С 01.04.2024 ВСТУПИЛИ В СИЛУ:
ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного программного обеспечения. Безопасный компилятор языков С/С++. Общие требования». Стандарт направлен на профилактику появления уязвимостей в программах и содержит общие требования к безопасному компилятору программ на языках С и C++, задача которого — не вносить в бинарный код программы ошибки, которых не было в исходном коде программы и которые могут появиться в ходе компиляции, в том числе в ходе выполнения оптимизаций кода программы. Настоящий стандарт определяет требования к динамической компоновке и загрузке программ, выполнение которых необходимо для поддержки ряда возможностей безопасного компилятора, содержит требования к функциям безопасного компилятора и задаёт требования к методике проверки требований к нему.
ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного программного обеспечения. Статический анализ программного обеспечения. Общие требования». Стандарт определяет общие требования к внедрению и выполнению статического анализа ПО, а также исходные данные, необходимые для его выполнения, требования к методам статического анализа, инструментам анализа (статическим анализаторам) и к специалистам, участвующим в анализе, а также методику проверки устанавливаемых требований к инструментам анализа.
ГОСТ Р 71252-2024 «Информационная технология. Криптографическая защита информации. Протокол защищённого обмена для индустриальных систем». Настоящий стандарт содержит описание протокола CRISP — CRyptographic Industrial Security Protocol — неинтерактивного протокола защищённой передачи данных, разработанного для применения в индустриальных системах. Протокол CRISP может быть использован для обеспечения конфиденциальности и аутентификации сообщений и для защиты от навязывания повторных сообщений. Стандарт введён взамен Р 1323565.1.029-2019.
Предварительный национальный стандарт ПНСТ 905-2023 «Критическая информационная инфраструктура. Доверенные программно-аппаратные комплексы. Термины и определения». Стандарт устанавливает термины и определения основных понятий, относящихся к доверенным программно-аппаратным комплексам, применяемым на объектах критической информационной инфраструктуры. Приведённые определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объём определяемого понятия. Изменения не должны нарушать объём и содержание понятий, определённых в настоящем стандарте. Данный предварительный национальный стандарт будет действовать в период с 01.04.2024 по 01.04.2027.
Положение Центрального банка Российской Федерации от 17.08.2023 № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (взамен Положения Банка России № 719-П). Новое Положение не несёт практически ничего нового для банков, ранее выполнявших 719-П, зато вводит требования к защите информации для операторов электронной платформы (операторов финансовой платформы/информационной системы, в которой осуществляется выпуск цифровых финансовых активов, операторов обмена цифровых финансовых активов при оказании указанными операторами услуг расчётов по сделкам, совершённым с использованием электронной платформы, пользователям электронной платформы).
ПРЕЗИДЕНТ И ПРАВИТЕЛЬСТВО РФ
11.04.2024 опубликован Указ Президента Российской Федерации от 11.04.2024 № 254 «О внесении изменений в перечень сведений, отнесённых к государственной тайне, утверждённый Указом Президента Российской Федерации от 30.11.1995 № 1203». К числу государственных органов и организаций, наделённых полномочиями по распоряжению сведениями, раскрывающими мероприятия по использованию объектов транспортной инфраструктуры и (или) транспортных средств в Российской Федерации в целях обеспечения безопасности государства, специальные меры по обеспечению безопасности перевозок или сохранности грузов, объёмы воинских перевозок или маршруты транспортировки вооружения, военной техники, отнесено Минцифры Российской Федерации.
07.05.2024 опубликован Указ Президента Российской Федерации «О национальных целях развития Российской Федерации на период до 2030 года и на перспективу до 2036 года» № 309.
Непосредственно отрасли ИТ и информационной безопасности в данном Указе касается:
- необходимость формирования рынка данных, их активного вовлечения в хозяйственный оборот;
- автоматизация большей части транзакций в рамках единых отраслевых цифровых платформ и модели управления на основе данных с учётом ускоренного внедрения технологий обработки больших объёмов данных, машинного обучения и искусственного интеллекта в ключевых отраслях экономики и социальной сферы, в том числе здравоохранении и образовании;
- переход к 2030 году не менее 80% российских организаций ключевых отраслей экономики на использование базового и прикладного российского программного обеспечения в системах, обеспечивающих основные производственные и управленческие процессы, в том числе — для государственных органов, государственных корпораций, государственных компаний и хозяйственных обществ, в уставном капитале которых доля участия Российской Федерации в совокупности превышает 50%, и аффилированных с ними юридических лиц — увеличение к 2030 году до 95% доли использования российского программного обеспечения.
Правительству Российской Федерации в срок до 01.09.2024 предстоит разработать (скорректировать) блок национальных проектов по обеспечению технологического лидерства, привести свои акты в соответствие с настоящим Указом и представить предложения по приведению актов Президента Российской Федерации в соответствие с настоящим Указом.
24.05.2024 опубликовано постановление Правительства Российской Федерации от 23.05.2024 № 639 «Об утверждении Положения о схеме пропуска трафика через технические средства противодействия угрозам устойчивости, безопасности и целостности функционирования на территории РФ информационно-телекоммуникационной сети "Интернет" и сети связи общего пользования, в том числе пропуска трафика на присоединённую сеть связи оператора связи, оказывающего услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет"». Настоящим Положением установлены требования к содержанию схемы пропуска трафика через технические средства противодействия угрозам устойчивости, безопасности и целостности функционирования в России сети "Интернет" и сети связи общего пользования. Изложен порядок предоставления схемы на согласование, установлены сроки согласования и предоставления ответа заявителю, а также описана процедура и сроки повторного согласования схемы при её изменении. Постановление вступает в силу с 01.09.2024.
14.06.2024 опубликован Указ Президента Российской Федерации от 13.06.2024 № 500 «О внесении изменений в Указ Президента Российской Федерации от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации"». Настоящий Указ вступает в силу с даты подписания (13.06.2024) и расширяет меры обеспечения информационной безопасности (далее — ИБ) Российской Федерации. С 01.01.2025 органам государственной власти, государственным компаниям, стратегическим предприятиям и системообразующим организациям будет запрещено не только использовать средства защиты информации из недружественных стран, но и пользоваться их сервисами (работами, услугами) по обеспечению ИБ. Кроме того, Указ устанавливает требования к аккредитованным центрам ГосСОПКА, которые будут привлекаться для реагирования на инциденты в ведомствах и субъектах критической информационной инфраструктуры. Такие центры привлекаются в случае необходимости для предупреждения кибератак и устранения их последствий. Требования к аккредитации таких центров будут разработаны ФСБ России. Также ФСБ России будет осуществлять контроль их деятельности.
ПЕРСОНАЛЬНЫЕ ДАННЫЕ
05.04.2024 опубликовано постановление Правительства Российской Федерации от 01.04.2024 № 408 «О видах биометрических персональных данных, на которые распространяется действие Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации"». Постановление определяет, какие виды биометрических персональных данных подпадают под действие Закона об идентификации и аутентификации физических лиц с использованием биометрических персональных данных: изображение лица человека, полученное с помощью фото- и видеоустройств, и запись голоса человека, полученная с помощью звукозаписывающих устройств. Постановление вступает в силу с 01.09.2024 и действует до 01.09.2027.
24.05.2024 опубликован проект Указания Центрального Банка Российской Федерации «О требованиях к организации банками процесса сбора и размещения биометрических персональных данных физического лица в Единой биометрической системе и к применению банками Единой биометрической системы посредством их официального сайта в сети "Интернет", а также их мобильного приложения». Указание будет устанавливать требования к организации банками процесса сбора и размещения биометрических персональных данных в ЕБС и к применению банками ЕБС посредством их официального сайта и мобильного приложения. Сбор комментариев по проекту нормативного акта проводился до 06.06.2024.
ФСТЭК РОССИИ
17.04.2024 опубликован приказ ФСТЭК России от 01.12.2023 № 240 «Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации». Данный приказ вступает в силу 01.06.2024.
КИИ
06.05.2024 опубликован методический документ ФСТЭК России от 02.05.2024 «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».
05.06.2024 ФСТЭК России опубликовано информационное сообщение от 27.05.2024 № 240/82/1376 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий». В случае изменения сведений о результатах присвоения объекту критической информационной инфраструктуры (далее — КИИ) одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий (далее — сведения) субъект КИИ должен направить во ФСТЭК России новые актуализированные сведения по Форме, утверждённой приказом ФСТЭК России от 22.12.2017 № 236 (далее — Форма). В случае если указанная актуализация не приводит к изменению категории значимости или пересмотру решения об отсутствии необходимости присвоения категорий значимости, актуализированные сведения могут направляться во ФСТЭК России электронным документом, записанным на машинном носителе информации. Указанный машинный носитель информации прикладывается к сопроводительному письму с указанием в нём размера записанных на нём электронных документов. В иных случаях сведения направляются в печатном и электронном виде (в формате .ods и (или) .odt) по утверждённой Форме.
Также напоминаем, что с 01.09.2024 вступят в силу требования Постановления Правительства Pоссийской Федерации от 14.11.2023 № 1912, согласно которым субъекты КИИ Российской Федерации должны будут начать переход (который необходимо будет завершить до 01.01.2030) на преимущественное использование на значимых объектах КИИ доверенных программно-аппаратных комплексов (далее — ПАК). Также согласно данному Постановлению не допускается использование субъектами КИИ на принадлежащих им значимых объектах КИИ ПАК, приобретённых с 01.09.2024 и не являющихся доверенными (с некоторыми оговорками и исключениями).
ЦЕНТРАЛЬНЫЙ БАНК РФ
18.04.2024 Центральным банком Российской Федерации опубликовано информационное письмо от 15.04.2024 № ИН-012-56/26 о разъяснении положений части 12 статьи 16 Федерального закона № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации». В частности, уточняется, что использование информационных систем в целях аутентификации на основе биометрии допускается после предоставления организации, осуществляющей аутентификацию, актов проверки, за которыми рекомендуется обращаться в Центральный банк Российской Федерации с заявлением в форме электронного документа.
Также 14.05.2024 Банк России опубликовал проект Указания «О внесении изменений в Положение Банка России от 03.08.2023 № 820-П "О платформе цифрового рубля"». Проект указания был разработан в целях уточнения нормативного регулирования обращения цифрового рубля, в том числе в части функционирования платформы цифрового рубля, а также в связи со вступлением в силу с 01.01.2025 отдельных законодательных актов Российской Федерации (в части правовых основ обращения взыскания на цифровые рубли, учитываемые на счёте цифрового рубля должника). Действие проекта предлагалось распространить на кредитные организации, а также на физических и юридических лиц, планирующих совершать операции с цифровыми рублями. До 22.05.2024 проводился сбор комментариев по проекту нормативного акта.
27.05.2024 Банком России также был опубликован обзор отчётности об инцидентах информационной безопасности при переводе денежных средств заIквартал 2024 года.
ОТРАСЛЕВЫЕ ДОКУМЕНТЫ
06.06.2024 Министерством промышленности и торговли Российской Федерации опубликован приказ от 28.03.2024 № 1310 «Об упорядочении обращения со служебной информацией ограниченного распространения в Министерстве промышленности и торговли Российской Федерации». Приказом определены категории должностных лиц, уполномоченных относить служебную информацию к сведениям ограниченного распространения. Кроме того, установлены порядок передачи служебной информации внешним сторонам, правила снятия пометки «Для служебного пользования» с носителей соответствующей информации, требования к защите служебной информации.
