Бесплатно Экспресс-аудит сайта:

19.04.2021

Изменения в регуляторных актах в сфере ИБ за 2020-2021 гг.

Анна Михайлова, менеджер по развитию бизнеса группы компаний Angara

Несмотря на карантин, 2020 год был удивительно плодовитым с точки зрения развития нормативной базы для информационной безопасности. Часть доработок была ожидаемым обновлением или логическим дополнением опубликованных ранее документов, часть – оперативной реакцией на резко изменившийся ландшафт угроз в связи с вынужденным переходом многих предприятий на удаленную работу.

«Прошедший год действительно оказался богатым в части нормотворческой деятельности по информационной безопасности. Здесь и изменения в части обработки и защиты ПДн, обеспечения безопасности критической информационной инфраструктуры, в вопросах сертификации средств защиты информации и т.д. Отдельно стоит отметить банковский сектор, где продолжается активное изменение нормативной базы, что в очередной раз подтверждает усиление ИБ-надзора со стороны ЦБ. Начало текущего года также не прошло незаметно, и мы получили от регулятора новую методику оценки угроз безопасности информации. Документ получился полностью переработанным и требует от ИБ-специалистов существенного переосмысления ранее применяемых подходов в части определения актуальных угроз информационной безопасности, – комментирует Александр Хонин, руководитель отдела консалтинга и аудита группы компаний Angara. – Все перечисленное еще раз подтверждает возрастающую важность вопросов информационной безопасности в нашем обществе и пристальное внимание наших законодателей и регуляторов к данной теме».

Консультанты группы компаний Angara подготовили перечень вышедших в 2020 – 2021 гг. ключевых руководящих документов с краткими комментариями к каждому документу. Для быстрой навигации документы выделены по принадлежности к типу информационной системы или защищаемых данных.

Итак, нормативные документы в сфере информационной безопасности за 2021 г.:

1. ГОСТ Р 59215-2020 Информационные технологии. Методы и средства обеспечения безопасности. Информационная безопасность во взаимоотношениях с поставщиками.

Документ затрагивает вопросы и рекомендации по обеспечению безопасности цепи поставок информационных и коммуникационных технологий.

Вступил в силу 06.01.2021

2. Методика оценки угроз безопасности информации ФСТЭК России.

Долгожданная методика оценки угроз ИБ с учетом использования облачных инфраструктур. Методика применяется для: систем и сетей, отнесенных к государственным и муниципальным информационным системам, информационных систем персональных данных, значимых объектов критической информационной инфраструктуры Российской Федерации, информационных систем управления производством, используемым организациями оборонно-промышленного комплекса, автоматизированных систем управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

Документ утвержден 5 февраля 2021 года.

Документы от 2020 года:

Обеспечение устойчивости безопасности и целостности сети Интернет:

3. Постановление Правительства Российской Федерации от 12.02.2020 № 126 «Об установке, эксплуатации и о модернизации в сети связи оператора связи технических средств противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования».

4. Постановление Правительства Российской Федерации от 12.02.2020 № 127 «Об утверждении Правил централизованного управления сетью связи общего пользования».

Документы содержат:

Правила централизованного управления информационно-телекоммуникационной сетью «Интернет», включая:

  • виды угроз и регламент определения угроз,
  • требования к организационно-техническому взаимодействию,
  • способы определения технических возможностей исполнения указаний,
  • условия и случаи исключения из правил,
  • порядок рассмотрения претензий,
  • цепочку ответственных.

Кого затрагивает: операторов связи.
Вступает в силу: с даты публикации.

5. Приказ Минцифры РФ от 28.12.2020 № 777 «Об утверждении Рекомендаций по проведению сертификации оборудования связи, используемого в составе сети связи общего пользования, обеспечивающей функционирование значимых объектов критической информационной инфраструктуры».

6. Приказ Минцифры РФ от 28.12.2020 № 779 «Об утверждении организационно-технических мер по обеспечению информационной безопасности ресурсов сети связи общего пользования, используемых значимыми объектами критической информационной инфраструктуры».

7. Приказ Минцифры РФ от 28.12.2020 № 780 «Об определении угроз устойчивости, безопасности и целостности функционирования на территории Российской Федерации сети Интернет и сети связи общего пользования».

Документы утверждают: требования к обеспечению устойчивости безопасности и целостности сети Интернет на территории Российской Федерации и контрольный орган за исполнением указанных требований.

Вступают в силу: с даты публикации.

КИИ:

8. Приказ ФСТЭК России от 20.02.2020 № 35 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».

Документ включает:

Уточнение понятия модернизации, изменения о компенсирующих мерах,
требования к не встроенным в общесистемное и прикладное программное обеспечение средствам защиты информации (СЗИ), приемке СЗИ, испытаниям по выявлению уязвимостей в ПО, процедурам исправления обнаруженных ошибок, удаленному доступу к программным и программно-аппаратным средствам, в том числе средствам защиты информации, в значимом объекте.

Кого затрагивает: объекты критической информационной инфраструктуры Российской Федерации.

Вступают в силу: частично с даты публикации, частично с 1 января 2023 г.

9. Рекомендации по обеспечению безопасности объектов критической информационной инфраструктуры (КИИ) при реализации дистанционного режима исполнения должностных обязанностей работниками субъектов критической информационной инфраструктуры (от 20.03.2020).

Документ содержит:

Рекомендации по реализации дистанционной работы с объектами КИИ.

Кого затрагивает: объекты критической информационной инфраструктуры Российской Федерации.

Вступил в силу: с даты публикации.

10. Приказ ФСТЭК России от 28.05.2020 № 75 «Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования».

Документ содержит:

Процедуру согласования подключения КИИ в сети общего пользования, включая перечень необходимым сведений, подаваемых во ФСТЭК России, и порядок взаимодействия.

Кого затрагивает: объекты критической информационной инфраструктуры Российской Федерации.

Вступают в силу: с даты публикации.

Банковская сфера и кредитно-финансовые организации:

11. Положение Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе».

Документ содержит требования к системе управления операционным риском в кредитной организации и банковской группе, включая:

  • состав системы управления операционными рисками,

  • виды и операционных рисков и классификатор событий,

  • процедуры идентификации (анализ базы событий и др.), сбора и регистрации информации, определение потерь и возмещений потерь, количественные и качественные оценки уровня операционного риска,

  • выбор и применение способа реагирования.

Напомним, риск информационной безопасности (включая киберриск), наряду с правовым риском и риском информационных систем являются частью операционного риска. Понятия риска информационной безопасности, киберриска и риска информационных систем, используемые в настоящих документах, применяются в значениях, установленных пунктами 1.4 и 7.2 Положения Банка России от 8 апреля 2020 года № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе», зарегистрированного Министерством юстиции Российской Федерации 3 июня 2020 года № 58577 (далее – «Положение Банка России № 716-П»).

Кого затрагивает: кредитные организации и организации банковской группы.

Вступил в силу: с 1 октября 2020 г.

12. Положение Банка России от 04.06.2020 № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

Данное положение, по сути, замещает 382-П и включает структурированные требования по защите информации при осуществлении переводов денежных средств. Требования упорядочены по конкретным субъектам платежных систем: операторы по переводу денежных средств, банковские платежные агенты и субагенты (БПА), операторы услуг информационного обмена (ОУИО), системно значимые операторы по переводу денежных средств (ОПДС), поставщики платежных приложений, операторы платежных систем, операторы услуг платежной инфраструктуры (ОУПИ).

Кого затрагивает: операторы по переводу денежных средств, БПА, ОУИО, ОПДС, поставщики платежных приложений, операторы платежных систем, ОУИП.

Вступает в силу: с 1 января 2022 г.

13. Положение Банка России от 23.12.2020 № 747-П «О требованиях к защите информации в платежной системе Банка России».

Документ замещает Положение Банка России от 9 января 2019 года № 672-П «О требованиях к защите информации в платежной системе Банка России» и устанавливает требования к защите информации в платежной системе Банка России, которые должны выполнять кредитные организации, имеющие доступ к услугам по переводу денежных средств с использованием распоряжений о переводе денежных средств в электронном виде (согласно 732-П).

Кого затрагивает: кредитные организации (с их филиалами), операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (далее – «ОПКЦ»), оператор услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее – «ОУИО СБП»).

Вступает в силу: основное положение – в декабре 2020 г. Отдельные пункты: с 1 июля 2021 года, с 1 января 2022 года, с 1 июля 2022 года, с 1 января 2023 года.

ГОСТ:

14. ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения».

Стандарт относится к средствам идентификации и аутентификации, в том числе биометрическим методам и алгоритмам.

Стандарт устанавливает единообразную организацию процессов идентификации и аутентификации в средствах защиты информации, в том числе реализующих криптографическую защиту, средствах вычислительной техники и автоматизированных (информационных) системах, а также определяет общие правила применения методов идентификации и аутентификации, обеспечивающих необходимую уверенность в результатах. Стандарт определяет состав участников и основное содержание процессов идентификации и аутентификации, рекомендуемое к реализации при разработке, внедрении и совершенствовании правил, механизмов и технологий управления доступом. Положения стандарта могут использоваться при управлении доступом к информационным ресурсам, вычислительным ресурсам средств вычислительной техники, ресурсам автоматизированных (информационных) систем, средствам вычислительной техники и автоматизированным (информационным) системам в целом.

Введен в действие 01.05.2020.

Персональные данные:

Кого затрагивают указанные ниже требования: операторов ПДн.

15. Приказ Федеральной службы по техническому и экспортному контролю от 14.05.2020 № 68 «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21».

Документ вносит изменения в 21 приказ в части сертификации по уровням доверия.

Вступил в силу с 1 января 2021 г.

16. Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон "О персональных данных"».

Документ вносит изменения в Федеральный закон 152-ФЗ «О персональных данных» изменения в части обработки персональных данных, разрешенных субъектом персональных данных для распространения (определение перечня, обязанности и ответственность оператора, механизм прекращения распространения и др.).

Вступил в силу с 1 марта 2021 г.

Государственные информационные системы (ГИС):

Кого затрагивают указанные требования: операторов ГИС

17. Постановление Правительства Российской Федерации от 04.09.2020 № 1345 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».

Документ утверждает изменения в 676П в части требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, включая: требования к защите информации персональных данных в системе, моделированию угроз безопасности, требования к информационной системе защиты информации в ГИС.

Вступил в силу: с даты публикации.

18. Постановление Правительства Российской Федерации от 10.10.2020 № 1650 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации».

Документ регулирует вопросы разработки концепции создания системы. Дополнено содержание актов о системе. Введен запрет на ввод системы в эксплуатацию при отсутствии надлежащего оформления прав на использование компонентов, являющихся объектами интеллектуальной собственности.

Вступил в силу: с даты публикации.

Техническая сертификация средств защиты информации (СЗИ):

Кого затрагивают указанные требования: организации, осуществляющие в соответствии с законодательством Российской Федерации работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации, заявителей на осуществление сертификации, а также испытательные лаборатории и органы по сертификации, выполняющие работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.

19. Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий от 15.10.2020.

Документ утверждает новую редакцию Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий: применение 6 уровней доверия в соответствующих информационных системах по классам защиты.

Вступает в силу: основной состав требований – с 1 января 2021, отдельные требования – с 1 января 2024, 2028 гг.

20. Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении ФСТЭК России от 25.12.2020.

Новая редакция Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении.

Вступил в силу: с 1 апреля 2021 г.

Электронная подпись и удостоверяющие центры:

Документы применимы к операторам Удостоверяющих центров (УЦ).

21. Приказ Минцифры от 13.11.2020 № 584 «Об утверждении Требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей».

Документ определяет требования к описанию условий предоставления услуг Удостоверяющего центра, включая: права, обязанности и ответственность Удостоверяющего центра, описание реализуемых УЦ функций, требования к порядку и срокам при выполнении процедур, требования к созданию и хранению ключевой информации, варианты предоставления усиленной квалифицированной ЭП без личного присутствия гражданина Российской Федерации и др.

Вступил в силу с 1 января 2021 г. и действует до 1 января 2027 г.

22. Приказ ФСБ России от 04.12.2020 № 554 «Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи».

Документ определяет порядок уничтожения ключей ЭП (и всех резервных копий ключевой информации), хранимых аккредитованным УЦ, по поручению владельцев квалифицированных сертификатов. Включая сроки уничтожения, средства и процедуру уничтожения, требования к фиксации факта и информирования об уничтожении ключевой информации.

Вступил в силу: с 1 января 2021 г.

23. Приказ ФСБ России от 04.12.2020 № 555 «О внесении изменений в приложения № 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».

Документ вносит изменения в 796-П в части уточнения определений индивидуального предпринимательства, выявления уязвимостей, требований в соответствии с классами УЦ и вносит другие актуальные обновления.

Вступил в силу с 11 января 2021 г.

24. Приказ ФСБ России от 04.12.2020 № 556 «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи».

Документ, описывающий требования к доверию при обмене электронными документами с ЭП, используемым средствам и самим организациям – доверенной третьей стороне.

Вступил в силу с 1 января 2021 г.

25. Федеральный закон от 30.12.2020 № 516-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (нарушение правил создания, замены и выдачи ЭП).

Документ, вводящий административную ответственность за нарушение установленных правил создания (замены) и выдачи ключа простой электронной подписи и правил использования ФГИС «ЕСИА» («Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме»).

Вступил в силу со дня публикации.

26.Федеральный закон от 29.12.2020 № 479-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации».

Внесены поправки для развития биометрических технологий и единой биометрической системы в РФ.

Вступил в силу с 1 января 2021 года (за исключением отдельных положений с индивидуальными сроками вступления).