Журнал "Information Security/ Информационная безопасность" #6, 2020

КоАП и КИИ В ноябре 2020 г. в Государственную Думу внесен законопроект "О внесе- нии изменений в Кодекс Российской Федерации об административных правонарушениях в части установ- ления административной ответствен- ности за нарушение законодатель- ства в области обеспечения безопас- ности критической информационной инфраструктуры Российской Феде- рации" 1 . Процесс введения административ- ной ответственности за нарушение законодательства в области обеспече- ния безопасности критической инфор- мационной инфраструктуры (КИИ) начался еще в апреле 2019 г. 2 Составы административных правонарушений в части обеспечения безопасности КИИ также были включены и в общий про- ект нового КоАП РФ в мае 2020 г. 3 Законопроект, внесенный в Госу- дарственную Думу, будет рассмотрен в первом чтении в январе 2021 г. При этом законопроектом предлагается наделить полномочиями по рассмотре- нию дел об административных право- нарушениях ФСТЭК России и ФСБ Рос- сии. Перечень предлагаемых к внесе- нию в КоАП статей за нарушение обес- печения безопасности КИИ представлен в таблице (См. табл. на стр. 10). Выписка из требований к уровням доверия ФСТЭК России информирует 4 о раз- мещении выписки из Требований по безопасности информации, устанавли- вающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий, утвер- жденных приказом ФСТЭК России от 2 июня 2020 г. № 76, для 6, 5 и 4 уровней доверия 5 (далее – Требования к уровням доверия). Напомним, что в октябре ФСТЭК Рос- сии сообщила об утверждении новой редакции Требований к уровням доверия. С 1 января 2021 г. признается утратившей силу предыдущая версия Требований к уровням доверия, установленных при- казом ФСТЭК России от 30.07.2018 г. № 131. Новая версия Требований к уров- ням доверия утверждена приказом ФСТЭК России от 02.06.2020 г. № 76 и вступает в силу с 1 января 2021 г., за исключением некоторых положений, всту- пающих в силу с 1 января 2022 г., 2024 г. и 2028 г. СКЗИ в ГИС 23 ноября 2020 г. ФСБ России опуб- ликовала для общественного обсужде- ния проект приказа "Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использо- ванием средств криптографической защиты информации" 6 . Проект приказа предлагает регламен- тировать требования к обеспечению защиты информации, не содержащей сведения, составляющие государствен- ную тайну (далее – информация), при ее обработке в государственных информа- ционных системах (ГИС) с использова- нием средств криптографической защи- ты информации (СКЗИ). Проект приказа в целом использует уже привычные в нормативном поле требования по исполь- зованию СКЗИ, установленные как поло- жением ПКЗ–2005, приказом ФАПСИ от 13.06.2001 г. № 152, так и приказом ФСБ России от 10.07.2014 г. № 378. По проекту приказа информация, содержащаяся в ГИС, подлежит защите с использованием СКЗИ в случаях: l когда законодательными и иными нор- мативными правовыми актами Россий- ской Федерации предусмотрена обязан- ность по защите информации, содержа- щейся в ГИС, с использованием СКЗИ; l когда в ГИС осуществляется передача информации по каналам связи, проходя- щим за границей контролируемой зоны; l когда в ГИС осуществляется хранение данных на носителях информации, несанкционированный доступ к которым со стороны третьих лиц не может быть исключен с помощью некриптографиче- ских методов и способов. Необходимость использования СКЗИ подлежит обоснованию в модели угроз безопасности информации и техническом задании на создание ГИС. При этом ука- занные документы, по проекту приказа, будет необходимо согласовать с ФСБ России и использовать можно только СКЗИ, сертифицированные ФСБ России. Определение класса СКЗИ для использования в ГИС, по проекту при- каза, должно быть сделано на основании уровня значимости информации, обра- батываемой в ГИС, и масштаба ГИС (см. табл. на стр. 10). Общедоступные персональные данные В ноябре 2020 г. в Государственную Думу внесен законопроект "О внесении измене- ний в Федеральный закон "О персональных данных" в части установления особенностей обработки общедоступных персональных данных" 7 (далее – законопроект). Законопроектом предлагается пол- ностью переписать ст. 8 Федерального закона от 27.07.2006 г. № 152-ФЗ "О пер- 4 • ПРАВО И НОРМАТИВЫ обзоре за ноябрь 2020 г. рассмотрим нормотворческую деятельность в области обеспечения безопасности критической информационной инфраструктуры, государственных информа- ционных систем, персональных данных и финансового сектора. В Предновогодние изменения в законодательстве Ноябрь-2020 Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности 1 https://sozd.duma.gov.ru/bill/1048574-7 2 https://187.ussc.ru/news/detail/obzor-izmeneniy-zakonodatelstva-kii-za-aprel-2019/ 3 См. Заведенская А.А. Помимо штрафов и уголовной ответственности в КИИ приходит импортозамещение, а к средствам ГосСОПКА предъявлены новые требования // Information Security/ Информационная безопасность. 2020. № 3. С. 12–15. 4 https://fstec.ru/127-lenta-novostej/2127-informatsionnoe-soobshchenie-31 5 https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/2126-vypiska-iz-trebo- vanij-po-bezopasnosti-informatsii-utverzhdennykh-prikazom-fstek-rossii-ot-2-iyunya-2020-g-n-76 6 https://regulation.gov.ru/projects#npa=110754