В обзоре изменений за январь 2025 года рассмотрим следующие темы:
1. Персональные данные
Срок действия 687-П ограничивается до 1 сентября 2030 года. Представлен проект изменений, расширяющий варианты проведения мероприятий по контролю за операторами ПДн без взаимодействия с ними. Расширен перечень случаев использования биометрических ПДн, размещенных в ЕБС с использованием мобильного приложения. В 152-ФЗ внесено дополнение об обработке ПДн без согласия.
2. Безопасность финансовых организаций
Банк России опубликовал Методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей объектов информационной инфраструктуры организаций финансового рынка.
3. Иное
Вступили в силу:
Условия по защите информации для участников платформы цифрового рубля;
Положение о Гособлаке;
изменения в составе информации, подлежащей хранению организатором распространения информации в сети «Интернет».
Представлена Концепция государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий. Срок осуществления лицензионного контроля в соответствии с 294-ФЗ продлен до конца 2025 года. Утверждены формы согласия на обработку ПДн в соответствии с 572-ФЗ. Завершился переходный период авторизации пользователей информационных ресурсов. Представлен проект изменений Порядка обработки биометрических ПДн в ЕБС.
4. Деятельность ФСТЭК России
ФСТЭК России представила проекты приказов о порядке и сроках проведения лицензионного контроля, а также информационные сообщения о повышении безопасности СрЗИ, в состав которых входят средства контейнеризации, интерпретаторы, веб-сервера и сервера приложений.Персональные данные
Отмена Положения об особенностях обработки ПДн без средств автоматизации
26 января 2025 года вступило в силу постановление Правительства Российской Федерации (далее – РФ) от 18.01.2025 № 12 «О внесении изменения в постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных (далее – ПДн), осуществляемой без использования средств автоматизации» (далее – 687-П)», согласно которому срок действия 687-П ограничивается до 1 сентября 2030 года.
Изменения в госконтроле за обработкой ПДн
Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) представило для общественного обсуждения проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой ПДн».
Проектом предлагается дополнить варианты проведения мероприятий по контролю за операторами ПДн без взаимодействия с контролируемым лицом использованием информационных систем (далее – ИС), принадлежащих контролирующему органу.
Также расширяется перечень действий, который может быть применен по отношению к оператору, если в ходе контроля без взаимодействия с оператором были выявления нарушения. В отношении оператора принимаются следующие меры:
по прекращению обработки ПДн и их уничтожению;
направляется письмо с требованием об уточнении, блокировании или уничтожении недостоверных или полученных незаконным путем ПДн в течение 10 рабочих дней с информированием контролирующего органа об исполнении требования либо с представлением мотивированных пояснений о выявленных нарушениях требований;
объявляется предостережение о недопустимости нарушения обязательных требований и предлагается принять меры по обеспечению соблюдения обязательных требований.
Общественное обсуждение проекта завершилось 4 февраля 2025 года.
Расширение случаев использования биометрических ПДн, размещенных в ЕБС с использованием мобильного приложения
24 января 2025 года официально вступило в силу постановление Правительства РФ от 18.01.2025 № 15 «О внесении изменений в постановление Правительства РФ от 15.06.2022 № 1067 «О случаях и сроках использования биометрических ПДн, размещенных физическими лицами в единой информационной системе ПДн, обеспечивающей обработку, включая сбор и хранение, биометрических ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн физического лица».
Согласно изменениям биометрические ПДн, размещенные в единой биометрической системе (далее – ЕБС) с использованием мобильного приложения ЕБС, могут использоваться для:
осуществления продажи алкогольной, табачной продукции, тонизирующих, энергетических напитков и т.д;
подтверждения факта нахождения гражданина в живых в целях продления выплаты страховой пенсии и фиксированной выплаты гражданину РФ, проживающему за пределами территории РФ.
Изменения в 152-ФЗ
Опубликован Федеральный закон от 28.12.2024 № 519-ФЗ «О внесении изменений в статьи 10 и 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и отдельные законодательные акты РФ».
В статьи об обработке специальных категорий ПДн и биометрических ПДн вносится уточнение, что такие категории ПДн допускается обрабатывать без согласия субъекта ПДн в случаях, предусмотренных уголовно-процессуальным законодательством.
Изменения вступают в силу 1 сентября 2025 года.Безопасность финансовых организаций
Методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей
Центральный банк РФ (далее – Банк России) опубликовал Методические рекомендации от 22.01.2025 2-МР Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка.
Рекомендации разработаны в целях обеспечения единого подхода к реализации организациями финансового рынка тестирования на проникновение и анализа уязвимостей автоматизированных систем (далее – АС), программного обеспечения (далее – ПО), средств вычислительной техники, телекоммуникационного оборудования в соответствии с требованиями Положений Банка России № 683-П, № 757-П, № 821-П, № 808‑П.
Целями проведения тестирования на проникновение и анализа уязвимостей могут являться:
оценка уровня защищенности объектов информационной инфраструктуры;
обеспечение доверия к объектам информационной инфраструктуры, в том числе входящим в критичную архитектуру.
Согласно документу организациям финансового рынка рекомендуется:
определить границы тестирования и анализа уязвимостей, включить в них объекты информационной инфраструктуры, распространяемые клиентам для совершения финансовых операций и ПО, используемое для приема электронных сообщений, в том числе:
веб-приложения дистанционного банковского обслуживания (далее – ДБО);
мобильные приложения ДБО;
мобильные приложения личных кабинетов клиентов;
АС, участвующие во взаимодействии с ДБО;
серверы приложений и систем управления базами данных;
специализированные клиентские приложения ДБО;
использовать Методические рекомендации Банка России от 20.12.2023 № 18‑МР при описании наименований объектов информационной инфраструктуры;
перед проведением тестирования на проникновение и анализа уязвимостей разработать:
техническое задание;
соглашение об ответственности сторон;
модель угроз информационной безопасности;
планы восстановления операционной надежности в случае возникновения нештатных ситуаций;
руководствоваться положениями:
ГОСТ Р 58143-2018 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей ПО в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения»;
Профиля защиты прикладного ПО АС и приложений кредитных организаций и некредитных финансовых организаций.
Проводить тестирование на проникновение и анализ уязвимостей можно как самостоятельно, так и с привлечением на договорной основе сторонней организации. Результаты рекомендуется оформлять в форме отчета, который будет храниться не менее 5 лет.
Привлекаемая сторонняя организация должна соответствовать следующим требованиям:
наличие действующей лицензии на осуществление деятельности по технической защите конфиденциальной информации для оказания услуг по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
наличие опыта работы по проведению тестирования на проникновение объектов информационной инфраструктуры не менее 3 лет в организациях финансового рынка, подтвержденного не менее чем тремя соответствующими завершенными договорами;
наличие подтвержденного опыта проведения тестирования на проникновение объектов информационной инфраструктуры у привлекаемых специалистов сторонней организации не менее 3 лет.
Отметим, что ООО «УЦСБ» соответствует всем вышеперечисленным требованиям.Иное
Защита информации для участников платформы цифрового рубля
1 января 2025 года вступили в силу Условия по защите информации для участников платформы цифрового рубля (далее – Условия). Подробнее с Условиями можно ознакомиться в обзоре изменений законодательства за май 2024 года, подготовленном Аналитическим центром УЦСБ.
Продление лицензионного контроля в соответствии с 294-ФЗ
Вступило в силу постановление Правительства РФ от 27.12.2024 №1931 «О внесении изменений в некоторые акты Правительства РФ», согласно которому лицензионный контроль за:
разработкой и производством средств защиты конфиденциальной информации (постановление Правительства РФ от 03.03.2012 №171);
деятельностью по технической защите конфиденциальной информации (постановление Правительства РФ от 03.02.2012 № 79),
продолжает осуществляться в соответствии с Федеральным законом от 26.12.2008 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее – 294-ФЗ) до 31 декабря 2025 года.
Напомним, что ранее срок осуществления контроля в соответствии с 294-ФЗ был ограничен до 31 декабря 2024 года включительно.
Утверждение форм согласий на обработку ПДн в соответствии с 572-ФЗ
1 января 2025 года вступило в силу распоряжение Правительства РФ от 09.04.2024 № 856-р, которое вносит изменения в распоряжение Правительства РФ от 30.06.2018 № 1322-р «Об утверждении формы согласия на обработку ПДн, необходимых для регистрации гражданина РФ в единой системе идентификации и аутентификации, и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических ПДн гражданина РФ в единой информационной системе ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн гражданина РФ».
Подробнее с изменениями можно ознакомиться в обзоре изменений законодательства за апрель 2024 года, подготовленном Аналитическим центром УЦСБ.
Государственная облачная платформа
1 января 2025 года вступило в силу постановление Правительства РФ от 10.07.2024 № 929 «Об утверждении Положения о государственной единой облачной платформе (далее – Гособлако)».
Подробнее с целью создания, задачами, которые решает Гособлако, и его возможностями можно ознакомиться в обзоре изменений законодательства за июль 2024 года, подготовленном Аналитическим центром УЦСБ.
Концепция государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий
Опубликовано Распоряжение Правительства РФ от 30.12.2024 № 4154-р об утверждении Концепции государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий.
Задачами системы являются:
прогнозирование и выявление противоправных деяний;
повышение результативности расследования преступлений, совершаемых с использованием информационно-коммуникационных технологий;
совершенствование законодательства в сфере противодействия противоправным деяниям;
разработка и реализация правовых, организационных, технических и иных мер противодействия противоправным деяниям;
сбор, обработка, анализ и обмен информацией в сфере противодействия противоправным деяниям;
создание подразделений, специализирующихся на противодействии противоправным деяниям и иные.
Для выполнения задач планируется, что система будет реализовывать следующие функции:
обеспечивать оперативный обмен информацией между правоохранительными органами, Банком России, кредитными организациями, а также операторами связи (за исключением случаев, когда произошли компьютерная атака или компьютерный инцидент);
проведение мониторинга и ограничение доступа к противоправным ресурсам в информационно-телекоммуникационных сетях;
обеспечение эффективного применения норм законодательства в сфере противодействия противоправным деяниям, в том числе проведение систематического мониторинга правоприменительной практики в данной сфере;
совершенствование вопросов, связанных с порядком выпуска, обращения и реализации ограничительных процедур в отношении цифровой валюты;
реализация механизма оперативного приостановления операций с денежными средствами, использовавшимися в преступной деятельности и иные.
Изменения в составе информации, подлежащей хранению организатором распространения информации в сети «Интернет»
1 января 2025 года вступило в силу постановление Правительства РФ от 09.10.2024 № 1348 «О внесении изменений в постановление правительства РФ от 23.09.2020 № 1526», согласно которому вносятся изменения в состав информации, подлежащей хранению организатором распространения информации в сети «Интернет» при обеспечении функционирования коммуникационного интернет-сервиса.
Подробнее изменениями можно ознакомиться в обзоре изменений законодательства за октябрь 2024 года, подготовленном Аналитическим центром УЦСБ.
Завершение переходного периода авторизации пользователей информационных ресурсов
1 января 2025 года завершился переходный период, установленный Федеральным законом от 12.12.2023 № 588-ФЗ «О внесении изменения в статью 8 Федерального закона «Об информации, информационных технологиях и о защите информации», в течение которого владелец ИС, ПО или ресурсов в сети «Интернет» мог проводить авторизацию пользователей с использованием собственной ИС, обеспечивающей авторизацию.
По истечении переходного периода использовать ИС, обеспечивающие авторизацию пользователей информационных ресурсов, можно только при условии, что ее владельцем является:
гражданин РФ, не имеющий гражданства другого государства;
юридическое лицо, находящееся под контролем РФ, субъекта РФ, муниципального образования, гражданина РФ, не имеющего гражданства другого государства.
Изменения в Порядке обработки биометрических ПДн в ЕБС
Минцифры России представило для общественного обсуждения проект приказа «О внесении изменений в Порядок обработки, включая сбор, хранение, биометрических ПДн, в том числе требования к параметрам биометрических ПДн, и в Порядок размещения и обновления биометрических ПДн в ЕБС, а также случаи и сроки использования биометрических ПДн при их размещении в ЕБС в соответствии с ч. 14 ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ», утвержденные приказом Минцифры России от 12.05.2023 № 453».
Проектом предлагается:
увеличить срок, после которого необходимо обновить биометрические ПДн в ЕБС, с 2 до 4 лет, если ПДн были размещены государственными органами, Банком России, организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами;
в случае изменения ряда требований к параметрам биометрических ПДн обязать оператора ЕБС осуществлять проверку параметров биометрических ПДн, размещенных в ЕБС совместно с идентификатором учетной записи в единой системе идентификации и аутентификации, на соответствие обновленным требованиям;
изменить ряд параметров, которым должны соответствовать записи голоса, размещаемые в ЕБС, в частности:
исключить требование о произнесении физическим лицом последовательности букв или цифр, сгенерированной ПО, а также требование о произнесении текста физическим лицом на русском языке;
уточнить, что запись голоса должна содержать длину чистой речи не менее 30 секунд;
изменить ряд параметров, которым должно соответствовать изображение лица, размещаемое в ЕБС.
Планируется, что в случае принятия, приказ будет действовать до 1 июня 2029 года. Общественное обсуждение проекта приказа завершилось 27 января 2025 года.ФСТЭК России
Сроки и последовательность лицензионного контроля ФСТЭК России
Федеральная служба по техническому и экспортному контролю РФ (далее – ФСТЭК России) представила проекты приказов:
Об утверждении сроков и последовательности административных процедур при осуществлении ФСТЭК России и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации;
Об утверждении сроков и последовательности административных процедур при осуществлении ФСТЭК России и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России).
Проектами приказов закрепляется, что при осуществлении лицензионного контроля в отношении лицензиатов проводятся плановые (внеплановые) документарные и (или) выездные проверки. Для проведения проверки ФСТЭК России назначаются не менее двух должностных лиц. По решению директора ФСТЭК России или руководителя территориального органа к проведению выездной проверки могут привлекаться сторонние по отношению к проверяемому лицу эксперты и экспертные организации.
Срок проведения проверки не может превышать 20 рабочих дней. Однако, для ряда лицензиатов установлены иные максимальные сроки проведения плановых выездных проверок. Так для лицензиатов, являющихся:
малым предприятием – 50 часов в год;
микропредприятием – 15 часов в год;
юридическим лицом, которое осуществляет свою деятельность на территориях нескольких субъектов РФ – устанавливается отдельно по каждому филиалу/ обособленному структурному подразделению, но не более 60 рабочих дней.
В исключительных случаях, связанных с необходимостью проведения сложных или длительных проверок, на основании мотивированных предложений проверяющих срок проведения выездной плановой проверки, может быть продлен.
Также проектами закрепляются порядки проведения проверок, оформления результатов проверок и осуществления контроля за устранением лицензиатом выявленных нарушений лицензионных требований.
Общественное обсуждение проектов завершится 12 февраля 2025 года.
Повышение безопасности СрЗИ, в составе которых средства контейнеризации или образы контейнеров
На официальном сайте ФСТЭК России опубликовано Информационное сообщение от 13.01.2025 № 240/24/38 «О повышении безопасности средств защиты информации (далее – СрЗИ), в состав которых разработчики включают средства контейнеризации или образы контейнеров».
В целях повышения безопасности СрЗИ в контейнерном исполнении изготовителям при разработке и сертификации необходимо:
использовать сертифицированное средство контейнеризации, если оно не входит в состав СрЗИ и используется в качестве среды его функционирования;
провести инвентаризацию образов контейнеров, входящих в СрЗИ, а также ПО из состава образов контейнеров. Перечень образов контейнеров должен быть приведен в проектной документации;
обеспечить контроль целостности образов контейнеров и исполняемых файлов, осуществляется средством самостоятельно, с использованием средства контейнеризации или сертифицированного средства контроля целостности;
обеспечить совместимость ПО, входящего в состав образов контейнеров, с хостовыми операционными системами (далее – ОС), указанными в эксплуатационной документации в качестве среды функционирования;
обеспечить запуск контейнеров с полномочиями, минимально необходимыми для функционирования СрЗИ;
обеспечить управление доступом между компонентами СрЗИ (контейнерами, микросервисами, иными ресурсами), компонентами среды функционирования, внешними по отношению к средству компонентами в соответствии с заданными разработчиком средства правилами. Правила доступа, содержащие разрешенный список действий, должны быть описаны в документации.
Повышение безопасности СрЗИ, в составе которых интерпретаторы, веб‑сервера и сервера приложений
На официальном сайте ФСТЭК России опубликовано Информационное сообщение от 10.01.2025 № 240/24/39 «О повышении безопасности СрЗИ, в состав которых разработчики включают интерпретаторы (компоненты среды функционирования интерпретируемых языков или языков, компилируемых в промежуточное представление), веб-сервера и сервера приложений (далее – программные компоненты) или задействуют для реализации функциональных возможностей средств данные программные компоненты из состава среды функционирования».
В целях повышения безопасности СрЗИ, использующих указанные программные компоненты, при разработке и сертификации необходимо:
в случае использования в СрЗИ для реализации функций безопасности или в составе поверхности атаки СрЗИ программных компонентов из состава среды функционирования СрЗИ сертифицировать их по требованиям безопасности информации (могут быть сертифицированы самостоятельно, в составе среды функционирования СрЗИ или в составе СрЗИ);
в случае включения в состав ОС несертифицированных программных компонентов, ко всем функциям по безопасности, содержащихся в программных компонентах, предъявить требования по безопасности информации и включить их в технические условия на ОС, выполнение которых проверяется при проведении сертификационных испытаний;
в случае включения в состав иных СрЗИ несертифицированных программных компонентов, сертифицировать их в составе СрЗИ в части задействования данных компонентов при реализации функций безопасности СрЗИ или в поверхности атаки СрЗИ;
наделять программные компоненты минимально необходимыми для функционирования СрЗИ полномочиями;
обеспечить выполнение программными компонентами кода либо входящего в состав СрЗИ, либо допущенного к выполнению посредством документированных функциональных возможностей СрЗИ (если программными компонентами предусмотрена возможность по выполнению кода);
включить в эксплуатационную документацию сведения о всех функциональных возможностях, в том числе функциях безопасности, параметрах их безопасной конфигурации, настройки и эксплуатации, а также рекомендации по контролю безопасной конфигурации и настройки средств.
Автор: Любовь Лобачева, аналитик УЦСБ
Источник новости: habr.com
