Журнал "Information Security/ Информационная безопасность" #3, 2021

8 • ПРАВО И НОРМАТИВЫ осуществлении контроля (надзора) под- надзорные объекты классифицируются по одной из следующих категорий риска причинения вреда (ущерба) (далее – кате- гории риска): l высокий риск; l значительный риск; l средний риск; l умеренный риск; l низкий риск. Единая биометрическая система ФСБ России представила для обще- ственного обсуждения проект постанов- ления Правительства Российской Феде- рации "О порядке осуществления феде- ральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты инфор- мации, контроля и надзора за выполне- нием органами, организациями, индиви- дуальными предпринимателями, нота- риусами, указанными в части 18.2 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ, организа- ционных и технических мер по обеспече- нию безопасности персональных данных с использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ" 14 (далее – проект ПП РФ). Общественные обсужде- ния пройдут до 15 июля 2021 г. Проект ПП РФ направлен на опреде- ление порядка осуществления ФСБ России и ФСТЭК России мероприятий по контролю за выполнением органи- зационных и технических мер по обес- печению безопасности ПДн и исполь- зованием СрЗИ в единой биометриче- ской системе (ЕБС). Контроль прово- дится в целях проверки соблюдения государственными органами, органами местного самоуправления, организа- циями, индивидуальными предприни- мателями и нотариусами требований по обеспечению безопасности ПДн. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения В конце июня 2021 г. на сайте Рос- комнадзора опубликована информация о действии с 1 июля 2021 г. сервиса для операторов ПДн 15 , позволяющего опе- ратору ПДн подготовить шаблон формы согласия на обработку ПДн, разрешен- ных субъектом ПДн для распростране- ния, с учетом профессиональной специ- фики деятельности оператора. Сформированный шаблон формы согласия оператор по желанию может направить в Роскомнадзор для получе- ния рекомендаций по формированию такого согласия. Полученные рекомен- дации Роскомнадзора можно учесть при использовании указанного шаблона для непосредственного получения согласия от субъекта ПДн в соответствии с п.1 ч.6 ст.10.1 ФЗ № 152. Напомним, что с 1 сентября 2021 г. для операторов вступают в силу обяза- тельные требования к форме согласия на обработку ПДн, разрешенных для распространения. Обязанность опера- торов получать отдельное согласие граж- данина на распространение его ПДн установлена Федеральным законом от 30 декабря 2020 г. № 519-ФЗ "О внесе- нии изменений в Федеральный закон "О персональных данных", который всту- пил в силу 1 марта 2021 г. Электронная подпись (ЭП) Приказ ФСБ России от 01.05.2021 № 171 "Об утверждении организацион- но-технических требований в области информационной безопасности к дове- ренным лицам удостоверяющего центра федерального органа исполнительной власти, уполномоченного на осуществ- ление государственной регистрации юри- дических лиц" 16 (далее – приказ ФСБ России № 171) официально опубликован 1 июня 2021 г. Приказ ФСБ России № 171 вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г. Ниже приведем несколько требований по информационной безопасности к доверенным лицам согласно приказу ФСБ России № 171: l обеспечение контролируемой зоны в зданиях и помещениях, предназна- ченных для размещения технических средств, обеспечивающих выполнение доверенным лицом своих функций; l организация и ведение учета машин- ных носителей информации, используе- мых средствами криптографической защиты информации (далее – СКЗИ), включая средства ЭП, а также обес- печение их защиты от несанкциониро- ванного доступа; l соблюдение требований эксплуата- ционной документации на используемые СКЗИ, включая средства ЭП; l применение для выполнения возло- женных на доверенное лицо функций ИС, аттестованных на соответствие Тре- бованиям o защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержден- ным приказом ФСТЭК России от 11 фев- раля 2013 г. № 17; l разработка, введение и утверждение локальных актов, регламентирующих меры реализации требований по инфор- мационной безопасности. Банк России. Кредитные организации В июне 2021 г. Банк России опубли- ковал проект указания "О внесении изменений в положение Банка России от 17 апреля 2019 года № 683-П "Об установлении обязательных для кре- дитных организаций требований к обеспечению защиты информации при осуществлении банковской дея- тельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (683-П)" 17 (далее – указание). Предполагается, что изменения, вносимые указанием в 683-П, должны будут вступить в силу с 1 апреля 2022 г. Приведем несколько основных пунктов изменений 683-П, предлагаемых указа- нием: 1. Требования по сертификации про- граммного обеспечения (далее – ПО) по требованиям ФСТЭК России уточнены и унифицированы с положением Банка России от 4 июня 2020 г. № 719 "О тре- бованиях к обеспечению защиты инфор- мации при осуществлении переводов денежных средств и о порядке осу- ществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств". 2. Усилены требования по оценке соответствия прикладного ПО, также зафиксирована возможность для кре- дитных организаций самостоятельно выбирать, как провести оценку соот- ветствия прикладного ПО – самостоя- тельно или с привлечением лицензиа- тов ФСТЭК России по технической защите конфиденциальной информа- ции. 3. Уточнены требования по иденти- фикации устройств клиентов, в том числе при организации удаленного доступа, а также требования по мони- торингу поведения клиентов, осуществ- ляющих операции с мобильных устройств. 4. Уточнено, что кредитные организа- ции должны осуществлять информиро- вание Банка России не только о выявлен- ных инцидентах защиты информации, но и о предпринятых мерах реагирования на инцидент. Некредитные финансовые организации Положение Банка России от 20 апреля 2021 г. № 757-П "Об уста- новлении обязательных для некре- дитных финансовых организаций тре- бований к обеспечению защиты информации при осуществлении дея- тельности в сфере финансовых рын- ков в целях противодействия осу- 14 https://regulation.gov.ru/projects#npa=117301 15 https://regulation.gov.ru/Projects/List#npa=116536 16 http://publication.pravo.gov.ru/Document/View/0001202106010058 17 https://regulation.gov.ru/projects#npa=116751