🗃Система нормативных правовых актов, методических и информационных документов в области обеспечения безопасности критической информационной инфраструктуры
Вот и подходит к концу первый летний месяц 2020 г., который ознаменовался долгожданным событием - официальное представление Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации, утверждённых приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 17.03.2020 № 114, а значит пришло время обновить систему нормативных правовых актов, методических и информационных документах в области обеспечения безопасности критической информационной инфраструктуры (система в формате pdf ниже).
Вот и подходит к концу первый летний месяц 2020 г., который ознаменовался долгожданным событием - официальное представление Порядка и Технических условий установки и эксплуатации средств, предназначенных для поиска признаков компьютерных атак в сетях электросвязи, используемых для организации взаимодействия объектов критической информационной инфраструктуры Российской Федерации, утверждённых приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 17.03.2020 № 114, а значит пришло время обновить систему нормативных правовых актов, методических и информационных документах в области обеспечения безопасности критической информационной инфраструктуры (система в формате pdf ниже).
📯Минкомсвязь информирует о вступлении в силу поправок в законодательство об электронной подписи.
📣Пилот по использованию российских криптографических алгоритмов и средств шифрования в государственных информационных системах
Правительство Российской Федерации дало старт пилотному проекту по использованию российских криптографических алгоритмов и средств шифрования в государственных информационных системах, который должен быть осуществлён с участием Минкомсвязи, ФСБ и ФСТЭК в период с 15 июля 2020 года по 1 марта 2021 года.
——————————————————
Соответствующее постановление Правительства Российской Федерации от 30.06.2020 № 963 «О реализации пилотного проекта по использованию российских криптографических алгоритмов и средств шифрования в государственных информационных системах», вступавшее в силу с сегодняшнего дня, опубликовано на Официальном портале правовой информации.
Правительство Российской Федерации дало старт пилотному проекту по использованию российских криптографических алгоритмов и средств шифрования в государственных информационных системах, который должен быть осуществлён с участием Минкомсвязи, ФСБ и ФСТЭК в период с 15 июля 2020 года по 1 марта 2021 года.
——————————————————
Соответствующее постановление Правительства Российской Федерации от 30.06.2020 № 963 «О реализации пилотного проекта по использованию российских криптографических алгоритмов и средств шифрования в государственных информационных системах», вступавшее в силу с сегодняшнего дня, опубликовано на Официальном портале правовой информации.
⚡️РКН по ЦФО отменяет публичные мероприятия для операторов ПДн
К сожалению, Управлением РКН по ЦФО было принято решение окончательно отменить и семинар для лиц, ответственных за организацию обработки персональных данных (дата проведения которого неоднократно переносилась из-за пандемии 🦠), и традиционный день открытых дверей, приуроченный к годовщине принятие Федерального закона «О персональных данных».
К сожалению, Управлением РКН по ЦФО было принято решение окончательно отменить и семинар для лиц, ответственных за организацию обработки персональных данных (дата проведения которого неоднократно переносилась из-за пандемии 🦠), и традиционный день открытых дверей, приуроченный к годовщине принятие Федерального закона «О персональных данных».
Telegram
Листок бюрократической защиты информации
Коллеги, если кто-то подавал заявку для посещения семинара Управления РКН по ЦФО «Особенности обработки персональных данных работниками кадровых служб», то дата проведения мероприятия вновь перенесена аж на 27 июля.
Кстати, место меняется тоже, теперь действо…
Кстати, место меняется тоже, теперь действо…
📣Изменения в приказ ФСТЭК № 21
Официально опубликован приказ ФСТЭК России от 14 мая 2020 г. № 68 «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённые приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21».
Изменения вступают в силу с 1 января 2021 г. и касаются уровней доверия используемых средств защиты информации.
Официально опубликован приказ ФСТЭК России от 14 мая 2020 г. № 68 «О внесении изменений в Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждённые приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21».
Изменения вступают в силу с 1 января 2021 г. и касаются уровней доверия используемых средств защиты информации.
Требования по обеспечению информационной безопасности сетей связи и систем управления сетями связи
Минкомсвязи представило для общественного обсуждения проект ведомственного приказа «Об утверждении Требований к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности серей связи и систем управления сетями связи».
——————————————————
Документ, конечно, ориентирован на операторов связи. Возможно, что-то из него, например, показатели режимов функционирования и доступности систем управления сетями связи будут использованы при актуализации Методических рекомендаций по категорированию объектов КИИ, принадлежащих субъектам КИИ, функционирующим в сфере связи, разработанных Ассоциацией документальной электросвязи.
Ну и не обошлось без отсылок к требованиям по безопасности ЗОКИИ.
Минкомсвязи представило для общественного обсуждения проект ведомственного приказа «Об утверждении Требований к эксплуатации и управлению сетями связи, включая обеспечение устойчивого функционирования и информационной безопасности серей связи и систем управления сетями связи».
——————————————————
Документ, конечно, ориентирован на операторов связи. Возможно, что-то из него, например, показатели режимов функционирования и доступности систем управления сетями связи будут использованы при актуализации Методических рекомендаций по категорированию объектов КИИ, принадлежащих субъектам КИИ, функционирующим в сфере связи, разработанных Ассоциацией документальной электросвязи.
Ну и не обошлось без отсылок к требованиям по безопасности ЗОКИИ.
Требования к технологиям взаимодействия средств информатизации, реализующих российские криптографические алгоритмы, с иными средствами информатизации
В развитие пилотного проекта по использованию российских криптографических алгоритмов и средств шифрования в ГИС Минкомсвязи информирует о начале разработки ведомственного нормативного правового акта «Об утверждении требований к технологиям взаимодействия средств информатизации, реализующих российские криптографические алгоритмы, с иными средствами информатизации».
В развитие пилотного проекта по использованию российских криптографических алгоритмов и средств шифрования в ГИС Минкомсвязи информирует о начале разработки ведомственного нормативного правового акта «Об утверждении требований к технологиям взаимодействия средств информатизации, реализующих российские криптографические алгоритмы, с иными средствами информатизации».
Разрушение основ обработки ПДн
Минэкомномразвития продолжает предпринимать попытки законодательных инициатив, направленных на разрушение базовых принципов обработки персональных данных в угоду развития технологий искусственного интеллекта и больших данных. Соответствующий законопроект опубликован на Портале проектов нормативных правовых актов. Законопроектом предлагается:
1. Не ограничивать обработку ПДн достижением каких-либо целей.
2. Не ограничивать обработку ПДн цвелями, установленными при их сборе.
3. Ничем не ограничивать условия обработки ПДн (забить на ч. 1 ст. 6 Закона «О персональных данных» полностью).
4. Допустить возможность поручения обработки ПДн кому-угодно как-угодно.
5. Собирать и обрабатывать ПДн без согласия (даже специальные и биометрические).
6. Лишить субъекта ПДн права отозвать согласие на обработку ПДн.
Разумеется, все это будет возможно, если это будет требоваться программой специального правового режима, утверждённой в соответсвии с Федеральным законом «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации».
——————————————————
Предыдущая законодательная инициатива Минэкономразвития по отмене согласия для обработки биометрических ПДн
Минэкомномразвития продолжает предпринимать попытки законодательных инициатив, направленных на разрушение базовых принципов обработки персональных данных в угоду развития технологий искусственного интеллекта и больших данных. Соответствующий законопроект опубликован на Портале проектов нормативных правовых актов. Законопроектом предлагается:
1. Не ограничивать обработку ПДн достижением каких-либо целей.
2. Не ограничивать обработку ПДн цвелями, установленными при их сборе.
3. Ничем не ограничивать условия обработки ПДн (забить на ч. 1 ст. 6 Закона «О персональных данных» полностью).
4. Допустить возможность поручения обработки ПДн кому-угодно как-угодно.
5. Собирать и обрабатывать ПДн без согласия (даже специальные и биометрические).
6. Лишить субъекта ПДн права отозвать согласие на обработку ПДн.
Разумеется, все это будет возможно, если это будет требоваться программой специального правового режима, утверждённой в соответсвии с Федеральным законом «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации».
——————————————————
Предыдущая законодательная инициатива Минэкономразвития по отмене согласия для обработки биометрических ПДн
Ругаешь регулятора за нелогичные и абсурдные требования? Есть шанс исправить ситуацию. Управление РКН по ЦФО предлагает возможность тем, кто хочет попробовать свои силы на стороне надзорного органа. В настоящее время проводится конкурс на замещение должностей государственной гражданской службы, в том числе в подразделениях, связанных с надзором и исполнением законодательства о персональных данных.
📣Дополнительные меры ИБ для ПДн, обрабатываемых в ГИС
Минкомсвязи уведомляет о начале разработки проекта Федерального закона «О внесении изменений в статью 13 Федерального закона «О персональных данных» (в части утончения принципов обработки персональных данных в государственных информационных системах)».
Необходимость разработки данного проекта, как утверждается Минкомсвязи, обусловлено недостаточным уровнем информационной безопасности государственных информационных систем в Российской Федерации и защищенности персональных данных граждан Российской Федерации.
——————————————————
Что конкретно предлагается изменить пока неизвестно, но будем ждать.
Минкомсвязи уведомляет о начале разработки проекта Федерального закона «О внесении изменений в статью 13 Федерального закона «О персональных данных» (в части утончения принципов обработки персональных данных в государственных информационных системах)».
Необходимость разработки данного проекта, как утверждается Минкомсвязи, обусловлено недостаточным уровнем информационной безопасности государственных информационных систем в Российской Федерации и защищенности персональных данных граждан Российской Федерации.
——————————————————
Что конкретно предлагается изменить пока неизвестно, но будем ждать.
⚡️Достойные изменения в 152-ФЗ
В Государственную думу внесён законопроект «О внесении изменений в Федеральный закон «О персональных данных», которым предусматривается следующее:
⚠️1. Реализовать долгожданную возможность получения одного согласия на обработку ПДн для нескольких целей обработки ПДн.
——————————————————
Давний постулат РКН о том, что одно согласие - одна цель, скоро может кануть в лету.
——————————————————
2. Реализовать возможность поручать оператором обработку ПДн сразу нескольким лицам.
3. Реализовать возможность изменения цели обработки ПДн, заявленной в изначальном согласии, без корректировки состава обрабатываемых ПДн.
⚠️4. Установить необходимость использования сертифицированных ФСТЭК или ФСБ (законодатель как-то не определился в этом моменте) средств защиты информации, которыми будет реализовываться уничтожение ПДн.
⚠️5. Даровать РКН возможность самостоятельно (ведомственным нормативным правовым актом) регламентировать требования и методы по обезличиванию ПДн.
——————————————————
Что-то сегодня прям много про ПДн, но приятно, что кто-то услышал общественность и через Правительство решил протолкнуть приятную законодательную инициативу.
В Государственную думу внесён законопроект «О внесении изменений в Федеральный закон «О персональных данных», которым предусматривается следующее:
⚠️1. Реализовать долгожданную возможность получения одного согласия на обработку ПДн для нескольких целей обработки ПДн.
——————————————————
Давний постулат РКН о том, что одно согласие - одна цель, скоро может кануть в лету.
——————————————————
2. Реализовать возможность поручать оператором обработку ПДн сразу нескольким лицам.
3. Реализовать возможность изменения цели обработки ПДн, заявленной в изначальном согласии, без корректировки состава обрабатываемых ПДн.
⚠️4. Установить необходимость использования сертифицированных ФСТЭК или ФСБ (законодатель как-то не определился в этом моменте) средств защиты информации, которыми будет реализовываться уничтожение ПДн.
⚠️5. Даровать РКН возможность самостоятельно (ведомственным нормативным правовым актом) регламентировать требования и методы по обезличиванию ПДн.
——————————————————
Что-то сегодня прям много про ПДн, но приятно, что кто-то услышал общественность и через Правительство решил протолкнуть приятную законодательную инициативу.
🎊Годовщина принятия 152-ФЗ🎊
Ровно 14 лет назад был принят Федеральный закон «О персональных данных», получивший номер 152-ФЗ.
Традиционно в этот день проходят дни открытых дверей РКН, организуемые как в центральном аппарате службы, так и в территориальных управлениях, и посвящаемые разъяснению проблемных вопросов, неизбежно возникающих при реализации вышеупомянутого закона.
Однако в этом году пандемия новой коронавирусной инфекции COVID-19 🦠 спутала все карты, заставив отказаться от публичных мероприятий.
Буду надеяться, что в этом году регулятор все же порадует сообщество неравнодушных к проблеме организации и защиты персональных данных живыми ответами на вопросы, которых, к сожалению, от года к году не становится меньше.
——————————————————
Кстати, обсудить насущные проблемы, связанные с 152-ФЗ можно здесь в Телеграмме в специальных группах тут и тут.
Ровно 14 лет назад был принят Федеральный закон «О персональных данных», получивший номер 152-ФЗ.
Традиционно в этот день проходят дни открытых дверей РКН, организуемые как в центральном аппарате службы, так и в территориальных управлениях, и посвящаемые разъяснению проблемных вопросов, неизбежно возникающих при реализации вышеупомянутого закона.
Однако в этом году пандемия новой коронавирусной инфекции COVID-19 🦠 спутала все карты, заставив отказаться от публичных мероприятий.
Буду надеяться, что в этом году регулятор все же порадует сообщество неравнодушных к проблеме организации и защиты персональных данных живыми ответами на вопросы, которых, к сожалению, от года к году не становится меньше.
——————————————————
Кстати, обсудить насущные проблемы, связанные с 152-ФЗ можно здесь в Телеграмме в специальных группах тут и тут.
По теме КИИ от Минкомсвязи за эту неделю
Минкомсвязи планирует внести изменения в п. 3 Правил предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах», утверждённых постановлением Правительства Российской Федерации от 7 октября 2019 г. № 1285.
Изменения больше косметические, идущие, так сказать, на шаг впереди. Например, если раньше была статистика для формирования уровня заработной платы для работников отраслевого центра ГосСОПКА (не более около 120 т.р. из субсидий), то теперь придётся ее подождать.
Минкомсвязи объявило о начале конкурсного отбора проектов (мероприятий), направленных на доведение уровня безопасности ЗОКИИ до установленных законодательством Российской Федерации требований.
Для участия в отборе субъектам РФ (❗️не субъектам КИИ❗️) необходимо направить соответствующую заявку.
⚠️Однако к концу недели данное сообщение было отозвано.
Минкомсвязи планирует внести изменения в п. 3 Правил предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах», утверждённых постановлением Правительства Российской Федерации от 7 октября 2019 г. № 1285.
Изменения больше косметические, идущие, так сказать, на шаг впереди. Например, если раньше была статистика для формирования уровня заработной платы для работников отраслевого центра ГосСОПКА (не более около 120 т.р. из субсидий), то теперь придётся ее подождать.
Минкомсвязи объявило о начале конкурсного отбора проектов (мероприятий), направленных на доведение уровня безопасности ЗОКИИ до установленных законодательством Российской Федерации требований.
Для участия в отборе субъектам РФ (❗️не субъектам КИИ❗️) необходимо направить соответствующую заявку.
⚠️Однако к концу недели данное сообщение было отозвано.
📯Внимание! Напоминание
До конца августа 2020 года необходимо успеть завершить категорирование объектов критической информационной инфраструктуры, утвердив соответствующий акт.
Далее сведения о результатах присвоения каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо
об отсутствии необходимости присвоения ему одной из таких категорий предоставляются по форме, утверждённой приказом ФСТЭК России от 22.12.2017 № 236, в Центральный аппарат ФСТЭК России сведения.
——————————————————
⚠️Простыми словами, акт категориования отправлять не надо. В адрес ФСТЭК необходимо направить заполненные формы из вышеобозначенного приказа. Формы заполняются для каждого объекта КИИ: одна заполненная форма - один объект КИИ.
——————————————————
Понятное дело, что для рядя субъектов КИИ этот срок является рекомендованным, но не обязательным. И больше здесь необходимо ориентироваться на период в год, отсчитываемый с даты утверждения перечня ОКИИ, подлежащих категорированию.
До конца августа 2020 года необходимо успеть завершить категорирование объектов критической информационной инфраструктуры, утвердив соответствующий акт.
Далее сведения о результатах присвоения каждому из объектов критической информационной инфраструктуры одной из категорий значимости либо
об отсутствии необходимости присвоения ему одной из таких категорий предоставляются по форме, утверждённой приказом ФСТЭК России от 22.12.2017 № 236, в Центральный аппарат ФСТЭК России сведения.
——————————————————
⚠️Простыми словами, акт категориования отправлять не надо. В адрес ФСТЭК необходимо направить заполненные формы из вышеобозначенного приказа. Формы заполняются для каждого объекта КИИ: одна заполненная форма - один объект КИИ.
——————————————————
Понятное дело, что для рядя субъектов КИИ этот срок является рекомендованным, но не обязательным. И больше здесь необходимо ориентироваться на период в год, отсчитываемый с даты утверждения перечня ОКИИ, подлежащих категорированию.
📄 ГОСТ Р «Защита реформации. Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирования на компьютерные инциденты. Термины и определения»
ФСТЭК России представила для общественного обозрения первую редакцию проекта национального стандарта ГОСТ Р «Защита реформации. Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирования на компьютерные инциденты. Термины и определения», разработанного ЦБИ и некоей Войсковой частью 43753.
——————————————————
Странно, что данный стандарт размещён на сайте ФСТЭК России, но не ФСБ России. А как же разделение зон отвественности по реализации 187-ФЗ?
ФСТЭК России представила для общественного обозрения первую редакцию проекта национального стандарта ГОСТ Р «Защита реформации. Обнаружение, предупреждение и ликвидация последствий компьютерных атак и реагирования на компьютерные инциденты. Термины и определения», разработанного ЦБИ и некоей Войсковой частью 43753.
——————————————————
Странно, что данный стандарт размещён на сайте ФСТЭК России, но не ФСБ России. А как же разделение зон отвественности по реализации 187-ФЗ?
ГОСТ Р 58833-02020 «Защита информации. Идентификация и аутентификация. Общие положения»
Кстати, продолжая тему ГОСТов стоит отметить, что стал доступен для ознакомления ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения» в утверждённой редакции (не в проектной, хоть и финальной, что на сайте ФСТЭК России).
Напомню, что данный ГОСТ был введён 1 мая 2020 г.
Кстати, продолжая тему ГОСТов стоит отметить, что стал доступен для ознакомления ГОСТ Р 58833-2020 «Защита информации. Идентификация и аутентификация. Общие положения» в утверждённой редакции (не в проектной, хоть и финальной, что на сайте ФСТЭК России).
Напомню, что данный ГОСТ был введён 1 мая 2020 г.
🤨Минтруд и угрозы безопасности ПДн
Довольно заурядная процедура для Федеральных органов исполнительной власти, предусмотренная ч. 5 ст. 19 Федерального закона «О персональных данных», по определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с легкой руки нормотворцев из Министерства труда
и социальной защиты Российской Федерации грозит выйти за пределы исключительно подведомственных организаций и заглянуть в абсолютно любую организацию. Соответствующий проект ведомственного нормативного правового акта «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством труда и социальной защиты Российской Федерации»
представлен для общественного обсуждения.
Довольно заурядная процедура для Федеральных органов исполнительной власти, предусмотренная ч. 5 ст. 19 Федерального закона «О персональных данных», по определению угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с легкой руки нормотворцев из Министерства труда
и социальной защиты Российской Федерации грозит выйти за пределы исключительно подведомственных организаций и заглянуть в абсолютно любую организацию. Соответствующий проект ведомственного нормативного правового акта «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативно-правовое регулирование которых осуществляется Министерством труда и социальной защиты Российской Федерации»
представлен для общественного обсуждения.
📄Изменения в Положение о лицензировании деятельности по ТЗКИ
ФСТЭК России представила для общественного обсуждения проект постановления Правительства Российской Федерации «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации».
——————————————————
В принципе, там не особо много и касается оплаты госпошлины, а также понятий «дубликат» и «копия» лицензии.
ФСТЭК России представила для общественного обсуждения проект постановления Правительства Российской Федерации «О внесении изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации».
——————————————————
В принципе, там не особо много и касается оплаты госпошлины, а также понятий «дубликат» и «копия» лицензии.