Обзор изменений в законодательстве ИТ и ИБ за январь 2025 года

Обзор подготовлен Аналитическим центром Уральского центра систем безопасности (УЦСБ).

---

В обзоре изменений за январь 2025 года рассмотрим следующие темы:

1. Персональные данные
   • Срок действия 687-П ограничивается до 1 сентября 2030 года. Представлен проект изменений, расширяющий варианты проведения мероприятий по контролю за операторами ПДн без взаимодействия с ними. Расширен перечень случаев использования биометрических ПДн, размещенных в ЕБС с использованием мобильного приложения. В 152-ФЗ внесено дополнение об обработке ПДн без согласия.
2. Безопасность финансовых организаций
   • Банк России опубликовал Методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей объектов информационной инфраструктуры организаций финансового рынка.
3. Иное
   • Вступили в силу:
     • Условия по защите информации для участников платформы цифрового рубля;
     • Положение о Гособлаке;
     • изменения в составе информации, подлежащей хранению организатором распространения информации в сети «Интернет».
   • Представлена Концепция государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий.
   • Срок осуществления лицензионного контроля в соответствии с 294-ФЗ продлен до конца 2025 года.
   • Утверждены формы согласия на обработку ПДн в соответствии с 572-ФЗ.
   • Завершился переходный период авторизации пользователей информационных ресурсов.
   • Представлен проект изменений Порядка обработки биометрических ПДн в ЕБС.
4. Деятельность ФСТЭК России
   • ФСТЭК России представила проекты приказов о порядке и сроках проведения лицензионного контроля, а также информационные сообщения о повышении безопасности СрЗИ, в состав которых входят средства контейнеризации, интерпретаторы, веб-сервера и сервера приложений.

Персональные данные

Отмена Положения об особенностях обработки ПДн без средств автоматизации

Вступило в силу ПП-12 от 18.01.2025

Изменено ПП-687 от 15.09.2008

26 января 2025 года вступило в силу постановление Правительства Российской Федерации (далее – РФ) от 18.01.2025 № 12 «О внесении изменения в постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных (далее – ПДн), осуществляемой без использования средств автоматизации» (далее – 687-П)», согласно которому срок действия 687-П ограничивается до 1 сентября 2030 года.

Изменения в госконтроле за обработкой ПДн

Проект изменений в ПП-1046 от 29.06.2021

Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) представило для общественного обсуждения проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ ‎от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой ПДн».

Проектом предлагается дополнить варианты проведения мероприятий по контролю за операторами ПДн без взаимодействия с контролируемым лицом использованием информационных систем (далее – ИС), принадлежащих контролирующему органу.

Также расширяется перечень действий, который может быть применен по отношению к оператору, если в ходе контроля без взаимодействия с оператором были выявления нарушения. В отношении оператора принимаются следующие меры:

• по прекращению обработки ПДн ‎и их уничтожению;
• направляется письмо с требованием ‎об уточнении, блокировании или уничтожении недостоверных‎ или полученных незаконным путем ПДн ‎в течение 10 рабочих дней с информированием контролирующего органа об исполнении требования либо ‎с представлением мотивированных пояснений о выявленных нарушениях требований;
• объявляется предостережение ‎о недопустимости нарушения обязательных требований и предлагается принять меры по обеспечению соблюдения обязательных требований.

Общественное обсуждение проекта завершилось 4 февраля 2025 года.

Расширение случаев использования биометрических ПДн, размещенных в ЕБС с использованием мобильного приложения

Вступило в силу ПП-15 от 18.01.2025

Изменено ПП-1067 от 15.06.2022

24 января 2025 года официально вступило в силу постановление Правительства РФ от 18.01.2025 № 15 «О внесении изменений в постановление Правительства РФ от 15.06.2022 № 1067 «О случаях и сроках использования биометрических ПДн, размещенных физическими лицами в единой информационной системе ПДн, обеспечивающей обработку, включая сбор и хранение, биометрических ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн физического лица».

Согласно изменениям биометрические ПДн, размещенные в единой биометрической системе (далее – ЕБС) с использованием мобильного приложения ЕБС, могут использоваться для:

• осуществления продажи алкогольной, табачной продукции, тонизирующих, энергетических напитков и т.д;
• подтверждения факта нахождения гражданина в живых в целях продления выплаты страховой пенсии и фиксированной выплаты гражданину РФ, проживающему за пределами территории РФ.

Изменения в 152-ФЗ

Опубликован 519-ФЗ от 28.12.2024

Изменяется 152-ФЗ от 27.07.2006

Опубликован Федеральный закон от 28.12.2024 № 519-ФЗ «О внесении изменений в статьи 10 и 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и отдельные законодательные акты РФ».

В статьи об обработке специальных категорий ПДн и биометрических ПДн вносится уточнение, что такие категории ПДн допускается обрабатывать без согласия субъекта ПДн в случаях, предусмотренных уголовно-процессуальным законодательством.

Изменения вступают в силу 1 сентября 2025 года.

Безопасность финансовых организаций

Методические рекомендации по проведению тестирования на проникновение и анализа уязвимостей

Опубликованы Метрекомендации ЦБ №2-МР от 22.01.2025

Центральный банк РФ (далее – Банк России) опубликовал Методические рекомендации от 22.01.2025 2-МР Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка.

См. Положение БР №683-П от 17.04.2019, Положение БР №757-П от 20.04.2021, Положение БР №808-П от 17.10.2022 и Положение БР №821-П от 17.08.2023

Рекомендации разработаны в целях обеспечения единого подхода к реализации организациями финансового рынка тестирования на проникновение и анализа уязвимостей автоматизированных систем (далее – АС), программного обеспечения (далее – ПО), средств вычислительной техники, телекоммуникационного оборудования в соответствии с требованиями Положений Банка России № 683-П, № 757-П, № 821-П, № 808‑П.

Целями проведения тестирования на проникновение и анализа уязвимостей могут являться:

• оценка уровня защищенности объектов информационной инфраструктуры;
• обеспечение доверия к объектам информационной инфраструктуры, в том числе входящим в критичную архитектуру.

Согласно документу организациям финансового рынка рекомендуется:

• определить границы тестирования и анализа уязвимостей, включить в них объекты информационной инфраструктуры, распространяемые клиентам для совершения финансовых операций и ПО, используемое для приема электронных сообщений, в том числе: 
  • веб-приложения дистанционного банковского обслуживания (далее – ДБО);
  • мобильные приложения ДБО;
  • мобильные приложения личных кабинетов клиентов;
  • АС, участвующие во взаимодействии с ДБО;
  • серверы приложений и систем управления базами данных;
  • специализированные клиентские приложения ДБО;

См. Метрекомендации ЦБ №18-МР от 20.12.2023

• использовать Методические рекомендации Банка России от 20.12.2023 № 18‑МР при описании наименований объектов информационной инфраструктуры;
• перед проведением тестирования на проникновение и анализа уязвимостей разработать:
  • техническое задание;
  • соглашение об ответственности сторон;
  • модель угроз информационной безопасности;
  • планы восстановления операционной надежности в случае возникновения нештатных ситуаций;

См. Метдокумент ЦБ от 02.02.2022

• руководствоваться положениями:
  • ГОСТ Р 58143-2018 «Информационная технология. Методы и средства обеспечения безопасности. Детализация анализа уязвимостей ПО в соответствии с ГОСТ Р ИСО/МЭК 15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения»;
  • Профиля защиты прикладного ПО АС и приложений кредитных организаций и некредитных финансовых организаций.

Проводить тестирование на проникновение и анализ уязвимостей можно как самостоятельно, так и с привлечением на договорной основе сторонней организации. Результаты рекомендуется оформлять в форме отчета, который будет храниться не менее 5 лет.

Привлекаемая сторонняя организация должна соответствовать следующим требованиям:

• наличие действующей лицензии на осуществление деятельности по технической защите конфиденциальной информации для оказания услуг по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации;
• наличие опыта работы по проведению тестирования на проникновение объектов информационной инфраструктуры не менее 3 лет в организациях финансового рынка, подтвержденного не менее чем тремя соответствующими завершенными договорами;
• наличие подтвержденного опыта проведения тестирования на проникновение объектов информационной инфраструктуры у привлекаемых специалистов сторонней организации не менее 3 лет.

Отметим, что ООО «УЦСБ» соответствует всем вышеперечисленным требованиям.

Иное

Защита информации для участников платформы цифрового рубля

1 января 2025 года вступили в силу Условия по защите информации для участников платформы цифрового рубля (далее – Условия). Подробнее с Условиями можно ознакомиться в обзоре изменений законодательства за май 2024 года, подготовленном Аналитическим центром УЦСБ.

Продление лицензионного контроля в соответствии с 294-ФЗ

Вступило в силу ПП-1931 от 27.12.2024

Изменены ПП-79 от 03.02.2012, ПП-171 от 03.03.2012

См. 294-ФЗ от 26.12.2008

Вступило в силу постановление Правительства РФ от 27.12.2024 №1931 «О внесении изменений в некоторые акты Правительства РФ», согласно которому лицензионный контроль за:

• разработкой и производством средств защиты конфиденциальной информации (постановление Правительства РФ от 03.03.2012 №171);
• деятельностью по технической защите конфиденциальной информации (постановление Правительства РФ от 03.02.2012 № 79), продолжает осуществляться в соответствии с Федеральным законом от 26.12.2008 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (далее – 294-ФЗ) до 31 декабря 2025 года.

Напомним, что ранее срок осуществления контроля в соответствии с 294-ФЗ был ограничен до 31 декабря 2024 года включительно.

Утверждение форм согласий на обработку ПДн в соответствии с 572-ФЗ

Вступило в силу РП-856-р от 09.04.2024

Изменено РП-1322-р от 30.06.2018

1 января 2025 года вступило в силу распоряжение Правительства РФ от 09.04.2024 № 856-р, которое вносит изменения в распоряжение Правительства РФ от 30.06.2018 № 1322-р «Об утверждении формы согласия на обработку ПДн, необходимых для регистрации гражданина РФ в единой системе идентификации и аутентификации, и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических ПДн гражданина РФ в единой информационной системе ПДн, их проверку и передачу информации о степени их соответствия предоставленным биометрическим ПДн гражданина РФ».

Подробнее с изменениями можно ознакомиться в обзоре изменений законодательства за апрель 2024 года, подготовленном Аналитическим центром УЦСБ.

Государственная облачная платформа

Вступило в силу ПП-929 от 10.07.2024

1 января 2025 года вступило в силу постановление Правительства РФ от 10.07.2024 № 929 «Об утверждении Положения о государственной единой облачной платформе (далее – Гособлако)».

Подробнее с целью создания, задачами, которые решает Гособлако, и его возможностями можно ознакомиться в обзореизменений законодательства за июль 2024 года, подготовленном Аналитическим центром УЦСБ.

Концепция государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий

Опубликовано РП-4154-р от 30.12.2024

Опубликовано Распоряжение Правительства РФ от 30.12.2024 № 4154-р об утверждении Концепции государственной системы противодействия противоправным деяниям, совершаемым с использованием информационно-коммуникационных технологий.

Задачами системы являются:

• прогнозирование и выявление противоправных деяний;
• повышение результативности расследования преступлений, совершаемых с использованием информационно-коммуникационных технологий;
• совершенствование законодательства в сфере противодействия противоправным деяниям;
• разработка и реализация правовых, организационных, технических и иных мер противодействия противоправным деяниям;
• сбор, обработка, анализ и обмен информацией в сфере противодействия противоправным деяниям;
• создание подразделений, специализирующихся на противодействии противоправным деяниям и иные.

Для выполнения задач планируется, что система будет реализовывать следующие функции:

• обеспечивать оперативный обмен информацией между правоохранительными органами, Банком России, кредитными организациями, а также операторами связи (за исключением случаев, когда произошли компьютерная атака или компьютерный инцидент);
• проведение мониторинга и ограничение доступа к противоправным ресурсам в информационно-телекоммуникационных сетях;
• обеспечение эффективного применения норм законодательства в сфере противодействия противоправным деяниям, в том числе проведение систематического мониторинга правоприменительной практики в данной сфере;
• совершенствование вопросов, связанных с порядком выпуска, обращения и реализации ограничительных процедур в отношении цифровой валюты;
• реализация механизма оперативного приостановления операций с денежными средствами, использовавшимися в преступной деятельности и иные.

Изменения в составе информации, подлежащей хранению организатором распространения информации в сети «Интернет»

Вступило в силу ПП-1348 от 09.10.2024

Изменено ПП-1526 от 23.09.2020

1 января 2025 года вступило в силу постановление Правительства РФ от 09.10.2024 № 1348 «О внесении изменений в постановление правительства РФ от 23.09.2020 № 1526», согласно которому вносятся изменения в состав информации, подлежащей хранению организатором распространения информации в сети «Интернет» при обеспечении функционирования коммуникационного интернет-сервиса.

Подробнее изменениями можно ознакомиться в обзоре изменений законодательства за октябрь 2024 года, подготовленном Аналитическим центром УЦСБ.

Завершение переходного периода авторизации пользователей информационных ресурсов

См. 588-ФЗ от 12.12.2023, 149-ФЗ от 27.07.2006

1 января 2025 года завершился переходный период, установленный Федеральным законом от 12.12.2023 № 588-ФЗ «О внесении изменения в статью 8 Федерального закона «Об информации, информационных технологиях и о защите информации», в течение которого владелец ИС, ПО или ресурсов в сети «Интернет» мог проводить авторизацию пользователей с использованием собственной ИС, обеспечивающей авторизацию.

По истечении переходного периода использовать ИС, обеспечивающие авторизацию пользователей информационных ресурсов, можно только при условии, что ее владельцем является:

• гражданин РФ, не имеющий гражданства другого государства;
• юридическое лицо, находящееся под контролем РФ, субъекта РФ, муниципального образования, гражданина РФ, не имеющего гражданства другого государства.

Изменения в Порядке обработки биометрических ПДн в ЕБС

Проект изменений в Приказ Минцифры №453 от 12.05.2023

См. 572-ФЗ от 29.12.2022

Минцифры России представило для общественного обсуждения проект приказа «О внесении изменений в Порядокобработки, включая сбор, хранение, биометрических ПДн, в том числе требования к параметрам биометрических ПДн, и в Порядок размещения и обновления биометрических ПДн в ЕБС, ‎а также случаи и сроки использования биометрических ПДн при их размещении в ЕБС в соответствии с ч. 14 ст. 4 Федерального закона от 29.12.2022 № 572-ФЗ», утвержденные приказом Минцифры России от 12.05.2023 ‎№ 453».

Проектом предлагается:

• увеличить срок, после которого необходимо обновить биометрические ПДн в ЕБС, с 2 до 4 лет, если ПДн были размещены государственными органами, Банком России, организациями финансового рынка, иными организациями, индивидуальными предпринимателями, нотариусами;
• в случае изменения ряда требований к параметрам биометрических ПДн обязать оператора ЕБС осуществлять проверку параметров биометрических ПДн, размещенных в ЕБС совместно с идентификатором учетной записи в единой системе идентификации и аутентификации, на соответствие обновленным требованиям;
• изменить ряд параметров, которым должны соответствовать записи голоса, размещаемые в ЕБС, в частности:
  • исключить требование о произнесении физическим лицом последовательности букв или цифр, сгенерированной ПО, а также требование о произнесении текста физическим лицом на русском языке;
  • уточнить, что запись голоса должна содержать длину чистой речи не менее 30 секунд;
  • изменить ряд параметров, которым должно соответствовать изображение лица, размещаемое в ЕБС. 

Планируется, что в случае принятия, приказ будет действовать до 1 июня 2029 года. Общественное обсуждение проекта приказа завершилось 27 января 2025 года.

Деятельность ФСТЭК России

Сроки и последовательность лицензионного контроля ФСТЭК России

Проекты Приказов ФСТЭК России

Федеральная служба по техническому ‎и экспортному контролю РФ (далее – ФСТЭК России) представила проекты приказов:

• Об утверждении сроков и последовательности административных процедур при осуществлении ФСТЭК России и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации;
• Об утверждении сроков и последовательности административных процедур при осуществлении ФСТЭК России и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)

Проектами приказов закрепляется, что при осуществлении лицензионного контроля в отношении лицензиатов проводятся плановые (внеплановые) документарные и (или) выездные проверки. Для проведения проверки ФСТЭК России назначаются не менее двух должностных лиц. По решению директора ФСТЭК России или руководителя территориального органа к проведению выездной проверки могут привлекаться сторонние по отношению к проверяемому лицу эксперты и экспертные организации.

Срок проведения проверки не может превышать 20 рабочих дней. Однако, для ряда лицензиатов установлены иные максимальные сроки проведения плановых выездных проверок. Так для лицензиатов, являющихся:

• малым предприятием – 50 часов в год;
• микропредприятием – 15 часов в год;
• юридическим лицом, которое осуществляет свою деятельность ‎на территориях нескольких субъектов РФ – устанавливается отдельно по каждому филиалу/ обособленному структурному подразделению, но не более 60 рабочих дней.

В исключительных случаях, связанных с необходимостью проведения сложных или длительных проверок, на основании мотивированных предложений проверяющих срок проведения выездной плановой проверки, может быть продлен.

Также проектами закрепляются порядки проведения проверок, оформления результатов проверок и осуществления контроля за устранением лицензиатом выявленных нарушений лицензионных требований.

Общественное обсуждение проектов завершится 12 февраля 2025 года.

Повышение безопасности СрЗИ, в составе которых средства контейнеризации или образы контейнеров

Опубликовано Информационное сообщение ФСТЭК России №240-24-38 от 13.01.2025

На официальном сайте ФСТЭК России опубликовано Информационное сообщение от 13.01.2025 № 240/24/38 «О повышении безопасности средств защиты информации (далее – СрЗИ), в состав которых разработчики включают средства контейнеризации или образы контейнеров».

В целях повышения безопасности СрЗИ в контейнерном исполнении изготовителям при разработке и сертификации необходимо:

• использовать сертифицированное средство контейнеризации, если оно не входит в состав СрЗИ и используется в качестве среды его функционирования;
• провести инвентаризацию образов контейнеров, входящих в СрЗИ, а также ПО из состава образов контейнеров. Перечень образов контейнеров должен быть приведен в проектной документации;
• обеспечить контроль целостности образов контейнеров и исполняемых файлов, осуществляется средством самостоятельно, с использованием средства контейнеризации или сертифицированного средства контроля целостности;
• обеспечить совместимость ПО, входящего в состав образов контейнеров, с хостовыми операционными системами (далее – ОС), указанными в эксплуатационной документации в качестве среды функционирования;
• обеспечить запуск контейнеров с полномочиями, минимально необходимыми для функционирования СрЗИ;
• обеспечить управление доступом между компонентами СрЗИ (контейнерами, микросервисами, иными ресурсами), компонентами среды функционирования, внешними по отношению к средству компонентами в соответствии с заданными разработчиком средства правилами. Правила доступа, содержащие разрешенный список действий, должны быть описаны в документации.

Повышение безопасности СрЗИ, в составе которых интерпретаторы, веб‑сервера и сервера приложений

Опубликовано Информационное сообщение ФСТЭК России №240-24-39 от 10.01.2025

На официальном сайте ФСТЭК России опубликовано Информационное сообщение от 10.01.2025 № 240/24/39 «О повышении безопасности СрЗИ, в состав которых разработчики включают интерпретаторы (компоненты среды функционирования интерпретируемых языков или языков, компилируемых в промежуточное представление), веб-сервера и сервера приложений (далее – программные компоненты) или задействуют для реализации функциональных возможностей средств данные программные компоненты из состава среды функционирования».

В целях повышения безопасности СрЗИ, использующих указанные программные компоненты, при разработке и сертификации необходимо:

• в случае использования в СрЗИ для реализации функций безопасности или в составе поверхности атаки СрЗИ программных компонентов из состава среды функционирования СрЗИ сертифицировать их по требованиям безопасности информации (могут быть сертифицированы самостоятельно, в составе среды функционирования СрЗИ или в составе СрЗИ);
• в случае включения в состав ОС несертифицированных программных компонентов, ко всем функциям по безопасности, содержащихся в программных компонентах, предъявить требования по безопасности информации и включить их в технические условия на ОС, выполнение которых проверяется при проведении сертификационных испытаний;
• в случае включения в состав иных СрЗИ несертифицированных программных компонентов, сертифицировать их в составе СрЗИ в части задействования данных компонентов при реализации функций безопасности СрЗИ или в поверхности атаки СрЗИ;
• наделять программные компоненты минимально необходимыми для функционирования СрЗИ полномочиями;
• обеспечить выполнение программными компонентами кода либо входящего в состав СрЗИ, либо допущенного к выполнению посредством документированных функциональных возможностей СрЗИ (если программными компонентами предусмотрена возможность по выполнению кода);
• включить в эксплуатационную документацию сведения о всех функциональных возможностях, в том числе функциях безопасности, параметрах их безопасной конфигурации, настройки и эксплуатации, а также рекомендации по контролю безопасной конфигурации и настройки средств.

---

Источник: www.ussc.ru