Каждый год регуляторы разрабатывают большое количество нормативных документов и вносят в них изменения, но 2022 год в этом отношении — особенный, как перемены касались и персональных данных, и КИИ, и требований Банка России в области информационной безопасности. О главных изменениях нормативной базы 2022 года и прогнозируемых нововведениях 2023 рассказал Павел Новожилов, руководитель группы консалтинга компании «Инфосистемы Джет».
КИИ и появление новых указов
В конце марта 2022 года появляется один из первых документов — Указ Президента РФ № 166, направленный на импортозамещение. Он запрещает в соответствии с 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» совершать закупки иностранного ПО для использования на значимых объектах КИИ.
В начале мая 2022 года Президент РФ подписал Указ № 250, но вопросы по данному документу возникают до сих пор. Всё еще не до конца ясно, как определить область действия данного Указа? Требуется ли подключение к аккредитованному центру ГосСОПКА? Когда будет утвержден порядок аккредитации таких центров? Из полезного — в рамках данного Указа со стороны Правительства РФ разработаны типовые формы положения о структурном подразделении в области ИБ и положения о заместителе руководителя организаций, на которые распространяется действие данного нормативного документа.
В конце 2022 года появились новые правила категорирования объектов КИИ, которые существенно пересматривают показатели значимости. Теперь практически любому объекту КИИ будет присвоена минимальная, третья категория значимости, согласно которой необходимо руководствоваться требованиями ФСТЭК и ФСБ России для защиты таких объектов КИИ.
Новая реформа в законодательстве РФ в области обработки персональных данных
В середине прошлого года в области обработки персональных данных произошли глобальные изменения. Рассмотрим ключевые аспекты данной реформы:
- Пересмотр подхода к трансграничной передаче ПДн. Теперь перед осуществлением такой передачи операторам необходимо направить уведомление в Роскомнадзор (РКН), за исключением установленных Правительством РФ случаев, когда уведомления не требуются. По результатам со стороны РКН может быть как запрет, так и ограничение передачи данных.
- Информирование об утечках ПДн. Для операторов, которые не подключены к ГосСОПКА, необходимо направлять уведомление через портал РКН, который, в свою очередь, перенаправляет информацию об инцидентах в ГосСОПКА. Остальные операторы могут информировать напрямую ГосСОПКА или ФинЦЕРТ (ФинЦЕРТ – для финансовых организаций).
- Со стороны РКН подготовлен приказ, содержащий требования к оценке вреда субъектам ПДн. Приказ не содержит конкретных методик, действия остаются на усмотрение оператора. Ключевой момент документа заключается в том, что регулятор определил три степени вреда, который может быть причинен субъектам в случае нарушения требований ФЗ-152 «О персональных данных».
- Затронуты вопросы уничтожения персональных данных. Если ранее в законодательстве не было явных требований к подтверждающим документам, то теперь РКН установил форму акта об уничтожении ПДн. Теперь в случае уничтожения данных из информационной системы оператор обязан подтвердить их уничтожение в виде выгрузки журнала регистрации событий в информационной системе ПДн.
Под конец года появился отдельный закон, посвященный вопросам идентификации и (или) аутентификации с использованием биометрических данных. Если ранее в ФЗ-149 «Об информации, информационных технологиях и о защите информации» вопросам обработки биометрических ПДн была посвящена одна статья, то сейчас — целый самостоятельный федеральный закон. В основном он направлен на подключение различных организаций к Единой биометрической системе.
Изменения со стороны Банка России к требованиям в области ИБ
В начале года были внесены изменения в Положения 683-П и 716-П. В основном они были направлены на улучшение и незначительную корректировку требований. Особенно ожидались изменения в части операционных рисков, по которым у кредитных организаций возникало достаточно много вопросов, что подтверждается отдельно созданным разделом на сайте Банка России.
Появились новые формы отчетности по результатам выполнения установленных требований в положениях и стандарте ГОСТ 57580.1-2017. При этом для каждого вида деятельности некредитных финансовых организаций со стороны ЦБ РФ было разработано отдельное указание. Финансовым организациям теперь предстоит отчитываться по трем направлениям: технологические меры, безопасность ПО (ОУД) и безопасность информационной инфраструктуры (по стандарту ГОСТ Р 57580.1-2017). Оценка выполнения технологических мер и безопасности ПО выполняется с использованием математического аппарата по аналогии с методикой, установленной в стандарте ГОСТ 57580.2-2018.
Для финансовых организаций со стороны ЦБ РФ появились новые требования к обеспечению операционной надежности, определенные в Положениях 787-П и 779-П. Фактически регулятор определяет явные пороговые уровни допустимого времени простоя для каждого из технологических процессов. При этом раньше со стороны регулятора были требования по созданию плана непрерывности бизнеса без конкретных показателей доступности, то есть финансовые организации могли определять их самостоятельно.
Под конец 2022 года появились два новых стандарта ГОСТ Р 57580.3-2022 и ГОСТ Р 57580.4-2022, которые впоследствии стали фундаментом операционной надежности по аналогии со стандартом ГОСТ Р 57580.1-2017. Также в конце года на смену 747-П пришло Положение 802-П, в котором особое внимание уделяется порядку осуществления трансграничных переводов денежных средств через СБП.
Чего ждать от 2023 года по регулярной части?
- Завершения давно начатой инициативы по ужесточению наказаний в случае утечки ПДн. Уже сейчас подготовлены проекты изменений в КоАП РФ в части дифференцированного подхода: до определенного порога записей, содержащих ПДн (он составляет примерно 10 000), будет назначаться фиксированная сумма штрафа, а в случае его превышения штрафные санкции буду увеличены до так называемых оборотных штрафов.
- Выполнения поручений со стороны Президента РФ, касающихся развития технологий искусственного интеллекта. При этом для данной сферы не подготовлена соответствующая база, появления которой стоит ожидать.
- Появления обязательных требований в Положениях 787-П и 779-П по выполнению стандартов ГОСТ Р 57580.3-2022 и 57580.4-2022. Это история, аналогичная той, когда появился сначала стандарт ГОСТ Р 57580.1-2017, а потом были обновлены положения Банка России (например, 683-П, 757-П и др.).
- Появления методик расчета показателей и итоговых уровней соответствия стандартов ГОСТ Р 57580.3-2022 и 57580.4-2022. Скорее всего, подход будет похож на методику оценки, установленную в стандарте ГОСТ Р 57580.2-2018.
- Коррекции процесса управления инцидентами в финансовых организациях с учетом новых требований по операционной надежности, что подтверждается обновленным документом от Банка России — стандартом СТО БР БФБО 1.5-2023.
- Изменения Положение Банка России 719-П, которое не менялось с 2020 года.
- Изменения Положения 757-П в части установления специальных требований к микрофинансовым организациям.
- Сообщество ИБ-специалистов также ожидает изменений от ФСТЭК по части унификации набора мер защиты информации, установленных в приказах ФСТЭК, а также получения автоматизированного инструмента по моделированию угроз.
- Ужесточения требований в части идентификации и аутентификации с использованием биометрических персональных данных. В конце 2022 года был подготовлен соответствующий отдельный закон по данному направлению, согласно которому планируется пересмотр всех подзаконных актов, например, финансовым организациям стоит ожидать обновления Указания Банка России в части актуальных угроз безопасности обрабатываемых биометрических данных.
Со стороны Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности одобрена программа цифровой трансформации 2023–2025 гг., в которую включены не только вопросы импортозамещения и совершенствования ИТ-технологий, но и вопросы обеспечения безопасности. В части реализации данной программы абсолютно точно стоит ожидать появления новых и изменения текущих требований в области информационной безопасности, которые будут ужесточаться.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.