В Compliance Дайджесте собраны ключевые изменения требований регуляторов по информационной безопасности за май 2021 года. В этот раз мы разделили новости регуляторов на несколько блоков для вашего удобства: защита государственной тайны, безопасность государственных информационных систем, безопасность электронной подписи, безопасность объектов КИИ, безопасность персональных данных (в том числе биометрических) и безопасность дистанционной работы. 

В нашей подборке за май вы узнаете о новом порядке аттестации объектов информатизации на соответствие требованиям о защите информации, содержащей сведения, составляющие государственную тайну; требованиях к созданию, развитию и эксплуатации государственных информационных систем; приказах, постановлениях и проектах постановлений, связанных с регулированием электронной подписи. В Compliance Дайджесте опубликован список новых штрафов в области обеспечения безопасности КИИ, как для должностных, так и для юридических лиц, закрепленных в КоАП РФ. Об этом и о многом другом читайте в нашем дайджесте. 

Защита государственной тайны 

1.      ФСТЭК России опубликовала Информационное сообщение от 29 апреля 2021 г. № 240/24/2087 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации и особенностях его реализации».

Новый порядок аттестации объектов информатизации на соответствие требованиям о защите информации, содержащей сведения, составляющие государственную тайну, вступает в силу с 1 июня 2021 г., а также устанавливает, что:

1)       наличие аттестата аккредитации органа по аттестации для проведения указанных работ не требуется;

2)      органы по аттестации обязуются представлять материалы с результатами аттестационных испытаний каждого объекта информатизации в территориальные органы ФСТЭК России.

Новый порядок аттестации отменяет (более не применяются) следующие НПА:

-        Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.

-        Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 5 января 1996 г. № 3.

-        ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».

-        ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения». 

Безопасность государственных информационных систем 

2.    Официально опубликовано постановление Правительства Российской Федерации от 31.05.2021 № 837 «О внесении изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». Увеличены сроки согласования технических заданий на создание государственных информационных систем и моделей угроз безопасности информации с 10 до 20 рабочих дней. 

Безопасность электронной подписи 

3.    Официально опубликованы следующие приказы ФСБ России в области регулирования электронной подписи:

-        от 13.04.2021 № 142 «О внесении изменения в приказ ФСБ России от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».

-        от 13.04.2021 № 143 «О внесении изменения в пункт 2 приказа ФСБ России от 4 декабря 2020 г. № 554 «Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи».

-        от 13.04.2021 № 144 «О внесении изменения в пункт 2 приказа ФСБ России от 4 декабря 2020 г. № 556 «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи».

-        от 20.04.2021 № 154 «Об утверждении Правил подтверждения владения ключом электронной подписи».

-        от 01.05.2021 № 171 «Об утверждении организационно-технических требований в области информационной безопасности к доверенным лицам удостоверяющего центра федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц». 

4.    Законопроект об отзыве доверенности, совершенной в простой письменной форме электронного документа, подписанного усиленной квалифицированной электронной подписью, принят Государственной Думой в первом чтении. 

5.    Минцифры России подготовило и представило для общественного обсуждения проект постановления Правительства Российской Федерации «Об утверждении Положения о государственном контроле (надзоре) в сфере электронной подписи». 

Безопасность критической информационной инфраструктуры 

6.    Официально опубликован Федеральный закон от 26.05.2021 № 141-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» в части определения следующих административных наказаний (штрафов) в области обеспечения безопасности КИИ:

 

Статья

Состав

Наказание для должностных лиц

Наказание для юридических лиц

Ведомство, рассматривающее правонарушение

Примечание

Ст. 13.12.1, п. 1

Нарушение требований к созданию систем ЗОКИИ и обеспечению их функционирования либо требований по обеспечению безопасности ЗОКИИ

10–50 тыс. руб.

50–100 тыс. руб.

ФСТЭК России

Только для ЗОКИИ, после внесения в Реестр ЗОКИИ.

Применяется за невыполнение приказов ФСТЭК России от 21.12.2017 № 235 и от 25.12.2017 № 239. Применяется с 01.09.2021

Ст. 13.12.1, п. 2

Нарушение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении ЗОКИИ

10–50 тыс. руб.

100–500 тыс. руб.

ФСБ России

Только для ЗОКИИ, после внесения в Реестр ЗОКИИ.

Применяется за невыполнение приказа ФСБ России от 19.06.2019 № 282.

Уже вступило в силу.

Ст. 13.12.1, п. З

Нарушение порядка обмена информацией о компьютерных инцидентах между субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международными неправительственными и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты

20–50 тыс. руб.

100–500 тыс. руб.

ФСБ России

Для всех ОКИИ, включая незначимые ОКИИ.

Применяется за невыполнение приказа ФСБ России от 24.07.2018 № 368.

Уже вступило в силу.

Ст. 19.7.15, п. 1

Непредставление или нарушение сроков представления в ФСТЭК сведений о результатах присвоения объекту КИИ одной из категорий значимости, предусмотренных законодательством в области обеспечения безопасности КИИ, либо об отсутствии необходимости присвоения ему одной из таких категорий

10–50 тыс. руб.

50–100 тыс. руб.

ФСТЭК России

Для всех ОКИИ, включая незначимые ОКИИ.

Применяется за невыполнение требований ст. 7 187-ФЗ и постановления Правительства РФ от 08.02.2018 № 127.

Уже вступило в силу.

Ст. 19.7.15, п. 2

Непредставление или нарушение порядка либо сроков представления в ГосСОПКА информации, предусмотренной законодательством в области обеспечения безопасности КИИ, за исключением случаев, предусмотренных частью 2 статьи 13.12.1 КоАП

10–50 тыс. руб.

100–500 тыс. руб.

ФСБ России

Для незначимых объектов КИИ (а также значимых ОКИИ до внесения в Реестр ФСТЭК).

Применяется за нарушение требований приказа ФСБ России от 24.07. 2018 № 367.

Уже вступило в силу.

Срок давности привлечения к ответственности по нововведенным составам – один год. 

Безопасность персональных данных 

7.    Официально опубликован приказ Минцифры России от 21.12.2020 № 734 «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации». 

8.    Минцифры России подготовило и представило для общественного обсуждения проект постановления Правительства Российской Федерации «Об утверждении Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных»

9.    Минцифры России представило для общественного обсуждения проект ведомственного приказа «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе ‎и в иных информационных системах, обеспечивающих идентификацию ‎и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации», фактически заменяющего приказ Минцифры России от 25 июня 2018 г. № 321. 

Безопасность дистанционной работы 

10. Приказом ФСТЭК России № 32 от 16 февраля 2021 г. утверждены «Требования по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных системах». Документ официально не опубликован.