Журнал "Information Security/ Информационная безопасность" #2, 2025

4 • ПРАВО И НОРМАТИВЫ Применение СКЗИ для государственных органов, унитарных предприятий и учреждений Приказ ФСБ России от 18.03.2025 № 117 "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных систе- мах государственных органов, государст- венных унитарных предприятий, госу- дарственных учреждений, с использо- ванием шифровальных (криптографи- ческих) средств" 1 был официально опуб- ликован 26 марта 2025 г. Приказ ФСБ России № 117 вступил в силу 6 апреля 2025 г. Приказом признан утратившим силу ранее действующий приказ ФСБ России от 24.10.2022 № 524 "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использо- ванием шифровальных (криптографи- ческих) средств". В качестве основного отличия в тре- бованиях по защите, обновленных при- казом ФСБ России № 117, следует отметить расширение действия доку- мента. Теперь не только данные, содержащиеся в государственных информационных системах, подлежит защите с использованием шифроваль- ных (криптографических) средств защиты информации, но также данные, содержащиеся в иных информацион- ных системах государственных орга- нов, государственных унитарных пред- приятий, государственных учрежде- ний. Требования по обезличиванию ПДн от Роскомнадзора Для общественного обсуждения 27 марта 2025 г. был представлен проект приказа Роскомнадзора "Об утвержде- нии требований к обезличиванию пер- сональных данных и методов обезличи- вания персональных данных, за исклю- чением случаев, указанных в п. 9.1 ч. 1 ст. 6 Федерального закона "О персо- нальных данных" 2 . Публичные обсужде- ния прошли с 27 марта по 16 апреля 2025 г., по их результатам был пред- ставлен доработанный проект приказа. Проект приказа разработан в соот- ветствии с ч. 12 ст. 23 Федерального закона от 27.07.2006 № 152–ФЗ "О пер- сональных данных", которая вступает в силу с 01.09.2025. В пояснительной записке к проекту приказа отмечается, что требования и методы по обезличи- ванию персональных данных, утвержден- ные приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) от 05.09.2013 № 996, предъявляемые к операторам, являю- щимся государственными или муници- пальными органами, нуждаются в актуа- лизации. Ввиду чего проектом приказа предлагается признать приказ Роском- надзора от 05.09.2013 № 996 утратив- шим силу. Проектом приказа на осуществляю- щего обезличивание ПДн оператора воз- лагается обязанность: l использовать методы обезличивания ПДн, установленные проектом приказа; l осуществлять оценку достаточности выбранных методов обезличивания ПДн; l вести учет осуществляемых действий по обезличиванию ПДн действий (опе- раций), совершаемых с ПДн, получен- ными в результате обезличивания, в определенной им форме, позволяющей обеспечить их подтверждение; l принять локальные акты, определяю- щие порядок обработки ПДн, подлежа- щих обезличиванию, осуществления дея- тельности по обезличиванию ПДн, оцен- ки достаточности применяемого метода (методов) обезличивания ПДн, обработки ПДн, полученных в результате обез- личивания ПДн; l исключить доступ третьих лиц к внут- ренним документам, информации об используемом методе (методах) обез- личивания ПДн, используемых информа- ционных системах и (или) программах для электронных вычислительных машин для обезличивания ПДн, а равно иной информации о процедуре проведения обезличивания ПДн, определенной опе- ратором. При осуществлении обезличивания ПДн подлежат применению по отдель- ности или в совокупности следующие методы обезличивания ПДн: l метод введения идентификаторов ПДн, подлежащих обезличиванию; l метод изменения состава или семан- тики ПДн, подлежащих обезличиванию; l метод перемешивания ПДн; l метод декомпозиции ПДн, подлежа- щих обезличиванию. Предоставление сведений о категорировании для банковской сферы и иных сфер финансового рынка Информационным сообщение от 12 марта 2025 г. № 240/82/672 3 ФСТЭК России сообщает о порядке представ- ления субъектами критической инфор- мационной инфраструктуры сведений о присвоении объектам КИИ одной из категорий значимости либо не присвое- ния им одной из таких категорий. В части субъектов КИИ, осуществ- ляющих деятельность в банковской сфере и иных сферах финансового рынка, являющихся кредитными орга- Обзор изменений в законодательстве обзоре изменений законодательства за март 2025 г. рассмотрим обновленный приказ от ФСБ России о применении СКЗИ, про- ект требований по обезличиванию ПДн от Роскомнадзора, порядок предоставления сведений о категорировании для финансового сектора, новые ГОСТы по защите информации, а также новое положение Банка России на замену Положения Банка России от 17.04.2019 № 683-П. В Анастасия Заведенская, независимый эксперт по информационной безопасности Март-2025 1 http://publication.pravo.gov.ru/document/0001202503260008) 2 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=155867 3 (https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii- ot-12-marta-2025-g-n-240-82-672 Фото: Анастасия Заведенская