц: 100–200 тыс. руб. |
|
Статья 13.14.1 Получение информации любым незаконным способом, доступ к которой ограничен федеральным законом, за исключением случаев, предусмотренных ст. 5.53, ч. 1 и 2 ст. 13.11, ст. 14.29, ч. 5 ст. 15.19, ч. 2 ст. 17.13 КоАП, если эти действия не содержат признаков уголовно наказуемого деяния |
Вводится впервые |
Для граждан: 5–10 тыс. руб. Для должностных лиц: 40–50 тыс. руб. Для юридических лиц: 100–200 тыс. руб. |
2. В Госдуму внесен законопроект, предусматривающий внесение изменений в КоАП и введение штрафов за принуждение потребителей к предоставлению персональных данных. Ответственность по данному законопроекту наступает в случае, если запрашиваемые ПДн не связаны напрямую со сделкой, которую заключает потребитель, и не требуются по закону. Штраф для юрлица, нарушившего требования нового закона, в случае его принятия, составит 30–50 тыс. рублей.
Безопасность финансовых организаций
3. Официально опубликовано Положение Банка России от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Начало действия документа – 3 июля 2021 г. (за исключением отдельных положений).
Утвержденное Положение отменяет Положение Банка России от 17 апреля 2019 г. № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
Утвержденное Положение существенно расширяет перечень организаций, подпадающих под требования проведения оценки соответствия требованиям ГОСТ Р 57580, необходимости сертификации или оценки соответствия по требованиям ОУД прикладного ПО, необходимости информирования ФинЦЕРТа об инцидентах защиты информации среди некредитных финансовых организаций. Необходимость выполнения стандартного (2) уровня защиты ГОСТ Р 57580 расширена на следующие ФО, достигшие определенных условий:
- операторы инвестиционной платформы;
- операторы финансовой платформы;
- регистраторы финансовых транзакций;
- операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов;
- операторы обмена цифровых финансовых активов.
Необходимость выполнения минимального (3) уровня защиты ГОСТ Р 57580 расширена на следующие ФО, не достигшие определенных условий:
- брокеры, дилеры и управляющие;
- управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
- форекс-дилеры;
- операторы финансовой платформы;
- страховые организации;
- общества взаимного страхования;
- страховые брокеры;
- страховые агенты.
4. ЦБ РФ опубликовал проект указания о внесении изменений в Положение Банка России № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».
Проект Указания вносит изменения в Положение Банка России № 683-П в части:
- уточнения требований к сертификации прикладного ПО, связанных с изменениями в системе сертификации ФСТЭК России;
- уточнения требований, предъявляемых к целостности электронных сообщений, которыми обмениваются банки со своими клиентами;
- дополнения требованием по идентификации устройств клиентов при осуществлении банковских операций с использованием удаленного доступа;
- дополнения требованием по установлению ограничений по осуществлению операций клиентами;
- дополнения требованием по проверке банками электронной почты клиентов при направлении клиентам уведомлений;
- дополнения требованием по информированию об используемых банком сайтах в информационно-телекоммуникационной сети интернет, о принятых мерах и проведенных мероприятиях по реагированию на выявленный банком или ЦБ РФ инцидент защиты информации;
- дополнения требованием по предоставлению сведений по запросу ЦБ РФ при выявлении ЦБ РФ инцидентов защиты информации.
Проектом предполагается, что изменения вступят в силу с 1 апреля 2022 г.
5. ЦБ РФ опубликовал проект положения «О требованиях к обеспечению бюро кредитных историй защиты информации». Проект положения:
- расширяет на БКИ требования ГОСТ Р 57580.1-2017 и необходимость соблюдения требований стандартного (2) уровня защиты информации для квалифицированных БКИ и минимального уровня защиты информации для БКИ, не являющихся квалифицированными;
- регламентирует ежегодное тестирование на проникновение;
- устанавливает требования по сертификации или оценке соответствия по требованиям ОУД прикладного ПО БКИ;
- устанавливает необходимость информирования ФинЦЕРТа об инцидентах защиты информации;
- устанавливает необходимость защиты электронных сообщений и т. п.
6. Госдума поддержала во втором чтении проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» в части уточнения перечня информации, распространение которой запрещено.
Банк России сможет принимать решения, которые станут основанием для блокировки мошеннических и опасных сайтов, вводящих клиентов кредитных организаций или некредитных финансовых организаций в заблуждение относительно принадлежности информации в интернете, а также вследствие сходства доменных имен, оформления и содержания сайтов. ЦБ получит право блокировать определенный контент до решения суда, а также обращаться по такого рода делам в суд как заявителю по административным правонарушениям.
Безопасность единой биометрической системы
7. ЦБ РФ опубликовал проект указания об отмене перечня угроз биометрическим ПДн, утвержденного совместным Указанием ЦБ и Ростелекома № 4859-У/01/01/782-18.
Обзор угроз и требований приведен в таблице ниже:
|
пп. проекта |
Уровень реализации угрозы |
Последствия реализации угрозы |
Способ реализации угрозы |
Меры защиты 378 |
|
п. 1.1 |
При обработке БПДн на устройстве клиента – физического лица |
•Нарушения целостности (подмены, удаления) БПДн, |
Целенаправленные действия с использованием возможностей, указанных в п. 10 приложения к приказу ФСБ РФ № 378 |
Защита устройства клиента с использованием СКЗИ класса КС1 |
|
п. 1.2.1 |
При сборе БПДн в филиалах или внутренних структурных подразделениях организаций с использованием стационарных средств вычислительной техники и передаче собранных БПДн между филиалами или внутренними структурными подразделениями организаций |
•Нарушения целостности (подмены, удаления) БПДн, |
Целенаправленные действия с использованием возможностей, указанных в п. 11 (при использовании СЗИ от НСД, сертифицированных на 4 уровень доверия) или указанных в п. 12 приложения к приказу ФСБ РФ № 378 |
Защита каналов связи внутри организации: |
|
п. 1.2.2 |
При сборе БПДн работниками организаций с использованием мобильных (переносных) устройств вычислительной техники (планшетов) и передаче собранных БПДн между переносным средством вычислительной техники и структурными подразделениями организации |
•Нарушения целостности (подмены, удаления) БПДн, |
Целенаправленные действия с использованием возможностей, указанных в п. 10 (в случае применения программных средств (систем) защиты информации, реализующих доверенную загрузку, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации) или указанных в п. 11 (в противном случае) приложения к приказу ФСБ РФ № 378 |
Защита каналов связи внутри организации с использованием СКЗИ класса КС1 (в случае применения программных средств (систем) защиты информации, реализующих доверенную загрузку, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации) или с использованием СКЗИ класса КС2 (в противном случае) |
|
п. 1.2.3 |
При сборе БПДн организациями финансового рынка |
•Нарушения целостности (подмены, удаления) БПДн, |
Целенаправленные действия с использованием возможностей, указанных в п. 12 приложения к приказу ФСБ РФ № 378 |
Защита с использованием СКЗИ класса КС3 |
|
п. 1.3 |
При обработке, в том числе хранении, БПДн в информационных системах организаций |
•Нарушения целостности (подмены, удаления) БПДн и информации о степени соответствия, |
Целенаправленные действия с использованием возможностей, указанных в п. 13 приложения к приказу ФСБ РФ № 378 |
Защита с использованием СКЗИ класса КВ |
|
п. 2.1.1 |
При обработке информации о степени соответствия, включая персональные данные, в процессе идентификации и (или) аутентификации с использованием БПДн физических лиц |
•Нарушения целостности (подмены, удаления) информации о степени соответствия |
Целенаправленные действия с использованием возможностей, указанных в п. 13 приложения к приказу ФСБ РФ № 378 |
Защита с использованием СКЗИ класса КВ |
|
п. 2.1.2 |
При обработке информации о степени соответствия, включая персональные данные, в процессе идентификации и (или) аутентификации с использованием БПДн физических лиц |
•Нарушения конфиденциальности (компрометации) информации о степени соответствия |
Целенаправленные действия с использованием возможностей, указанных в п. 12 приложения к приказу ФСБ РФ № 378 |
Защита с использованием СКЗИ класса КС3 |
|
п. 3.1.1 |
При обработке информации о степени соответствия, включая персональные данные, в процессе аутентификации физического лица с использованием БПДн физических лиц |
•Нарушения целостности (подмены, удаления) информации о степени соответствия |
Целенаправленные действия с использованием возможностей, указанных в п. 12 приложения к приказу ФСБ РФ № 378 |
Защита с использованием СКЗИ класса КС3 |
|
п. 3.1.2 |
При обработке информации о степени соответствия, включая персональные данные, в процессе аутентификации физического лица с использованием БПДн физических лиц |
•Нарушения конфиденциальности (компрометации) информации о степени соответствия |
Целенаправленные действия с использованием возможностей, указанных в п. 11 приложения к приказу ФСБ РФ № 378 |
Защита с использованием СКЗИ класса КС2 |
9. Опубликован проект постановления Правительства Российской Федерации «О порядке осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями, нотариусами, указанными в ч. 18.2 ст. 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ, организационных и технических мер по обеспечению безопасности персональных данных и использованием средств защиты информации, указанных в ч. 18.3 ст. 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ», наделяющий ФСТЭК и ФСБ полномочиями по контролю за выполнением мер защиты информации при использовании ЕБС.
Безопасность объектов КИИ
10. ФСТЭК России опубликовала информационное сообщение от 18 июня 2021 г. № 240/82/1037 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий».
Субъектам КИИ в сфере здравоохранения предлагается предоставлять результаты категорирования объектов КИИ в территориальные управления ФСТЭК вместо Центрального аппарата (за исключением являющихся федеральными органами исполнительной власти, а также федеральными учреждениями здравоохранения, которые предоставляют данные по-прежнему в Центральный аппарат ФСТЭК).
Безопасность АСУ ТП
11. Официально опубликован Приказ ФСТЭК России от 15 марта 2021 г. № 46 «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31».
Изменения касаются применения сертифицированных средств защиты информации, соответствующих тому или иному уровню доверия, в зависимости от класса защищенности автоматизированных систем управления.
Безопасность дистанционной работы
12. ФСТЭК России опубликовала информационное сообщение от 23 июня 2021 г. № 240/24/3057 «Об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах».
Утвержденные требования предназначены для разработчиков программно-технических средств защиты информации, обеспечивающих безопасную дистанционную работу, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.
Требования включают минимально необходимые требования по безопасности информации, предъявляемые к составу средства дистанционной работы, конструкции защищенного носителя, среде функционирования средства дистанционной работы, уровню доверия средства дистанционной работы, средству доверенной загрузки средства дистанционной работы, операционной системе средства дистанционной работы, идентификации и аутентификации пользователей, идентификации и аутентификации средств вычислительной техники, управлению доступом в средстве дистанционной работы, администрированию и централизованному управлению средством дистанционной работы, контролю целостности средства дистанционной работы, регистрации и учету событий безопасности в средстве дистанционной работы.
Безопасность электронной подписи
13. Официально опубликовано постановление Правительства Российской Федерации от 29 июня 2021 г. № 1044 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере электронной подписи».
Новости в области стандартизации
14. Технический комитет ТК № 26 опубликовал проекты:
- Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Парольная защита ключевой информации».
15. Техническим комитетом ТК № 122 подготовлены и представлены для обсуждения первые редакции:
- ГОСТ Р «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».
- ГОСТ Р «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения».
16. На сайте Федерального агентства по техническому регулированию и метрологии размещена большая группа стандартов по ИБ, в числе которых:
- ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции».
- ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных».
- ГОСТ Р 59356-2021 «Системная инженерия. Защита информации в процессе сопровождения системы».
- ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. практические приемы».
- ГОСТ Р 59383-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом».
- ГОСТ Р 59494-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5-1. Структуры данных протоколов и мер обеспечения безопасности приложений. XML-схемы».
- ГОСТ Р 59503-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации».
- ГОСТ Р 59515-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение идентичности».
- ГОСТ Р 59516-2021 «Информационные технологии. Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности».
- ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».
- ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности».
- ГОСТ Р ИСО/МЭК 27003-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации».
- ГОСТ Р ИСО/МЭК 27004-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание».
- ГОСТ Р ИСО/МЭК 27017-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб».
- ГОСТ Р ИСО/МЭК 27019-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)».
- ГОСТ Р ИСО/МЭК 27021-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности».
- ГОСТ Р ИСО/МЭК 27033-2-2021 «Информационные технологии. Методы и средства обеспечения информационной безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей».
- ГОСТ Р ИСО/МЭК 27033-4-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 4. Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасности».
- ГОСТ Р ИСО/МЭК 27033-5-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 5. Обеспечение безопасности межсетевого взаимодействия с помощью виртуальных частных сетей (ВЧС)».
- ГОСТ Р ИСО/МЭК 27034-2-2021 «Информационные технологии. Методы и средства обеспечения информационной безопасности. Безопасность приложений. Часть 2. Нормативная структура организации».
- ГОСТ Р ИСО/МЭК 27034-3-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений».
- ГОСТ Р ИСО/МЭК 27034-6-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 6. Практические примеры».
- ГОСТ Р ИСО/МЭК 27036-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия».
