ПОДВЕДЕНИЕ ПРОМЕЖУТОЧНЫХ ИТОГОВ

11.12.2024 Банк России опубликовал обзор отчетности об инцидентах информационной безопасности при переводе денежных средств за III квартал 2024 года.

 

КРИТИЧЕСКАЯ ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА (КИИ)

28.12.2024 Правительство Российской Федерации опубликовало Постановление от 26.12.2024 №1915 «О внесении изменений в постановление Правительства РФ от 14.11.2023 №1912». Изменения внесены в части п. 3 Постановления.

 

ПЕРСОНАЛЬНЫЕ ДАННЫЕ (ПДн)

02.10.2024 Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации опубликовало проект приказа «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15.11.2021 №1187». Новым поводом для проведения проверки предлагалось сделать ситуацию, когда в контролирующий орган поступили сведения о двух и более случаях ‎в течение календарного года трансграничной передачи персональных данных ‎при помощи программных средств, владелец которых иностранные юридическое или физическое лицо, а их функционал предполагает передачу ПДн со стороны контролируемого лица, которое не подавало уведомления о намерении провести такую передачу. 

03.10.2024 был утвержден ГОСТ Р 71414.1-2024 «Информационные технологии. Биометрия. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура», устанавливающий требования к эксплуатационным испытаниям и протоколам испытаний в области биометрии. Стандарт введен взамен ГОСТ Р ИСО/МЭК 19795-1-2007 и начинает действовать с 01.01.2025. 

10.10.2024 принят ГОСТ Р 71674-2024 «Системы искусственного интеллекта в клинической медицине. Набор данных в формате dicom для тестирования алгоритмов. Методы обезличивания набора данных и контроля набора данных на отсутствие персональных данных». Данный стандарт также будет действовать с 01.01.2025. 

29.10.2024 Банком России опубликованы «Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица при взаимодействии информационных систем организаций финансового рынка с единой биометрической системой» от 08.10.2024 №18-МР, а также «Методические рекомендации Банка России по нейтрализации организациями финансового рынка угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии информационных систем организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами» от 09.10.2024 №19-МР. 

30.11.2024 опубликован комплекс Федеральных законов значительно увеличивающих суммы штрафов за утечку персональных данных в зависимости от числа субъектов, чьи персональные данные были скомпрометированы:

• Федеральный закон от 30.11.2024 №420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (вступил в силу 11.12.2024).
• Федеральный закон от 30.11.2024 №421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» (вступает в силу по истечении 180 дней после дня его официального опубликования).
   

ПРЕЗИДЕНТ И ПРАВИТЕЛЬСТВО РФ

09.10.2024 было опубликовано постановление Правительства Российской Федерации от 09.10.2024 №1350 «О внесении изменений в постановление Правительства Российской Федерации от 03.11.1994 №1233». Данным Постановлением к служебной информации ограниченного распространения относят помимо прочего несекретную информацию, распространение которой может создать потенциальную угрозу интересам Российской Федерации, содержащуюся в документах Архивного фонда, хранящихся в государственных и муниципальных архивах, а также в архивах федеральных органов, уполномоченного органа управления использованием атомной энергии и уполномоченного органа по космической деятельности. 

21.10.2024 опубликован Указ Президента Российской Федерации от 21.10.2024 №901 «О внесении изменений в положения, утвержденные Указом Президента Российской Федерации от 10.09.2005 №1062 «Вопросы военно-технического сотрудничества Российской Федерации с иностранными государствами». Изменения коснулись обеспечения защиты сведений, составляющих государственную тайну. 

 

МИНЦИФРЫ РФ

22.10.2024 опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 16.09.2024 №773 «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации». Приказом установлен новый индикатор риска нарушения обязательных требований для федерального госконтроля (надзора) в сфере идентификации и аутентификации — поступление в Минцифры заявления об аккредитации организации для аутентификации на основе биометрии, содержащего информацию о работниках, непосредственно занимающихся такой аутентификацией, имеющих высшее образование в области информационных технологий или информационной безопасности, которые заявлены как работники аккредитованной организации, занимающейся такой аутентификацией. 

05.12.2024 утвержден приказом №1035 «Перечень нормативных правовых актов в сфере информационных технологий и распространения информации в социальных сетях, содержащих обязательные требования, подлежащих оценке применения в 2025 году». 

09.12.2024 опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 26.08.2024 №726 «О внесении изменения в приказ Мининформсвязи России от 9 января 2008 г. №1 "Об утверждении требований по защите сетей связи от несанкционированного доступа к ним и передаваемой посредством их информации"». Приказ вступает в силу 01.09.2025. 

 

ФСТЭК РОССИИ

20.12.2024 начал действовать ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» (введен взамен ГОСТ Р 56939-2016). Стандарт устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного программного обеспечения и устранением его выявленных недостатков, в том числе уязвимостей. ГОСТ Р 56939-2024 предназначен для разработчиков и производителей ПО, а также для организаций, выполняющих оценку соответствия процессов разработки ПО положениям настоящего стандарта. 

 

ЦЕНТРАЛЬНЫЙ БАНК РФ

02.10.2024 Банком России опубликованы методические рекомендации от 30.09.2024 №16-МР «Методические рекомендации Банка России по организации взаимодействия информационных систем организаций финансового рынка с инфраструктурой, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме». Новые рекомендации разработаны в целях обеспечения единства подходов кредитных организаций, некредитных финансовых организаций и организации взаимодействия их информационных систем с инфраструктурой электронного правительства. 

03.10.2024 Банком России опубликован проект положения «Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг». 

Проект должен распространяться на кредитные организации, филиалы иностранных банков.

17.10.2024 Банком России было выпущено информационное сообщение «Противодействие кредитному мошенничеству: инициативы Банка России». Банк России предложил ввести обязательный период охлаждения по потребительским кредитам и займам между заключением договора и получением денег. Его длительность будет зависеть от суммы кредита (займа). 

07.10.2024 приняты и введены в действие стандарты Банка России СТО БР ФАПИ.СЕК-1.6-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы обеспечения безопасности финансовых сервисов на основе протокола OpenID Connect. Требования» (взамен СТО БР ФАПИ.СЕК-1.6-2020) и СТО БР ФАПИ.ПАОК-1.0-2024 «Безопасность финансовых (банковских) операций. Прикладные программные интерфейсы. Обеспечение безопасности финансовых сервисов при инициации OpenID Connect клиентом потока аутентификации по отдельному каналу. Требования» (взамен СТО БР ФАПИ.ПАОК-1.0-2021). 

 

ОТРАСЛЕВЫЕ ДОКУМЕНТЫ

06.11.2024 принят ГОСТ 19.101-2024 «Единая система программной документации. Виды программ и программных документов». Стандарт будет действовать с 30.01.2025.

06.12.2024 Приказом Федерального агентства по техническому регулированию и метрологии (Росстандарта) утверждены рекомендации по стандартизации №1785-ст от 28.11.2024 Р 1323565.1.003-2024 «Информационная технология. Криптографическая защита информации. Криптографические алгоритмы выработки ключей шифрования информации и аутентификационных векторов, предназначенные для реализации в аппаратных модулях доверия для использования в подвижной радиотелефонной связи» (взамен Р.1323565.1.003—2017). Документ вступает в силу 01.01.2025. 

18.12.2024 опубликованы ГОСТ Р 71840-2024 «Информационные технологии. Интернет вещей. Требования к платформе обмена данными для различных служб интернета вещей. Часть 1. Общие требования» и ГОСТ Р 71777-2024 «Информационные технологии. Интернет вещей. Термины и определения». Оба стандарта вступают в силу с 01.02.2025. 

20.12.2024 начал действовать ГОСТ Р 71753-2024 «Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования».

Также приняты и начинают действовать с 01.01.2025 следующие стандарты:

• ГОСТ Р 71174-2024 «Ноутбуки. Термины и определения» устанавливает термины и определения понятий в области портативных компьютеров со встроенным экраном и клавиатурой (ноутбуков). Предназначен для заказчиков, разработчиков, поставщиков и потребителей. Термины, установленные настоящим стандартом, рекомендуются для применения во всех видах документации и литературы, входящих в сферу действия работ по стандартизации и/или использующих результаты этих работ. 
• ГОСТ Р 71202-2024 «Ноутбуки. Типы, основные параметры, общие технические требования» определяет типы, основные параметры, общие технические требования для ноутбуков. Настоящий стандарт предназначен для заказчиков, разработчиков, поставщиков и потребителей, а также персонала сопровождения персональных электронно-вычислительных машин. 
• ГОСТ Р 60.0.0.16-2024 «Роботы и робототехнические устройства. Жизненный цикл» устанавливает термины и определения понятий в области жизненного цикла роботов и робототехнических устройств, предназначенные для применения на всех стадиях жизненного цикла, определенных в ГОСТ Р 60.0.0.6 (должен применяться совместно с ГОСТ Р 60.0.0.4). 
• ГОСТ Р 60.0.0.17-2024 «Роботы и робототехнические устройства. Управление жизненным циклом. Основные положения» устанавливает основные положения в области управления жизненным циклом роботов и робототехнических устройств (РРТУ) и предназначен для применения на всех стадиях жизненного цикла (ЖЦ) роботов, определенных в ГОСТ Р 60.0.0.6. На основе настоящего национального стандарта целесообразно, при необходимости, разрабатывать стандарты для отдельных видов роботов (групп объектов стандартизации), учитывающие их особенности на стадиях жизненного цикла, а также с учетом их специфики, объема, сложности и характера работ по назначению. 
• ГОСТ Р 60.2.2.5-2024 «Роботы и робототехнические устройства. Сервисы, реализуемые сервисными роботами. Требования к системам обеспечения безопасности» определяет требования к системам обеспечения безопасности прикладных сервисов (далее — СОБПС), реализуемых сервисными роботами, которые поставщик прикладных сервисов может использовать для обеспечения безопасности пользователей и третьих лиц, когда он предоставляет прикладные сервисы в неструктурированных средах, в которых присутствуют как обученные, так и неподготовленные люди (например сервисы по указанию нужных направлений посетителям в аэропорту или торговом центре, по доставке лекарств пациентам в больнице, по подаче заказанных блюд клиентам в ресторане). 
• ГОСТ Р 60.2.7.1-2024 «Роботы и робототехнические устройства. Модульный принцип построения сервисных роботов. Часть 201. Общая информационная модель модулей» определяет требования и руководящие указания к общей информационной модели (ОИМ) модулей сервисных роботов для обеспечения интероперабельности, возможности повторного использования и компонуемости. Настоящий стандарт определяет структуру ОИМ и детализирует ее использование по назначению, сущность атрибутов и подклассов. Требования настоящего стандарта применимы к сервисным роботам.