В Compliance Дайджесте собраны ключевые изменения требований регуляторов по информационной безопасности за июнь 2021 года. Уже по хорошей традиции мы разделили новости регуляторов на несколько блоков для вашего удобства: изменения в КоАП РФ, безопасность финансовых организаций, безопасность единой биометрической системы, безопасность объектов КИИ, безопасность электронной подписи, безопасность дистанционной работы и новости в области стандартизации.

Изменения в Кодексе об административных правонарушениях РФ


1. Официально опубликован Федеральный закон от 11 июня 2021 г. № 206-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», которыми предусматривается увеличение штрафов за разглашение информации с ограниченным доступом. 

С 21 июня 2021 г. вступили в силу следующие изменения: 

Содержание статьи

Старый штраф

Новый штраф

Статья 13.14

Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей, за исключением случаев, предусмотренных ч. 1 ст. 14.33 КоАП

Для граждан:

500–1000 руб.

Для должностных лиц:

4–5 тыс. руб.

Для граждан:

5–10 тыс. руб.

Для должностных лиц:

40–50 тыс. руб.

Для юридических лиц:

100–200 тыс. руб.

Статья 13.14.1

Получение информации любым незаконным способом, доступ к которой ограничен федеральным законом, за исключением случаев, предусмотренных ст. 5.53, ч. 1 и 2 ст. 13.11, ст. 14.29, ч. 5 ст. 15.19, ч. 2 ст. 17.13 КоАП, если эти действия не содержат признаков уголовно наказуемого деяния

Вводится впервые

Для граждан:

5–10 тыс. руб.

Для должностных лиц:

40–50 тыс. руб.

Для юридических лиц:

100–200 тыс. руб.


2. В Госдуму внесен законопроект, предусматривающий внесение изменений в КоАП и введение штрафов за принуждение потребителей к предоставлению персональных данных. Ответственность по данному законопроекту наступает в случае, если запрашиваемые ПДн не связаны напрямую со сделкой, которую заключает потребитель, и не требуются по закону. Штраф для юрлица, нарушившего требования нового закона, в случае его принятия, составит 30–50 тыс. рублей.

Безопасность финансовых организаций

3. Официально опубликовано Положение Банка России от 20 апреля 2021 г. № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

Начало действия документа – 3 июля 2021 г. (за исключением отдельных положений). 

Утвержденное Положение отменяет Положение Банка России от 17 апреля 2019 г. № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций». 

Утвержденное Положение существенно расширяет перечень организаций, подпадающих под требования проведения оценки соответствия требованиям ГОСТ Р 57580, необходимости сертификации или оценки соответствия по требованиям ОУД прикладного ПО, необходимости информирования ФинЦЕРТа об инцидентах защиты информации среди некредитных финансовых организаций. Необходимость выполнения стандартного (2) уровня защиты ГОСТ Р 57580 расширена на следующие ФО, достигшие определенных условий:

-        операторы инвестиционной платформы;

-        операторы финансовой платформы;

-        регистраторы финансовых транзакций;

-        операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов;

-        операторы обмена цифровых финансовых активов.

Необходимость выполнения минимального (3) уровня защиты ГОСТ Р 57580 расширена на следующие ФО, не достигшие определенных условий:

-        брокеры, дилеры и управляющие;

-        управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;

-        форекс-дилеры;

-        операторы финансовой платформы;

-        страховые организации;

-        общества взаимного страхования;

-        страховые брокеры;

-        страховые агенты.

4. ЦБ РФ опубликовал проект указания о внесении изменений в Положение Банка России № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».

Проект Указания вносит изменения в Положение Банка России № 683-П в части:

-        уточнения требований к сертификации прикладного ПО, связанных с изменениями в системе сертификации ФСТЭК России;

-        уточнения требований, предъявляемых к целостности электронных сообщений, которыми обмениваются банки со своими клиентами;

-        дополнения требованием по идентификации устройств клиентов при осуществлении банковских операций с использованием удаленного доступа;

-        дополнения требованием по установлению ограничений по осуществлению операций клиентами;

-        дополнения требованием по проверке банками электронной почты клиентов при направлении клиентам уведомлений;

-        дополнения требованием по информированию об используемых банком сайтах в информационно-телекоммуникационной сети интернет, о принятых мерах и проведенных мероприятиях по реагированию на выявленный банком или ЦБ РФ инцидент защиты информации;

-        дополнения требованием по предоставлению сведений по запросу ЦБ РФ при выявлении ЦБ РФ инцидентов защиты информации.

Проектом предполагается, что изменения вступят в силу с 1 апреля 2022 г.

5. ЦБ РФ опубликовал проект положения «О требованиях к обеспечению бюро кредитных историй защиты информации». Проект положения:

-        расширяет на БКИ требования ГОСТ Р 57580.1-2017 и необходимость соблюдения требований стандартного (2) уровня защиты информации для квалифицированных БКИ и минимального уровня защиты информации для БКИ, не являющихся квалифицированными;

-        регламентирует ежегодное тестирование на проникновение;

-        устанавливает требования по сертификации или оценке соответствия по требованиям ОУД прикладного ПО БКИ;

-        устанавливает необходимость информирования ФинЦЕРТа об инцидентах защиты информации;

-        устанавливает необходимость защиты электронных сообщений и т. п.

6. Госдума поддержала во втором чтении проект федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» в части уточнения перечня информации, распространение которой запрещено. 

Банк России сможет принимать решения, которые станут основанием для блокировки мошеннических и опасных сайтов, вводящих клиентов кредитных организаций или некредитных финансовых организаций в заблуждение относительно принадлежности информации в интернете, а также вследствие сходства доменных имен, оформления и содержания сайтов. ЦБ получит право блокировать определенный контент до решения суда, а также обращаться по такого рода делам в суд как заявителю по административным правонарушениям. 

Безопасность единой биометрической системы 

7. ЦБ РФ опубликовал проект указания об отмене перечня угроз биометрическим ПДн, утвержденного совместным Указанием ЦБ и Ростелекома № 4859-У/01/01/782-18. 

8. Минцифры опубликовало проект приказа взамен отменяемого Указанием ЦБ и Ростелекома №4859-У/01/01/782-18 «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». 

Обзор угроз и требований приведен в таблице ниже: 

пп. проекта

Уровень реализации угрозы

Последствия реализации угрозы

Способ реализации угрозы

Меры защиты 378

п. 1.1

При обработке БПДн на устройстве клиента – физического лица

•Нарушения целостности (подмены, удаления) БПДн,
•Нарушения конфиденциальности (компрометации) БПДн

Целенаправленные действия с использованием возможностей, указанных в п. 10 приложения к приказу ФСБ РФ № 378

Защита устройства клиента с использованием СКЗИ класса КС1

п. 1.2.1

При сборе БПДн в филиалах или внутренних структурных подразделениях организаций с использованием стационарных средств вычислительной техники и передаче собранных БПДн между филиалами или внутренними структурными подразделениями организаций

•Нарушения целостности (подмены, удаления) БПДн,
•Нарушения достоверности БПДн (внесения фиктивных БПДн)
•Нарушения конфиденциальности (компрометации) БПДн

Целенаправленные действия с использованием возможностей, указанных в п. 11 (при использовании СЗИ от НСД, сертифицированных на 4 уровень доверия) или указанных в п. 12 приложения к приказу ФСБ РФ № 378

Защита каналов связи внутри организации:
с использованием СКЗИ класса КС2 (в случае применения средств (систем) защиты информации от НСД) или с использованием СКЗИ класса КС3 (в противном случае)

п. 1.2.2

При сборе БПДн работниками организаций с использованием мобильных (переносных) устройств вычислительной техники (планшетов) и передаче собранных БПДн между переносным средством вычислительной техники и структурными подразделениями организации

•Нарушения целостности (подмены, удаления) БПДн,
•Нарушения конфиденциальности (компрометации) БПДн,
•Нарушения достоверности БПДн (внесения фиктивных БПДн)

Целенаправленные действия с использованием возможностей, указанных в п. 10 (в случае применения программных средств (систем) защиты информации, реализующих доверенную загрузку, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации) или указанных в п. 11 (в противном случае) приложения к приказу ФСБ РФ № 378

Защита каналов связи внутри организации с использованием СКЗИ класса КС1 (в случае применения программных средств (систем) защиты информации, реализующих доверенную загрузку, прошедших оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации) или с использованием СКЗИ класса КС2 (в противном случае)

п. 1.2.3

При сборе БПДн организациями финансового рынка

•Нарушения целостности (подмены, удаления) БПДн,
•Нарушения конфиденциальности (компрометации) БПДн,
•Нарушения достоверности БПДн (внесения фиктивных БПДн) при их передаче между организациями финансового рынка и единой биометрической системой

Целенаправленные действия с использованием возможностей, указанных в п. 12 приложения к приказу ФСБ РФ № 378

Защита с использованием СКЗИ класса КС3

п. 1.3

При обработке, в том числе хранении, БПДн в информационных системах организаций

•Нарушения целостности (подмены, удаления) БПДн и информации о степени соответствия,
•Нарушения конфиденциальности (компрометации) БПДн

Целенаправленные действия с использованием возможностей, указанных в п. 13 приложения к приказу ФСБ РФ № 378

Защита с использованием СКЗИ класса КВ

п. 2.1.1

При обработке информации о степени соответствия, включая персональные данные, в процессе идентификации и (или) аутентификации с использованием БПДн физических лиц

•Нарушения целостности (подмены, удаления) информации о степени соответствия

Целенаправленные действия с использованием возможностей, указанных в п. 13 приложения к приказу ФСБ РФ № 378

Защита с использованием СКЗИ класса КВ

п. 2.1.2

При обработке информации о степени соответствия, включая персональные данные, в процессе идентификации и (или) аутентификации с использованием БПДн физических лиц

•Нарушения конфиденциальности (компрометации) информации о степени соответствия

Целенаправленные действия с использованием возможностей, указанных в п. 12 приложения к приказу ФСБ РФ № 378

Защита с использованием СКЗИ класса КС3

п. 3.1.1

При обработке информации о степени соответствия, включая персональные данные, в процессе аутентификации физического лица с использованием БПДн физических лиц

•Нарушения целостности (подмены, удаления) информации о степени соответствия

Целенаправленные действия с использованием возможностей, указанных в п. 12 приложения к приказу ФСБ РФ № 378

Защита с использованием СКЗИ класса КС3

п. 3.1.2

При обработке информации о степени соответствия, включая персональные данные, в процессе аутентификации физического лица с использованием БПДн физических лиц

•Нарушения конфиденциальности (компрометации) информации о степени соответствия

Целенаправленные действия с использованием возможностей, указанных в п. 11 приложения к приказу ФСБ РФ № 378

Защита с использованием СКЗИ класса КС2

9. Опубликован проект постановления Правительства Российской Федерации «О порядке осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями, нотариусами, указанными в ч. 18.2 ст. 14.1 Федерального закона ‎от 27 июля 2006 г. № 149-ФЗ, организационных и технических мер по обеспечению безопасности персональных данных и использованием средств защиты информации, указанных в ч. 18.3 ст. 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ», наделяющий ФСТЭК и ФСБ полномочиями по контролю за выполнением мер защиты информации при использовании ЕБС.

Безопасность объектов КИИ 

10. ФСТЭК России опубликовала информационное сообщение от 18 июня 2021 г. № 240/82/1037 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий». 

Субъектам КИИ в сфере здравоохранения предлагается предоставлять результаты категорирования объектов КИИ в территориальные управления ФСТЭК вместо Центрального аппарата (за исключением являющихся федеральными органами исполнительной власти, а также федеральными учреждениями здравоохранения, которые предоставляют данные по-прежнему в Центральный аппарат ФСТЭК). 

Безопасность АСУ ТП 

11. Официально опубликован Приказ ФСТЭК России от 15 марта 2021 г. № 46 «О внесении изменений в Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. № 31». 

Изменения касаются применения сертифицированных средств защиты информации, соответствующих тому или иному уровню доверия, в зависимости от класса защищенности автоматизированных систем управления. 

Безопасность дистанционной работы 

12. ФСТЭК России опубликовала информационное сообщение от 23 июня 2021 г. № 240/24/3057 «Об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах». 

Утвержденные требования предназначены для разработчиков программно-технических средств защиты информации, обеспечивающих безопасную дистанционную работу, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации. 

Требования включают минимально необходимые требования по безопасности информации, предъявляемые к составу средства дистанционной работы, конструкции защищенного носителя, среде функционирования средства дистанционной работы, уровню доверия средства дистанционной работы, средству доверенной загрузки средства дистанционной работы, операционной системе средства дистанционной работы, идентификации и аутентификации пользователей, идентификации и аутентификации средств вычислительной техники, управлению доступом в средстве дистанционной работы, администрированию и централизованному управлению средством дистанционной работы, контролю целостности средства дистанционной работы, регистрации и учету событий безопасности в средстве дистанционной работы.

Безопасность электронной подписи 

13. Официально опубликовано постановление Правительства Российской Федерации от 29 июня 2021 г. № 1044 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере электронной подписи».

Новости в области стандартизации 

14. Технический комитет ТК № 26 опубликовал проекты:

-       Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Парольная защита ключевой информации».

-        Рекомендации по стандартизации «Информационная технология. Криптографическая защита информации. Транспортный ключевой контейнер».

15. Техническим комитетом ТК № 122 подготовлены и представлены для обсуждения первые редакции:

-        ГОСТ Р «Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер».

-        ГОСТ Р «Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения».

16. На сайте Федерального агентства по техническому регулированию и метрологии размещена большая группа стандартов по ИБ, в числе которых:

-        ГОСТ Р 59381-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 1. Терминология и концепции».

-        ГОСТ Р 59407-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Базовая архитектура защиты персональных данных».

-        ГОСТ Р 59356-2021 «Системная инженерия. Защита информации в процессе сопровождения системы».

-        ГОСТ Р 59382-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления идентичностью. Часть 3. практические приемы».

-        ГОСТ Р 59383-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы управления доступом».

-        ГОСТ Р 59494-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 5-1. Структуры данных протоколов и мер обеспечения безопасности приложений. XML-схемы».

-        ГОСТ Р 59503-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации».

-        ГОСТ Р 59515-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение идентичности».

-        ГОСТ Р 59516-2021 «Информационные технологии. Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности».

-        ГОСТ Р ИСО/МЭК 27000-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология».

-        ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности».

-        ГОСТ Р ИСО/МЭК 27003-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации».

-        ГОСТ Р ИСО/МЭК 27004-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Мониторинг, оценка защищенности, анализ и оценивание».

-        ГОСТ Р ИСО/МЭК 27017-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб».

-        ГОСТ Р ИСО/МЭК 27019-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Меры обеспечения информационной безопасности в энергетике (неатомной)».

-        ГОСТ Р ИСО/МЭК 27021-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к компетентности специалистов по системам менеджмента информационной безопасности».

-        ГОСТ Р ИСО/МЭК 27033-2-2021 «Информационные технологии. Методы и средства обеспечения информационной безопасности. Безопасность сетей. Часть 2. Рекомендации по проектированию и реализации безопасности сетей».

-        ГОСТ Р ИСО/МЭК 27033-4-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 4. Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасности».

-        ГОСТ Р ИСО/МЭК 27033-5-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 5. Обеспечение безопасности межсетевого взаимодействия с помощью виртуальных частных сетей (ВЧС)».

-        ГОСТ Р ИСО/МЭК 27034-2-2021 «Информационные технологии. Методы и средства обеспечения информационной безопасности. Безопасность приложений. Часть 2. Нормативная структура организации».

-        ГОСТ Р ИСО/МЭК 27034-3-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 3. Процесс менеджмента безопасности приложений».

-        ГОСТ Р ИСО/МЭК 27034-6-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Безопасность приложений. Часть 6. Практические примеры».

-        ГОСТ Р ИСО/МЭК 27036-1-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками. Часть 1. Обзор и основные понятия».