Подведение промежуточных итогов
В рамках подведения промежуточных итогов в III квартале 2024 года были опубликованы:
О новых разрабатываемых и утверждённых документах расскажем далее.
Критическая информационная инфраструктура (КИИ)
10.07.2024 ФСТЭК России был представлен проект Постановления Правительства Российской Федерации «О внесении изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации».
Если изменения будут приняты, с субъектов КИИ будет снята обязанность разработки перечней объектов КИИ, подлежащих категорированию.
05.08.2024 был опубликован проект постановления Правительства Российской Федерации «О внесении изменений в постановление Правительства Российской Федерации от 14.11.2023 № 1912». Проектом предлагается внести изменения в Правила перехода субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах КИИ.
20.08.2024 Минтруда Российской Федерации опубликовало проект ведомственного акта об утверждении профессионального стандарта «Специалист по обеспечению безопасности значимых объектов критической информационной инфраструктуры».
Персональные данные (ПДн)
Вступил в силу (частично с 08.08.2024) Федеральный закон от 08.08.2024 № 233-ФЗ «О внесении изменений в Федеральный закон „О персональных данных“ и Федеральный закон „О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации — городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона „О персональных данных“».
Настоящим законом разрешено использование средств защиты информации с функцией уничтожения данных, определены особенности обработки обезличенных ПДн при формировании составов данных и предоставления доступа к ним, урегулирована передача обезличенных ПДн в ГИС Минцифры.
Изменения вступили в силу со дня опубликования, за исключением некоторых положений, для которых был установлен иной срок (п. п. 1–3, 5 статьи 1, статья 2 Федерального закона вступят в силу с 01.09.2025).
Президент и Правительство РФ
11.07.2024 было опубликовано постановление Правительства Российской Федерации от 10.07.2024 № 929 «Об утверждении Положения о государственной единой облачной платформе» (в части требований к обеспечению информационной безопасности в рамках предоставления облачных услуг)».
В Положении определены цели, задачи и основные принципы функционирования единой облачной платформы, основные группы предоставляемых облачных услуг, состав участников и их функции.
Постановление вступит в силу с 01.01.2025, с этой же даты Единая облачная платформа будет функционировать в полном объёме.
08.08.2024 опубликован и вступил в силу Федеральный закон от 08.08.2024 № 216-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и отдельные законодательные акты Российской Федерации».
В числе прочего настоящим законом:
22.08.2024 было опубликовано «Соглашение между Правительством Российской Федерации и Правительством Исламской Республики Иран о сотрудничестве в области обеспечения информационной безопасности» от 26.01.2021.Документ вступил в силу 15.08.2024.
01.09.2024 вступило в силу Постановление Правительства Российской Федерации от 26.08.2024 № 1151 «Об образовании регионального сегмента единой биометрической системы в г. Москве». В соответствии с Постановлением в Москве будет образован региональный сегмент единой биометрической системы (ЕБС) и определены случаи использования сегмента, предоставления векторов ЕБС, использования ЕБС с применением биометрических ПДн, размещённых через региональное мобильное приложение системы, актуальные до 01.01.2027.
Минцифры РФ
19.08.2024 был опубликован приказ Минцифры Российской Федерации от 01.08.2024 № 682 «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утверждённый приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15.11.2021 № 1187».
Документ определяет новый индикатор риска нарушения обязательных требований для госконтроля за обработкой персональных данных, связанный с выявлением в предоставленных владельцем сайта данных или в ходе проверки в течение календарного года двух и более фактов несоответствия установленным правилам информации, связанной с применением рекомендательных технологий в рамках предоставленного контролируемым лицом доступа к программно-техническим средствам этих технологий.
30.08.2024 вышел приказ Минцифры Российской Федерации от 31.07.2024 № 677 «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключённой к информационно-телекоммуникационной сети „Интернет“, операторам государственных информационных систем, муниципальных информационных систем, информационных систем государственных и муниципальных унитарных предприятий, государственных и муниципальных учреждений».
Приказ устанавливает для провайдеров хостинга требования к защите информации (в том числе с использованием криптографических средств) при предоставлении вычислительной мощности для размещения сведений в информационной системе, постоянно подключённой к сети Интернет.
ФСТЭК России, ТК № 26 «Криптографическая защита информации»
17.07.2024 были опубликованы проекты документов ТК № 26 «Криптографическая защита информации»:
Также был выпущен проект документа ТК № 058 «Функциональная безопасность»: ГОСТ Р/IEC TS 63074: 2023 «Безопасность машин. Вопросы защиты информации в системах управления, связанных с обеспечением функциональной безопасности».
18.07.2024 ФСТЭК России опубликовал проект приказа «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждённые приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17, и Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утверждённые приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».
Проект приказа конкретизирует требования по защите информации, содержащейся в государственных информационных системах (ГИС) и информационных системах значимых объектов КИИ от угроз атак типа «отказ в обслуживании».
01.08.2024 ФСТЭК России также был выпущен Приказ от 27.06.2024 № 127 «Об утверждении форм документов, используемых ФСТЭК России и её территориальными органами при осуществлении и по результатам федерального государственного контроля за обеспечением защиты государственной тайны в пределах компетенции ФСТЭК России», зарегистрированный 01.08.2024 за № 78984.
Приказом были утверждены формы:
08.08.2024 ФСТЭК России был опубликован Проект приказа «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений».
Банк России
12.08.2024 Банком России был опубликован проект Указания «О внесении изменений в Положение Банка России от 17 августа 2023 года № 821-П».
Было предложено внести изменения в части требований к обеспечению защиты информации при осуществлении переводов денежных средств, а также о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств. Изменения касаются:
В то же время был выпущен и проект указания «О внесении изменений в Положение Банка России от 20.04.2021 №757-П».
Предполагались изменения в части установления обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций, касающиеся:
20.08.2024 Банк России опубликовал «Методические рекомендации по установлению целевых значений и расчёту фактических значений количественных контрольных показателей уровня риска информационной безопасности, связанных с осуществлением перевода денежных средств без добровольного согласия клиента и связанных с заключением кредитных договоров (договоров займа) без добровольного согласия клиента, а также установлению пороговых значений и расчёту фактических значений ключевых индикаторов риска информационной безопасности» № 13-МР.
Документ содержит новые методические рекомендации по установлению пороговых значений индикаторов и целевых значений показателей, а также по расчёту фактических значений индикаторов и показателей.
Отраслевые документы
30.07.2024 появился проект постановления Правительства Российской Федерации «О внесении изменений в Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности».
Напоминаем, что такие документы полезно рассмотреть как примеры проработки вопросов аналогичного содержания в других организациях и ведомствах.