Журнал "Information Security/ Информационная безопасность" #6, 2020

Изменение процедуры лицензирования С 1 января 2021 г. вступят в силу при- каз ФСТЭК России от 02.12.2020 г. № 141 "О внесении изменений в Адми- нистративный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государст- венной услуги по лицензированию дея- тельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 № 133" 10 (далее – приказ № 141) и приказ ФСТЭК России от 02.12.2020 г. № 142 "О внесе- нии изменений в Административный рег- ламент Федеральной службы по техни- ческому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 № 134" 11 (далее – приказ № 142). Приказ № 141 и приказ № 142 вносят изменения в процедуру лицензирования деятельности по разработке и производ- ству средств защиты конфиденциальной информации и по технической защите конфиденциальной информации, соот- ветственно. Основные изменения коснулись форм заявления о предоставлении, переоформ- лении и прекращении действия лицензии на осуществление деятельности по раз- работке и производству средств защиты конфиденциальной информации (по тех- нической защите конфиденциальной информации) юридическому лицу и инди- видуальному предпринимателю. Изме- нились и формы заявлений о предостав- лении сведений о лицензии и об исправ- лении опечаток и ошибок. Определен новый порядок информи- рования заявителя: уведомление о пре- доставлении, переоформлении или пре- кращении действия лицензии подписы- вается начальником управления ФСТЭК России, регистрируется и отправляется заявителю в форме электронного доку- мента, подписанного усиленной квали- фицированной электронной подписью, либо на бумажном носителе заказным почтовым отправлением с уведомлением о вручении. Одновременно с уведомле- нием заявителю могут направить выпис- ку из реестра лицензий. Изменения отменили предоставление дубликата или копии лицензии. Аттестация объектов информатизации 23 декабря 2020 г. ФСТЭК России представила проект приказа "Об утвер- ждении Порядка организации и прове- дения работ по аттестации объектов информатизации на соответствие тре- бованиям по защите информации, не составляющей государственную тайну" 12 (далее – проект приказа), который дол- жен вступить в силу 1 июня 2021 г. Проект приказа содержит порядок определения состава и содержания работ по аттестации объектов инфор- матизации (далее – ОИ) на соответствие требованиям по защите информации ограниченного доступа, не составляю- щей государственную тайну, а также требования к форме и содержанию раз- рабатываемых при проведении таких работ документов. Проект приказа распространяется на следующие ОИ: государственные и муниципальные информационные систе- мы, информационные системы управ- ления производством, используемые организациями оборонно-промышлен- ного комплекса, защищаемые помеще- ния (далее – ЗП), а также значимые объекты критической информационной инфраструктуры и автоматизированные системы управления производственны- ми и технологическими процессами на критически важных объектах, потенци- ально опасных объектах, объектах, пред- ставляющих повышенную опасность для жизни и здоровья людей и для окру- жающей природной среды, для которых при их создании установлены требова- ния к оценке соответствия требованиям по защите информации в форме атте- стации. Наряду с аттестацией ОИ в проекте приказа описывается процедура атте- стации распределенных ИС/АС, имею- щих клиент-серверную архитектуру. В проекте приказа представлен пере- чень документов, необходимых для про- ведения работ по аттестации, а также приведены формы технического пас- порта для ИС/АС и ЗП, форма акта классификации ИС/АС, форма аттестата соответствия требованиям по защите информации. Проект приказа предусматривает выдачу аттестата соответствия на весь срок эксплуатации ОИ, если иное не установлено требованиями по защите информации, на соответствие которым проводилась аттестация ОИ. Действие аттестата соответствия может быть пре- кращено по обращению владельца ОИ, а в случае выявления нарушений по защите информации на ОИ предусмот- рена новая процедура в отношении атте- статов соответствия – приостановление их действия. При прекращении или при- остановлении действия аттестата соот- ветствия владелец ОИ обязан прекра- тить его эксплуатацию. Напомним, что на настоящий момент для всех ОИ, за исключением ГИС/МИС, аттестаты соот- ветствия действительны в течение трех лет (максимальный срок). В соответствии с новым порядком орган по аттестации в течение пяти рабочих дней со дня подписания атте- стата соответствия должен направить в электронном виде копии аттестационных документов во ФСТЭК России (террито- риальный орган). Проектом приказа предусмотрены случаи несогласия владельца ОИ с выявленными несоответствиями системы защиты информации ОИ при проведении аттестационных испытаний органом по аттестации. В описанном случае владелец ОИ направляет пись- менное обращение во ФСТЭК России, по результатам которого ФСТЭК России может провести контрольные испытания на объекте ОИ. Данный проект приказа не ссылается на ГОСТ РО 0043-003 и ГОСТ РО 0043- 004, но прослеживается схожий подход к проведению аттестационных испытаний. Изменения в 152-ФЗ "О персональных данных" В декабре 2020 г. в Государственную Думу внесен законопроект "О внесении изменений в отдельные законодатель- ные акты Российской Федерации в части обеспечения конфиденциальности све- дений о защищаемых лицах и об осу- декабрьском обзоре изменений законодательства рассмотрим изменения в процедуре лицензирования отдельных видов деятельности, проект приказа ФСТЭК России о поряд- ке организации и проведении работ по аттестации, внесение изменений в 152-ФЗ и неко- торые другие важные изменения. В Декабрь-2020 6 • ПРАВО И НОРМАТИВЫ 10 http://publication.pravo.gov.ru/Document/View/0001202012230064 11 http://publication.pravo.gov.ru/Document/View/0001202012230069 12 https://regulation.gov.ru/projects#npa=111958 Ксения Кузнецова, помощник аналитика Аналитического центра УЦСБ