Пользователи портала ib-bank.ru уже заметили, что мы запустили блог «Читалка», где каждую неделю публикуем новости нормативного регулирования информационной безопасности в разных отраслях: кредитно-финансовой, транспорта, здравоохранения, образования, топливно-энергетического комплекса и др. Там же будет доступна максимально полная база действующих нормативно-методических документов различных регуляторов, а также законов и нормативных актов РФ. В бумажной версии BIS Journal будет публиковаться регулярный обзор изменений в документах по защите информации за квартал.

 

Начало года. Планы, что вступило в силу в I квартале 2024 года: Минцифры, Центральный банк, Правительство Российской Федерации

2024 год начался с публикации Плана нормативно-правовой работы Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации на 2024 год (утв. Приказом Минцифры России от 29.12.2023 № 1185).

В разрезе ИБ интерес в данном документе представляют два пункта в зоне ответственности Департамента развития отрасли информационных технологий:

• п. 1, касающийся эксперимента по предоставлению права использования программ для электронных вычислительных машин, алгоритмов, баз данных и документации к ним, в том числе исключительное право на которые принадлежит Российской Федерации, на условиях открытой лицензии и созданию условий для использования открытого программного обеспечения (март 2024);
• п. 8 о внесении изменений в некоторые акты Правительства Российской Федерации в части подтверждения и обновления биометрических персональных данных (декабрь 2024).

 

Кроме того, с 01.01.2024 вступили в силу:

• абзац 4 пункта 3.3 Положения Банка России от 20.04.2021 №757-П;
• «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (использование узлами информационной системы безопасной топологии коммуникационных сетей, программного кода и протоколов с учётом актуальных угроз безопасности и применяемых информационных технологий, в том числе реализацию системы защиты от атак, направленных на отказ в обслуживании, с возможностью фильтрации передаваемых данных, хранение узлами информационной системы доверенных сетевых адресов и реализацию механизма проверки некорректных узлов информационной системы). Проще говоря, оператор информационной системы, в которой осуществляется выпуск цифровых финансовых активов, и оператор обмена таких активов должны обеспечивать использование безопасной топологии коммуникационных сетей, программного кода и протоколов с учётом актуальных угроз информационной безопасности и применяемых технологий;
• Положение Центрального банка Российской Федерации от 07.12.2023 № 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля»;
• абзацы 1 и 2 пункта 5.5 Положения Центрального банка Российской Федерации от 04.06.2020 №719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»: если оператор значимой платёжной системы использует в аппаратных модулях безопасности информационной инфраструктуры платёжной системы средства криптографической защиты информации, реализующие криптографические алгоритмы, не определённые национальными стандартами Российской Федерации, то они должны иметь подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности. Однако с 01.04.2024 данное Положение утрачивает силу. Взамен вступает в силу Положение Центрального банка Российской Федерации от 17.08.2023 №821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Новое Положение не несёт практически ничего нового для банков, ранее выполнявших 719-П, зато вводит требования к защите информации для операторов электронной платформы (операторов финансовой платформы/информационной системы, в которой осуществляется выпуск цифровых финансовых активов, операторов обмена цифровых финансовых активов при оказании указанными операторами услуг расчётов по сделкам, совершённым с использованием электронной платформы, пользователям электронной платформы).

С 23.01.2024 вступил в силу Приказ Минцифры России от 29.11.2023 № 1024 «О формах подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, векторов единой биометрической системы, требованиям, определённым в соответствии с подпунктом «е» пункта 1 части 2 статьи 6 Федерального закона от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», и о внесении изменений в приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 12 мая 2023 г. № 453» (Зарегистрирован в Минюсте России 12.01.2024 № 76840). Приказом устанавливаются новые формы подтверждения соответствия информационных технологий и технических средств Закону о биометрической идентификации 572-ФЗ. Данные формы выдаются Минцифры России.

24.01.2024 вступило в силу (в день официального опубликования) Постановление Правительства РФ от 15.01.2024 № 4 «Об утверждении Правил установки, эксплуатации и модернизации в точках обмена трафиком технических средств противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети "Интернет" и сети связи общего пользования». Данное Постановление обязывает владельцев точек обмена трафиком устанавливать технические средства защиты, определяет правила установки, эксплуатации и модернизации таких средств.

01.02.2024 вступило в силу Постановление Правительства Российской Федерации от 24.01.2024 № 58 «Об утверждении Правил оформления, переоформления и прекращения допуска граждан Российской Федерации, имеющих гражданство (подданство) иностранного государства, лиц без гражданства, иностранных граждан к государственной тайне, а также их доступа к сведениям, составляющим государственную тайну», утратило силу постановление Правительства от 22.08.1998 № 1003 «Об утверждении Положения о порядке допуска лиц, имеющих двойное гражданство, лиц без гражданства, а также лиц из числа иностранных граждан, эмигрантов и реэмигрантов к государственной тайне».

 

ФСТЭК РОССИИ

ФСТЭК России обновил информацию в зоне своей компетенции:

• 17.01.2024 опубликовано информационное сообщение № 240/11/142, касающееся представления сведений о кадровом обеспечении подразделений по защите информации в соответствии с утверждёнными формами представления в 2024 году указанных сведений в формате Excel. Перечень респондентов для представления сведений о кадровом обеспечении подразделений по защите информации в соответствии с данными формами был приведён в приложении к информационному сообщению;
• 19.01.2024 и затем 15.03.2024 на сайте реестров ФСТЭК России размещены обновлённый перечень органов по аттестации, реестр аккредитованных ФСТЭК России органов по сертификации и испытательных лабораторий и государственный реестр сертифицированных средств защиты информации;
• 18.03.2024 обновлено опубликованное 06.03.2024 информационное сообщение № 240/82/580 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий» (субъектам КИИ, осуществляющим деятельность в сфере транспорта, рекомендуется направлять перечни и сведения в центральный аппарат ФСТЭК России или управление ФСТЭК России по федеральному округу, на территории которого они расположены, в зависимости от ряда условий).
• 28.03.2024 опубликованы «Сведения о принятых национальных и международных стандартах за I квартал 2024 года».

А также опубликовал и принял участие в организации сбора замечаний и голосований по разрабатываемым проектам стандартов и методических документов:

• ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки»;
• методического документа «Методика оценки показателя состояния защиты информации и обеспечения безопасности объектов критической информационной инфраструктуры РФ»;
• ГОСТ Р «Защита информации. Защита информации от утечки из программной среды информационных и автоматизированных систем. Общие положения» (определяет состав участников и основное содержание процессов защиты информации от утечки из программной среды АС/ИС (за исключением ПЭМИН));
• ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации».
• ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»;
• ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»;
• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
• ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом».

 

БАНК РОССИИ

Центральный банк Российской Федерации опубликовал «Методические рекомендации по усилению кредитными организациями информационной работы с клиентами в целях противодействия осуществлению переводов денежных средств без добровольного согласия клиента, а также заключению договоров на получение кредитных (заёмных) денежных средств под влиянием обмана или при злоупотреблении доверием и осуществлению операций с использованием указанных денежных средств, а также вовлечению граждан в деятельность по выводу и обналичиванию средств, полученных преступным путём» (утв. 28.02.2024 № 3-МР, будут применяться с 25.07.2024, с этой же даты отменяются Методические рекомендации по усилению кредитными организациями информационной работы с клиентами в целях противодействия несанкционированным операциям от 19.02.2021 № 3-МР). 

Документ представляет собой новые рекомендации по предупреждению клиентов банков о рисках хищений собственных и кредитных средств злоумышленниками, а также последствиях вовлечения в деятельность по выводу и обналичиванию похищенных денег (дропперство). В числе прочего для достижения указанной цели регулятором предлагается:

• разработать сценарии для бесед сотрудников с клиентами при возникновении подозрений, что человек находится под влиянием мошенников и может лишиться денег;
• создать сервисы, позволяющие клиентам определить подозрительные звонки, а также антивирусные программы, которые помогут защитить от хищений денег различных категорий граждан, в т. ч. социально уязвимых (пожилые люди, инвалиды и другие);
• внедрить для банкоматов двухфакторную аутентификацию.

Также Банк России опубликовал «Методические рекомендации по управлению риском информационной безопасности и обеспечению операционной надежности» от 21.03.2024 № 7-МР (рекомендации по реализации уровней защиты стандартов ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022 финансовыми организациями в зависимости от их типа).

Кроме того, Центральный банк Российской Федерации опубликовал стандарт СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации» (принят и введён в действие приказом Банка России от 28.02.2024 № ОД-326).

Стандарт определяет, какие меры защиты информации следует применять финансовым организациям при проведении дистанционной идентификации и аутентификации клиентов.

Состав и содержание мер целесообразно дифференцировать в зависимости от вида операции, её критичности и рисков, стандарт вступает в силу 01.07.2024 и носит рекомендательный характер.

 

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Не были забыты и персональные данные (ПДн). На рассмотрение в первом квартале 2024 года поступили:

• законопроект № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (об оборотных штрафах для ИТ-компаний, допустивших утечки ПДн пользователей, в части усиления ответственности за нарушение порядка обработки персональных данных). Предлагается установить ответственность за утечку ПДн в зависимости от количества пострадавших субъектов ПДн: если утечка коснётся от 1 до 10 тыс. субъектов ПДн, то штраф для оператора ПДн составит от 3 млн до 5 млн руб. При количестве от 10 тыс. до 100 тыс. субъектов ПДн штраф составит от 5 до 10 млн руб., при более чем 100 тыс. субъектов ПДн штраф составит от 10 млн до 15 млн руб. За повторные утечки ПДн предлагается ввести оборотные штрафы от 0,1 до 3% выручки оператора ПДн за календарный год или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.;
• законопроект № 502113-8 «О внесении изменений в Уголовный кодекс Российской Федерации» (в части установления ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные). Предусматривает установление уголовной ответственности до 10 лет лишения свободы за незаконные использование, передачу, сбор и хранение ПДн граждан Российской Федерации.

 

КИИ

Также был внесён законопроект № 581689-8 «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры РФ» (в части мероприятий по импортозамещению на значимых объектах критической информационной инфраструктуры (КИИ), категорирования с учётом типовых отраслевых перечней объектов КИИ, а также необходимости разработки отраслевых методических документов по категорированию объектов КИИ).

 

ОТРАСЛЕВЫЕ ДОКУМЕНТЫ

Правительство Российской Федерации опубликовало постановление от 28.02.2024 № 224 «О внесении изменений в постановление Правительства РФ от 12 февраля 2020 г. № 126» (изменения в правилах установки, эксплуатации и модернизации в сети связи оператора связи технических средств противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования).

В связи с внесением поправок в Федеральный закон от 07.07.2003 №126-ФЗ  «О связи» утверждены новые технические условия установки технических средств противодействия угрозам устойчивости, безопасности и целостности функционирования в России сети «Интернет» и сети связи общего пользования, а также требования к сетям связи при использовании указанных средств. 26.03.2024 опубликован соответствующий приказ Роскомнадзора от 19.02.2024 №25 «Об утверждении технических условий установки технических средств противодействия угрозам, а также требований к сетям связи при использовании технических средств противодействия угрозам».

Росстандарт 15.02.2024 приказом № 235-ст утвердил спецификацию протокола защищённого обмена для индустриальных систем ГОСТ Р 71252–2024 «Информационная технология. Криптографическая защита информации. Протокол защищённого обмена для индустриальных систем». Стандарт вступает в силу с 01.04.2024 взамен рекомендаций по стандартизации Р 1323565.1.029–2019.

Также с января по март был опубликован ряд отраслевых документов, из которых специалисты могут почерпнуть примеры и способы изложения тех или иных вопросов для нужд разработки собственных аналогичных документов:

• методические рекомендации по цифровой трансформации государственных корпораций и компаний с государственным участием (опубликованы Минцифры России 12.01.2024);
• приказ Министерства экономического развития РФ от 13.11.2023 № 785 «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении Министерством экономического развития РФ функций, определённых законодательством РФ» (опубликован 22.02.2024, вступает в силу 04.03.2024. Можно брать как пример при построении собственной модели угроз и определения актуальных угроз безопасности персональных данных, в том числе в части разделения угроз на требующие и не требующие применения СКЗИ для противодействия).