Журнал "Information Security/ Информационная безопасность" #2, 2020

Обработка персональных данных, которые получены в результате обезличивания ПДн в целях исполнения 123-ФЗ, будет разрешена без получения согласия субъекта ПДн. ФСТЭК России информи- рует о разработке методиче- ского документа "Методика моделирования угроз без- опасности информации". Предложения и замечания по проекту Методики моде- лирования угроз безопасно- сти информации принима- лись до 30 апреля 2020 г. Из основных моментов также стоит отметить, что Методику необходимо будет применять для моделирова- ния УБИ в ИСПДн, инфор- мационных системах, авто- матизированных системах управления, информацион- но-телекоммуникационных сетях, в том числе отнесен- ных к объектам КИИ, в информационно-телеком- муникационных инфраструк- турах центров обработки данных и облачных инфра- структурах. 2. Перечень объектов КИИ, подлежащих категорирова- нию, необходимо направлять в печатном и электронном виде (формат .ods и (или) . odt). 3. Уведомлять ФСТЭК России об отсутствии объектов КИИ или о том, что организация не является субъектом КИИ, не нужно. 4. Сведения о результатах категорирования необходимо направлять во ФСТЭК России в бумажном виде с приложени- ем электронных копий в фор- мате файлов электронных таб- лиц (формат .ods). 5. Обязательный для госу- дарственных организаций срок (для иных субъектов КИИ срок носит рекомендательный харак- тер) по утверждению перечней объектов КИИ, подлежащих категорированию, истек 1 сен- тября 2019 г. Как следствие, категорирование объектов КИИ должно быть завершено к 1 сен- тября 2020 г. Изменения в законе "О персональных данных" Федеральный закон от 24.04.2020 г. № 123-ФЗ "О про- ведении эксперимента по уста- новлению специального регу- лирования в целях создания необходимых условий для раз- работки и внедрения техноло- гий искусственного интеллекта в субъекте Российской Феде- рации – городе федерального значения Москве – и внесении изменений в статьи 6 и 10 Федерального закона "О пер- сональных данных" 15 (далее – 123-ФЗ) опубликован 24 апреля 2020 г. Согласно 123-ФЗ в Феде- ральный закон от 27.07.2006 г. № 152-ФЗ "О персональных данных" вносятся изменения, вступающие в силу с 1 июля 2020 г. Обработка персональ- ных данных (далее – ПДн), в том числе касающихся состояния здоровья, что является специальной кате- горий ПДн, которые получены в результате обезличивания ПДн в целях исполнения 123-ФЗ, будет разрешена без получения согласия субъекта ПДн. Проект Методики моделирования угроз безопасности информации ФСТЭК России информиру- ет 16 о разработке методического документа "Методика модели- рования угроз безопасности информации" 17 . Предложения и замечания по проекту Мето- дики моделирования угроз без- опасности информации (далее – УБИ) принимались до 30 апреля 2020 г. Для того чтобы новую Мето- дику моделирования УБИ можно было применять, плани- руется модернизация раздела "Угрозы" банка данных угроз безопасности информации ФСТЭК России (далее – БДУ ФСТЭК России). Как видно из текста проекта Методики, как минимум планируется добавить в БДУ ФСТЭК России тактики и соответствующие им техники (способы), использование кото- рых возможно нарушителем при реализации УБИ. Из основных моментов также стоит отметить, что Методику необходимо будет применять для моделирования УБИ в ИСПДн, информационных системах, автоматизированных системах управления, инфор- мационно-телекоммуникацион- ных сетях, в том числе отнесен- ных к объектам КИИ, в инфор- мационно-телекоммуникацион- ных инфраструктурах центров обработки данных и облачных инфраструктурах, защита информации в которых или без- опасность которых обеспечива- ется в соответствии с требова- ниями по защите информации (обеспечению безопасности), утвержденными ФСТЭК России в пределах своей компетенции. При этом Методика определе- ния актуальных угроз безопас- ности ПДн при их обработке в ИСПДн (ФСТЭК России, 2008 г.) и Методика определе- ния актуальных угроз безопас- ности информации в ключевых системах информационной инфраструктуры (ФСТЭК Рос- сии, 2007 г.) в случае утвержде- ния рассматриваемого проекта Методики будут отменены. Важные моменты рассматри- ваемого проекта Методики моделирования УБИ: 1. Моделирование УБИ долж- но проводиться с учетом при- меняемых в системах и сетях СрЗИ. Однако при этом необхо- димо учитывать возможность наличия в организации работ и применяемых СрЗИ уязвимо- стей, которые могут использо- ваться для реализации УБИ. 2. Для моделирования УБИ возможно привлечение органи- заций, имеющих лицензию ФСТЭК России на деятельность по ТЗКИ. 3. Ведение модели угроз и поддержание ее в актуальном состоянии может осуществлять- ся в электронном виде. 4. Негативные последствия необходимо будет определять на основе оценки ущерба (рис- ков) от нарушения основных критических процессов. 5. Предусмотрены рекомен- дации по формированию экс- пертной группы (состоящей минимум из трех экспертов) и проведению экспертной оценки. 6. При моделировании УБИ на этапе эксплуатации систем и сетей возможность иденти- фикации и использования уязвимостей оценивается по результатам контроля защи- щенности систем и сетей (тести- рований на проникновение). l • 21 ПРАВО И НОРМАТИВЫ www.itsec.ru 15 http://publication.pravo.gov.ru/Document/View/ 0001202004240030 16 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analitich- eskie-materialy/2071-informatsionnoe-soobshchenie-fstek-rossii-ot-9- aprelya-2020-g-n-240-22-1534 17 https://fstec.ru/component/attachments/download/2727/ Ваше мнение и вопросы присылайте по адресу is@groteck.ru