На связи Катя, консультант по информационной безопасности направления «Solar Интеграция». Представляю вам наш традиционный ежемесячный дайджест с новостями из мира комплаенса в области кибербезопасности. В подборке вы узнаете о наиболее важных изменениях февраля, все новости разбиты по тематическим блокам: лицензирование деятельности, государственный контроль, использование электронной подписи, новости в области стандартизации и отраслевые изменения.
Лицензирование деятельности
1. ФСБ России утвердила формы документов, используемых службой при выдаче лицензий в соответствии с Федеральным законом от 4 мая 2011 г. № 99-Ф3. Приказ ведомства об этом (№ 35 от 31.01.2022) опубликован на официальном интернет-портале правовой информации. В документе в том числе определены оценочные листы, применяемые при оценке соответствия соискателей (лицензиатов) лицензионным требованиям, прописанным в постановлениях Правительства РФ № 171, 287, 313 и 314.
2. ФСТЭК России утвердила формы оценочных листов, с помощью которых регулятор оценивает соответствие соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации, а также по разработке и производству средств защиты конфиденциальной информации. Приказы об этом (№ 206, 207 от 28.12.2021) опубликованы на официальном интернет-портале правовой информации.
Государственный контроль
3. Роскомнадзор своим приказом (№ 253 от 24.12.2021) утвердил форму проверочного листа, который служба применяет при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных.
4. Минцифры России представило для общественного обсуждения проект ведомственного приказа, определяющего форму проверочного листа (списка контрольных вопросов), используемого министерством при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации.
5. Минцифры России утвердило перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации. Соответствующий приказ (№ 1308 от 06.12.2021) опубликован на официальном интернет-портале правовой информации.
Использование электронной подписи
6. Правительство РФ своим постановлением (№ 110 от 04.02.2022) утвердило ключевой показатель федерального государственного контроля (надзора) в сфере электронной подписи и его целевое значение. Им является увеличение доли аккредитованных удостоверяющих центров, соблюдающих установленные Федеральным законом «Об электронной подписи» требования, с 70 до 95 процентов к 2026 году.
7. Минцифры России утвердило перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи. Приказ ведомства (№ 1312 от 07.12.2021) опубликован на официальном интернет-портале правовой информации.
8. Правительство РФ приняло постановление (№ 222 от 21.02.2022), определяющее правила представления заинтересованным лицам документа о полномочиях физического лица в случае, предусмотренном частью 2 статьи 17.1 Федерального закона «Об электронной подписи».
9. Правительство РФ утвердило организационно-технические требования к порядку хранения, использования и отмены доверенностей, указанных в статьях 17.2 и 17.3 Федерального закона «Об электронной подписи». Соответствующее постановление (№ 223 от 21.02.2022) опубликовано на официальном интернет-портале правовой информации.
10. Официально опубликовано постановление Правительства РФ (№ 224 от 21.02.2022), определяющее требования к порядку предоставления доверенности в случае, предусмотренном пунктом 2 части 1 статьи 17.2 и пунктом 2 статьи 17.3 Федерального закона «Об электронной подписи».
Новости в области стандартизации
11. Определены приоритетные направления деятельности рабочей группы 1 технического комитета по стандартизации «Защита информации» (ТК 362). К ним относятся разработка классификации средств защиты информации и пересмотр национальных стандартов ГОСТ Р 52447‑2005, ГОСТ Р 53113.1‑2008 и ГОСТ Р 53113.2‑2009. Соответствующее решение председателя ТК 362 (№ 97 от 18.01.2022) опубликовано на сайте ФСТЭК России.
12. Росстандарт утвердил ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации». ГОСТ введен в действие с 1 февраля 2022 г.
13. Росстандарт утвердил ГОСТ Р 59547-2021 «Защита информации. Мониторинг информационной безопасности. Общие положения». Стандарт вступит в силу с 1 апреля 2022 г.
14. Обновлен международный стандарт по менеджменту ИБ ISO/IEC 27002:2022 «Информационная безопасность, кибербезопасность и защита конфиденциальности. Средства управления информационной безопасностью».
Отраслевые изменения
15. Центральный банк России подготовил проекты новых указаний по отчетности, которую участники финансового рынка должны предоставлять регулятору.
Проект указания для страховых компаний содержит отчетность по форме 0420175 «Сведения об оценке выполнения требования к обеспечению защиты информации страховой организацией».
Проект указания для профессиональных участников рынка ценных бумаг, организаторов торговли и клиринговых организаций вводит отчетность по форме 0420433 по выполнению требований по защите информации.
Проект указания для негосударственных пенсионных фондов содержит отчетность по форме 0420266 по защите информации.
Проект указания для операторов инвестиционных и финансовых платформ, операторов информационных систем, в которых выпускаются цифровые финансовые активы, а также операторов обмена цифровых финансовых активов содержит отчетность по форме 0420722 по защите информации.
Проект указания для бюро кредитных историй содержит две новых формы отчетности: 0420764 о выполнении требований по защите информации и 0420753 об используемых средствах защиты.
16. Минздрав России представил для общественного обсуждения проект типового положения о медицинском информационно-аналитическом центре (МИАЦ), определяющий его основные функции и задачи. В части информационной безопасности к ним относятся:
представление информации в области защиты информации в системе здравоохранения по запросам органов государственной власти субъекта РФ в сфере охраны здоровья;
организация мероприятий по повышению эффективности использования информационной инфраструктуры и средств защиты информации в системе здравоохранения субъектов РФ;
методическое сопровождение деятельности по защите информации, в том числе персональных данных, обрабатываемых в ИС медицинских организаций, ГИС в сфере здравоохранения субъекта РФ;
методическое сопровождение деятельности по обеспечению безопасности ОКИИ в сфере здравоохранения субъекта РФ.
Согласно проекту, функции и задачи МИАЦ по информационной безопасности должны осуществляться отделом защиты информации. Рекомендуемая штатная численность такого подразделения составляет не менее трех сотрудников.
Минобороны России утвердило перечень сведений Вооруженных Сил РФ, подлежащих отнесению к служебной тайне в области обороны. Соответствующий приказ об этом (№ 22 от 17.01.2022) опубликован на официальном интернет-портале правовой информации.
