Журнал "Information Security/ Информационная безопасность" #2, 2021

Изменения в системе сертификации ФСТЭК России ФСТЭК России 22 марта 2021 г. пред- ставила на общественное обсуждение проект приказа "О внесении изменений в Положение о системе сертификации средств защиты информации, утвер- жденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55" 1 (далее – про- ект приказа). Проектом приказа предусмотрено вне- сение изменений в систему сертифика- ции ФСТЭК России, направленных на уточнение требований при сертификации средств защиты информации (далее – СрЗИ) и маркировании СрЗИ. Приведем некоторые из проектных изменений: 1. Прямо указано, что серийно про- изводимые СрЗИ считаются сертифи- цированными, если они произведены в период срока действия сертификата соответствия. Отмечается также, что обязательным условием действия сер- тификата соответствия является наличие технической поддержки. 2. Из требований предлагается исклю- чить дефиницию "знаки соответствия", заменив ее "идентификаторами" регла- ментированного содержания по наличию групп знаков. Таким образом, предлага- ется упразднить процедуру маркирова- ния производимых сертифицированных СрЗИ специальными защитными знака- ми, выдаваемыми ФСТЭК России. Позднее, 8 апреля 2021 г., проект приказа 2 был повторно опубликован в несколько иной форме. Упомяну- тые выше изменения все так же остались актуальными, однако дополнительно появилось требова- ние о ежегодном отчете заявителями во ФСТЭК России по произведенным и/или промаркированным сертифи- цированным СрЗИ. Предлагается также проводить сертификационные испытания по сокращенной програм- ме при продлении срока действия сертификата. Изменения в законодательстве о персональных данных С 1 марта в законную силу вступил Федеральный закон "О внесении изме- нений в Федеральный закон "О персо- нальных данных" от 30.12.2020 г. №519-ФЗ, меняющий понятийный аппарат Феде- рального закона "О персональных дан- ных" от 27.07.2006 г. № 152-ФЗ, обзор которого мы делали в предыдущем номере 3 . Кроме того, с 27.03.2021 г. вступили в силу изменения в ст. 13.11 КоАП РФ, устанавливающую ответственность за нарушение требований по обработке персональных данных: l все штрафы увеличены ровно в два раза; l добавлено три новых состава, так называемые рецидивы (повторное совер- шение административного правонару- шения); l удалена такая мера административ- ного наказания, как предупреждение. Информационная система Роскомнадзора В марте 2021 г. Роскомнадзор опуб- ликовал проект ведомственного приказа "Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций" 4 (далее – проект приказа РКН). Изначальная версия проекта дан- ного приказа получила большое коли- чество отрицательных предложений 5 по итогам размещения его текста, ввиду чего было принято решение о доработке проекта приказа. Напомним, что проект приказа РКН направлен на реализацию ст. 10.1 Феде- рального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных", вступившей в силу 1 марта 2021 г. Согласно данной статье с 1 июля 2021 г. согласие на обработку персональных данных (далее – ПДн), разрешенных субъектом ПДн для распространения, может быть предоставлено оператору с использованием информационной систе- мы Роскомнадзора (далее – ИС). Проект приказа РКН как раз устанавливает пра- вила использования данной ИС. Стоит отметить также, что на момент написания обзора изменений законодательства ИС еще не введена в действие. ИС должна обеспечить: l возможность подачи и отзыва согла- сия субъектом ПДн; l возможность приема и получения согласия оператором; 4 • ПРАВО И НОРМАТИВЫ Обзор изменений в законодательстве Импортозамещение столкнулось с реальностью Март-2021 обзоре изменений законодательства за этот период рассмотрим предлагаемые изменения в системе сертификации средств защиты от ФСТЭК России, вступившие в силу изменения в законодательство о персональных данных, а также проект требования к новой информационной системе РКН. Немного поговорим об увеличении срока согласования надзорными органами документации на ГИС, о форме квалифицированного сертификата ключа проверки ЭП и об аналитике типов компьютерныхм атак от Банка России. В Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности 1 https://regulation.gov.ru/Projects/List#npa=114305 2 https://regulation.gov.ru/Projects/List#npa=114881 3 См. Заведенская А.А. Обзор изменений в законодательстве. Январь, февраль – 2021 // Information Security/ Информационная безопасность. 2021. № 1. С. 14–19. 4 https://regulation.gov.ru/Projects/List#npa=114484 5 https://regulation.gov.ru/Projects/List#npa=114371