Экзамен фстэк россии

ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХНИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ

ПРИКАЗ
от 10 августа 2022 г. N 137

О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В ПОРЯДОК ПРОВЕДЕНИЯ КВАЛИФИКАЦИОННОГО ЭКЗАМЕНА
НА ПОЛУЧЕНИЕ КВАЛИФИКАЦИОННОГО АТТЕСТАТА СПЕЦИАЛИСТА
В ОБЛАСТИ ЭКСПОРТНОГО КОНТРОЛЯ И ПОРЯДОК ВЫДАЧИ И ОТЗЫВА
КВАЛИФИКАЦИОННОГО АТТЕСТАТА СПЕЦИАЛИСТА В ОБЛАСТИ
ЭКСПОРТНОГО КОНТРОЛЯ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ
ФСТЭК РОССИИ ОТ 22 СЕНТЯБРЯ 2014 Г. N 107

В соответствии со статьей 6 и пунктом 4 статьи 24.1 Федерального закона от 18 июля 1999 г. N 183-ФЗ «Об экспортном контроле» (Собрание законодательства Российской Федерации, 1999, N 30, ст. 3774; 2013, N 51, ст. 6692; 2022, N 13, ст. 1962), пунктом 2 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085 (Собрание законодательства Российской Федерации, 2004, N 34, ст. 3541; 2017, N 48, ст. 7198), приказываю:

Внести изменения в Порядок проведения квалификационного экзамена на получение квалификационного аттестата специалиста в области экспортного контроля и Порядок выдачи и отзыва квалификационного аттестата специалиста в области экспортного контроля, утвержденные приказом ФСТЭК России от 22 сентября 2014 г. N 107 (зарегистрирован Министерством юстиции Российской Федерации 31 декабря 2014 г., регистрационный N 35529), согласно приложению к настоящему приказу.

Директор Федеральной службы
по техническому и экспортному контролю
В.СЕЛИН

Приложение
к приказу ФСТЭК России
от 10 августа 2022 г. N 137

ИЗМЕНЕНИЯ,
КОТОРЫЕ ВНОСЯТСЯ В ПОРЯДОК ПРОВЕДЕНИЯ КВАЛИФИКАЦИОННОГО
ЭКЗАМЕНА НА ПОЛУЧЕНИЕ КВАЛИФИКАЦИОННОГО АТТЕСТАТА
СПЕЦИАЛИСТА В ОБЛАСТИ ЭКСПОРТНОГО КОНТРОЛЯ И ПОРЯДОК
ВЫДАЧИ И ОТЗЫВА КВАЛИФИКАЦИОННОГО АТТЕСТАТА СПЕЦИАЛИСТА
В ОБЛАСТИ ЭКСПОРТНОГО КОНТРОЛЯ, УТВЕРЖДЕННЫЕ ПРИКАЗОМ
ФСТЭК РОССИИ ОТ 22 СЕНТЯБРЯ 2014 Г. N 107

1. В Порядке проведения квалификационного экзамена на получение квалификационного аттестата специалиста в области экспортного контроля, утвержденном приказом ФСТЭК России от 22 сентября 2014 г. N 107:

а) в абзаце десятом подпункта «а» пункта 6 слова «утвержденных Президентом Российской Федерации» заменить словами «утвержденных Правительством Российской Федерации»;

б) в приложении N 1 к указанному Порядку:

в пункте 26 раздела I слова «заключений о применении мер нетарифного регулирования» заменить словами «идентификационных заключений»;

раздел II изложить в следующей редакции:

«Раздел II. Перечень нормативных правовых актов,
рекомендуемых для подготовки к сдаче экзамена

1. Решение от 5 июля 2010 г. N 52 Межгосударственного Совета ЕврАзЭС (высшего органа Таможенного союза) «Об экспортном контроле государств — членов Таможенного союза» (официальный сайт Комиссии Таможенного союза www.tsouz.ru, официальный сайт ФСТЭК России: www.fstec.ru).

2. Федеральный закон от 18 июля 1999 г. N 183-ФЗ «Об экспортном контроле» (Собрание законодательства Российской Федерации, 1999, N 30, ст. 3774; 2022, N 13, ст. 1962).

3. Федеральный закон от 8 декабря 2003 г. N 164-ФЗ «Об основах государственного регулирования внешнеторговой деятельности» (Собрание законодательства Российской Федерации, 2003, N 50, ст. 4850; Официальный интернет-портал правовой информации (www.pravo.gov.ru), 2022, 14 июля, N 001202207140108).

4. Федеральный закон от 30 декабря 2006 г. N 281-ФЗ «О специальных экономических мерах и принудительных мерах» (Собрание законодательства Российской Федерации, 2007, N 1, ст. 44; 2019, N 18, ст. 2207).

5. Положение о Комиссии по экспортному контролю Российской Федерации, утвержденное Указом Президента Российской Федерации от 29 января 2001 г. N 96 «О Комиссии по экспортному контролю Российской Федерации Комиссии по экспортному контролю Российской Федерации» (Собрание законодательства Российской Федерации, 2001, N 6, ст. 550; 2005, N 18, ст. 1664).

6. Постановление Совета Министров — Правительства Российской Федерации от 11 октября 1993 г. N 1030 «О контроле за выполнением обязательств по гарантиям использования импортируемых и экспортируемых товаров (услуг) двойного применения в заявленных целях» (Собрание актов Президента и Правительства Российской Федерации, 1993, N 44, ст. 4199; Собрание законодательства Российской Федерации, 1999, N 31, ст. 4023; 2022, N 32, ст. 5857).

7. Постановление Правительства Российской Федерации от 29 февраля 2000 г. N 176 «Об утверждении Положения о государственной аккредитации организаций, создавших внутрифирменные программы экспортного контроля» (Собрание законодательства Российской Федерации, 2000, N 10, ст. 1139; 2022, N 33, ст. 5917).

8. Постановление Правительства Российской Федерации от 15 декабря 2000 г. N 973 «Об экспорте и импорте ядерных материалов, оборудования, специальных неядерных материалов и соответствующих технологий» (Собрание законодательства Российской Федерации, 2000, N 52, ст. 5153; 2022, N 32, ст. 5857).

9. Постановление Правительства Российской Федерации от 16 апреля 2001 г. N 294 «Об утверждении Правил проведения государственной экспертизы внешнеэкономических сделок с товарами, информацией, работами, услугами и результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль» (Собрание законодательства Российской Федерации, 2001, N 17, ст. 1713; 2014, N 44, ст. 6061).

10. Постановление Правительства Российской Федерации от 16 апреля 2001 г. N 296 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении оборудования, материалов и технологий, которые могут быть использованы при создании ракетного оружия» (Собрание законодательства Российской Федерации, 2001, N 17, ст. 1715; 2022, N 32, ст. 5857).

11. Постановление Правительства Российской Федерации от 7 июня 2001 г. N 447 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении товаров и технологий двойного назначения, которые могут быть использованы при создании вооружений и военной техники» (Собрание законодательства Российской Федерации, 2001, N 24, ст. 2459; 2022, N 32, ст. 5857).

12. Постановление Правительства Российской Федерации от 14 июня 2001 г. N 462 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении оборудования и материалов двойного назначения, а также соответствующих технологий, применяемых в ядерных целях» (Собрание законодательства Российской Федерации, 2001, N 26, ст. 2677; 2022, N 32, ст. 5857).

13. Постановление Правительства Российской Федерации от 21 июня 2001 г. N 477 «О системе независимой идентификационной экспертизы товаров и технологий, проводимой в целях экспортного контроля» (Собрание законодательства Российской Федерации, 2001, N 26, ст. 2687; 2022, N 32, ст. 5857).

14. Постановление Правительства Российской Федерации от 29 августа 2001 г. N 634 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении микроорганизмов, токсинов, оборудования и технологий» (Собрание законодательства Российской Федерации, 2001, N 37, ст. 3683; 2022, N 32, ст. 5857).

15. Постановление Правительства Российской Федерации от 24 сентября 2001 г. N 686 «Об утверждении Положения об осуществлении контроля за внешнеэкономической деятельностью в отношении химикатов, оборудования и технологий, которые могут быть использованы при создании химического оружия» (Собрание законодательства Российской Федерации, 2001, N 40, ст. 3843; 2022, N 32, ст. 5857).

16. Постановление Правительства Российской Федерации от 15 августа 2005 г. N 517 «О порядке получения разрешения Комиссии по экспортному контролю Российской Федерации на осуществление внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), которые могут быть использованы иностранным государством или иностранным лицом в целях создания оружия массового поражения и средств его доставки, иных видов вооружения и военной техники либо приобретаются в интересах организаций или физических лиц, причастных к террористической деятельности» (Собрание законодательства Российской Федерации, 2005, N 34, ст. 3509; 2022, N 32, ст. 5857).

17. Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 691 «Об утверждении положения о лицензировании внешнеэкономических операций с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), в отношении которых установлен экспортный контроль» (Собрание законодательства Российской Федерации, 2008, N 38, ст. 4324; 2022, N 32, ст. 5857).

18. Постановление Правительства Российской Федерации от 13 июня 2012 г. N 582 «Об утверждении Правил организации и проведения проверок российских участников внешнеэкономической деятельности, осуществляющих внешнеэкономические операции с товарами, информацией, работами, услугами, результатами интеллектуальной деятельности (правами на них), которые могут быть использованы при создании оружия массового поражения, средств его доставки, иных видов вооружения и военной техники либо при подготовке и (или) совершении террористических актов» (Собрание законодательства Российской Федерации, 2012, N 25, ст. 3378).

19. Постановление Правительства Российской Федерации от 13 июня 2012 г. N 583 «О порядке учета внешнеэкономических сделок для целей экспортного контроля» (Собрание законодательства Российской Федерации, 2012, N 25, ст. 3379; 2022, N 18, ст. 3088).

20. Постановление Правительства Российской Федерации от 21 июня 2016 г. N 565 «О порядке идентификации контролируемых товаров и технологий, форме идентификационного заключения и правилах его заполнения» (Собрание законодательства Российской Федерации, 2016, N 26, ст. 4069; 2020, N 48, ст. 7723).

21. Постановление Правительства Российской Федерации от 16 июля 2022 г. N 1285 «Об утверждении Списка ядерных материалов, оборудования, специальных неядерных материалов и соответствующих технологий, подпадающих под экспортный контроль» (Собрание законодательства Российской Федерации, 2022, N 30, ст. 5619).

22. Постановление Правительства Российской Федерации от 16 июля 2022 г. N 1288 «Об утверждении Списка оборудования, материалов и технологий, которые могут быть использованы при создании ракетного оружия и в отношении которых установлен экспортный контроль» (Собрание законодательства Российской Федерации, 2022, N 30, ст. (Собрание законодательства Российской Федерации, 2022, N 30, ст. 5622).

23. Постановление Правительства Российской Федерации от 16 июля 2022 г. N 1284 «Об утверждении Списка химикатов, оборудования и технологий, которые могут быть использованы при создании химического оружия и в отношении которых установлен экспортный контроль» (Собрание законодательства Российской Федерации, 2022, N 30, ст. 5618).

24. Постановление Правительства Российской Федерации от 16 июля 2022 г. N 1286 «Об утверждении Списка оборудования и материалов двойного назначения и соответствующих технологий, применяемых в ядерных целях, в отношении которых осуществляется экспортный контроль» (Собрание законодательства Российской Федерации, 2022, N 30, ст. 5620).

25. Постановление Правительства Российской Федерации от 16 июля 2022 г. N 1287 «Об утверждении Списка микроорганизмов, токсинов, оборудования и технологий, подлежащих экспортному контролю» (Собрание законодательства Российской Федерации, 2022, N 30, ст. 5621).

26. Постановление Правительства Российской Федерации от 19 июля 2022 г. N 1299 «Об утверждении Списка товаров и технологий двойного назначения, которые могут быть использованы при создании вооружений и военной техники и в отношении которых осуществляется экспортный контроль» (Собрание законодательства Российской Федерации, 2022, N 30, ст. 5630).

27. Приказ ФСТЭК России от 14 октября 2008 г. N 293 «Об утверждении Требований к заполнению заявления о предоставлении лицензии на осуществление внешнеэкономических операций с контролируемой продукцией и Требований к заполнению лицензии на осуществление внешнеэкономических операций с контролируемой продукцией» (зарегистрирован Минюстом России 29 октября 2008 г., регистрационный N 12540).

28. Приказ Ростехнадзора и ФСТЭК России N 299/57 от 16 мая 2012 г. «Об утверждении Административного регламента взаимодействия Федеральной службы по экологическому, технологическому и атомному надзору с Федеральной службой по техническому и экспортному контролю при осуществлении государственного контроля за целевым использованием ввозимых в Российскую Федерацию взрывчатых материалов промышленного назначения» (зарегистрирован Минюстом России 25 июля 2012 г., регистрационный N 25011).»;

в) в позиции 14 приложения N 2 к указанному Порядку слова «утвержденных указами Президента Российской Федерации» заменить словами «утвержденных постановлениями Правительства Российской Федерации».

2. В Порядке выдачи и отзыва квалификационного аттестата специалиста в области экспортного контроля, утвержденном приказом ФСТЭК России от 22 сентября 2014 г. N 107:

а) в абзаце пятом пункта 30 слова «утвержденных указами Президента Российской Федерации» заменить словами «утвержденных постановлениями Правительства Российской Федерации»;

б) в приложении к указанному Порядку слова «утвержденных Президентом Российской Федерации» заменить словами «утвержденных Правительством Российской Федерации», слова «утвержденных указами Президента Российской Федерации» заменить словами «утвержденных постановлениями Правительства Российской Федерации».

Анастасия Заведенская, 16/08/21

Автор: Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности

Май-2021

В мае 2021 г. ФСТЭК России сообщила об изменении процедур аттестации объектов информатизации, обрабатывающих информацию, составляющую государственную тайну. Официально опубликованы изменения в КоАП РФ, вносящие штрафные санкции за нарушение обеспечения безопасности КИИ, и приказы ФСБ России, касающиеся обращения с электронной подписью. Изменены сроки реализации требований, в том числе по защите информации, для систем оформления воздушных перевозок.

Аттестация объектов информатизации

Информационным сообщением от 29 апреля 2021 г. No 240/24/2087 ФСТЭК России сообщает об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, содержащей сведения, составляющие государственную тайну [1] (далее – Порядок аттестации). В этом информационном письме отмечается, что Порядок аттестации был утвержден приказом ФСТЭК России от 28 сентября 2020 г. No 110.

Порядок аттестации вступает в силу с 1 июня 2021 г. и отменяет действие следующих документов при организации и проведении работ по аттестации объектов информатизации, обрабатывающих информацию, содержащую сведения, составляющие государственную тайну:

• Положение по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 25 ноября 1994 г.;
• Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации, утвержденное председателем Гостехкомиссии России 5 января 1996 г. No 3;
• ГОСТ Р 58189–2018 Защита информации. Требования к органам по аттестации объектов информатизации;
• ГОСТ РО 0043-003–2012 Защита информации. Аттестация объектов информатизации. Общие положения.

С целью организации контроля за выполнением работ по аттестации объектов информатизации Порядком аттестации предусмотрено ведение ФСТЭК России единого реестра аттестованных объектов информатизации, а также представление организациями, проводившими аттестацию, материалов с результатами аттестационных испытаний каждого объекта информатизации в территориальные органы ФСТЭК России. В случае установления по результатам экспертизы указанных материалов факта несоответствия аттестованного объекта информатизации требованиям о защите информации действие аттестата соответствия может быть приостановлено до устранения выявленного несоответствия объекта информатизации установленным требованиям.

Перечень органов по аттестации и органов государственной власти, имеющих право проведения работ по аттестации объектов информатизации в соответствии с приказом ФСТЭК России от 28 сентября 2020 г. No 110, размещен на официальном сайте ФСТЭК России [2].

КоАП и КИИ

Федеральный закон от 26.05.2021 г. No 141-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»3 (далее – Федеральный закон) был официально опубликован 26 мая 2021 г.

Федеральный закон вступил в силу с 6 июня 2021 г., за исключением п.1 ст. 13.12 об ответственности за нарушение требований к созданию систем безопасности значимых объектов КИИ, он вступит в силу с 1 сентября 2021 г. (см. табл. 1).

В рамках Федерального закона предлагается наделить ФСТЭК России и ФСБ России полномочиями по рассмотрению дел об административных правонарушениях.

Краткая сводка статей за нарушение обеспечения безопасности КИИ, вносимых в КоАП РФ, представлена в таблице ниже.

Электронная подпись

На официальном интернет-портале правовой информации в мае 2021 г. были опубликованы приказы ФСБ России, устанавливающие требования к использованию электронной подписи:

• приказ ФСБ России от 13.04.2021 г. No 142 «О внесении изменения в приказ ФСБ России от 27 декабря 2011 г. No 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» [4] (далее – приказ ФСБ России No 142);
• приказ ФСБ России от 13.04.2021 г. No 143 «О внесении изменения в пункт 2 приказа ФСБ России от 4 декабря 2020 г. No 554 «Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи» [5] (далее – приказ ФСБ России No 143);
• приказ ФСБ России от 13.04.2021 г. No 144 «О внесении изменения в пункт 2 приказа ФСБ России от 4 декабря 2020 г. No 556 «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи» [6] (далее – приказ ФСБ России No 144);
• приказ ФСБ России от 20.04.2021 г. No 154 «Об утверждении Правил подтверждения владения ключом электронной подписи» [7] (далее – приказ ФСБ России No 154);
• приказы ФСБ России No 142, No 143, No 144 ограничивают действия приказов, в которые они, соответственно, вносят изменения до 1 января 2027 г.

Приказ ФСБ России No 154 вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г., регламентирует порядок проверки удостоверяющим центром соответствия ключа электронной подписи (далее – ЭП) ключу проверки ЭП, указанному лицом в заявлении на получение сертификата ключа проверки ЭП. Правила не распространяется на случаи, когда ключевая пара была создана удостоверяющим центром.

Автоматизированные информационные системы оформления воздушных перевозок

Постановление Правительства Российской Федерации от 30.04.2021 г. No 685 «О внесении изменения в постановление Правительства Российской Федерации от 24 июля 2019 г. No 955» [8] (далее – ПП РФ No 685) было опубликовано 6 мая 2021 г.

Постановлением Правительства РФ от 24 июля 2019 г. No 955 были утверждены требования к автоматизированным информационным системам оформления воздушных перевозок (далее – АИС ОВП), к базам данных, входящим в их состав, к информационно-телекоммуникационным сетям, обеспечивающим работу указанных автоматизированных информационных систем, к их оператору, а также меры по защите информации, содержащейся в них, и порядку их функционирования. Постановление должно было вступить в силу с 31 октября 2021 г., однако ПП РФ No 685 сдвинуло срок до 30 октября 2022 г.

Напомним, что основной акцент в контексте информационной безопасности постановление Правительства РФ от 24 июля 2019 г. No 955 делает на защите обрабатываемых персональных данных [9] (далее – ПДн) пассажиров и персонала (экипажа) транспортных средств:

1. При оформлении внутренних воздушных перевозок базы данных (далее – БД) и серверы, входящие в состав АИС ОВП, должны располагаться на территории РФ. Хотя допускается использование БД и серверов, расположенных вне территории РФ, но только при условии исключения обработки в них ПДн пассажиров, осуществляющих внутренний перелет.
2. Операторам и пользователям АИС ОВП необходимо контролировать соответствие трансграничной передачи ПДн пассажиров требованиям законодательства РФ и порядку, установленному договором между операторами и пользователями.
3. При передаче данных по общедоступным каналам связи обязательно применение сертифицированных средств криптографической защиты информации.

Июнь-2021

В июне 2021 г. регуляторы вели активную нормотворческую деятельность. В продолжение обзора изменений законодательства рассмотрим регламентацию защиты средств дистанционной работы, новые процедуры контрольно-надзорной деятельности по обработке персональных данных, требования к защите информации в финансовом секторе, штрафные санкции за разглашение информации ограниченного доступа и многое другое.

ФСТЭК России. Средства безопасной дистанционной работы

Информационным сообщением от 23 июня 2021 г. No 240/24/3057 ФСТЭК России сообщает об утверждении Требований по безопасности информации к средствам обеспечения безопасной дистанционной работы в информационных (автоматизированных) системах [10] (далее – Требования). Требования утверждены приказом ФСТЭК России от 16 февраля 2021 г. No 32.

К средствам обеспечения безопасной дистанционной работы в информационных системах (ИС)/автоматизированных системах (АC) (далее – средства дистанционной работы) относятся средства защиты информации, использующие средства вычислительной техники, не входящие в состав указанных ИС/АС. Средства дистанционной работы не имеют дифференциации и должны использовать единообразную конфигурацию вне зависимости от категории значимости объектов критической информационной инфраструктуры (далее – КИИ), класса государственных информационных систем, класса защищенности автоматизированных систем управления производственными и/или технологическими процессами, уровня защищенности информационных систем персональных данных (далее – ПДн).

Субъекты КИИ в сфере здравоохранения

Информационным сообщением от 18 июня 2021 г. N 240/82/1037 ФСТЭК России [11] рекомендует порядок представления субъектами КИИ, осуществляющими деятельность в сфере здравоохранения, перечней объектов КИИ, подлежащих категорированию (далее – перечни), сведений о результатах присвоения объектам КИИ одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий (далее – сведения).

Согласно информационному письму рассмотрение перечней и сведений осуществляется центральным аппаратом ФСТЭК России для субъектов КИИ, являющихся федеральными органами исполнительной власти, а также федеральными учреждениями здравоохранения. Управления ФСТЭК России по федеральному округу, на территории которых расположены соответствующие субъекты КИИ, осуществляют рассмотрение документов субъектов КИИ, являющихся органами власти субъектов РФ, учреждениями здравоохранения, подведомственными органам власти субъектов РФ, а также самостоятельными юридическими лицами.

Государственные информационные системы

Постановление Правительства Российской Федерации от 31.05.2021 г. No 837 «О внесении изменения в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» [12] (далее – ПП РФ No 837) официально опубликовано 1 июня 2021 г.

ПП РФ No 837 увеличивает срок рассмотрения Минцифры России, ФСБ России и ФСТЭК России технических заданий на создание государственных информационных систем, а также срок рассмотрения ФСБ России и ФСТЭК России моделей угроз безопасности информации с 10 до 20 рабочих дней.

Персональные данные. Государственный контроль (надзор)

Постановление Правительства Российской Федерации от 29.06.2021 г. No 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» [13] (далее – ПП РФ No 1046) официально опубликовано 30 июня 2021 г.

ПП РФ No 1046 вступает в силу с 1 июля 2021 г. и утверждает положение, устанавливающее порядок организации и осуществления государственного контроля (надзора) за обработкой ПДн. Как и ранее, реализация полномочий контрольно-надзорного органа осуществляется Роскомнадзором. Ранее действующее постановление Правительства Российской Федерации от 13 февраля 2019 г. No 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» признано утратившим силу.

Федеральный государственный контроль (надзор) осуществляется посредством проведения следующих контрольных (надзорных) мероприятий:

• инспекционный визит;
• документарная проверка;
• выездная проверка.

При этом согласно ПП РФ No 1046 Роскомнадзор может осуществлять мероприятия по контролю без взаимодействия с контролируемым лицом в целях предупреждения, выявления, прогнозирования и пресечения нарушения требований.

Для осуществления контроля (надзора) за обработкой вводится система оценки и управления рисками (см. табл. 2). При осуществлении контроля (надзора) поднадзорные объекты классифицируются по одной из следующих категорий риска причинения вреда (ущерба) (далее – категории риска):

• высокий риск;
• значительный риск;
• средний риск;
• умеренный риск;
• низкий риск.

Единая биометрическая система

ФСБ России представила для общественного обсуждения проект постановления Правительства Российской Федерации «О порядке осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями, нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона от 27 июля 2006 г. No 149-ФЗ, организационных и технических мер по обеспечению безопасности персональных данных с использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона от 27 июля 2006 г. No 149-ФЗ» [14] (далее – проект ПП РФ). Общественные обсуждения пройдут до 15 июля 2021 г.

Проект ПП РФ направлен на определение порядка осуществления ФСБ России и ФСТЭК России мероприятий по контролю за выполнением организационных и технических мер по обеспечению безопасности ПДн и использованием СрЗИ в единой биометрической системе (ЕБС). Контроль проводится в целях проверки соблюдения государственными органами, органами местного самоуправления, организациями, индивидуальными предпринимателями и нотариусами требований по обеспечению безопасности ПДн.

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения

В конце июня 2021 г. на сайте Роскомнадзора опубликована информация о действии с 1 июля 2021 г. сервиса для операторов ПДн [15], позволяющего оператору ПДн подготовить шаблон формы согласия на обработку ПДн, разрешенных субъектом ПДн для распространения, с учетом профессиональной специфики деятельности оператора.

Сформированный шаблон формы согласия оператор по желанию может направить в Роскомнадзор для получения рекомендаций по формированию такого согласия. Полученные рекомендации Роскомнадзора можно учесть при использовании указанного шаблона для непосредственного получения согласия от субъекта ПДн в соответствии с п.1 ч.6 ст.10.1 ФЗ No 152.

Напомним, что с 1 сентября 2021 г. для операторов вступают в силу обязательные требования к форме согласия на обработку ПДн, разрешенных для распространения. Обязанность операторов получать отдельное согласие гражданина на распространение его ПДн установлена Федеральным законом от 30 декабря 2020 г. No 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», который вступил в силу 1 марта 2021 г.

Электронная подпись (ЭП)

Приказ ФСБ России от 01.05.2021 No 171 «Об утверждении организационно-технических требований в области информационной безопасности к доверенным лицам удостоверяющего центра федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц» [16] (далее – приказ ФСБ России No 171) официально опубликован 1 июня 2021 г. Приказ ФСБ России No 171 вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г.

Ниже приведем несколько требований по информационной безопасности к доверенным лицам согласно приказу ФСБ России No 171:

• обеспечение контролируемой зоны в зданиях и помещениях, предназначенных для размещения технических средств, обеспечивающих выполнение доверенным лицом своих функций;
• организация и ведение учета машинных носителей информации, используемых средствами криптографической защиты информации (далее – СКЗИ), включая средства ЭП, а также обеспечение их защиты от несанкционированного доступа;
• соблюдение требований эксплуатационной документации на используемые СКЗИ, включая средства ЭП;
• применение для выполнения возложенных на доверенное лицо функций ИС, аттестованных на соответствие Требованиям o защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. No 17;
• разработка, введение и утверждение локальных актов, регламентирующих меры реализации требований по информационной безопасности.

Банк России. Кредитные организации

В июне 2021 г. Банк России опубликовал проект указания «О внесении изменений в положение Банка России от 17 апреля 2019 года No 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (683-П)» [17] (далее – указание). Предполагается, что изменения, вносимые указанием в 683-П, должны будут вступить в силу с 1 апреля 2022 г.

Приведем несколько основных пунктов изменений 683-П, предлагаемых указанием:

1. Требования по сертификации программного обеспечения (далее – ПО) по требованиям ФСТЭК России уточнены и унифицированы с положением Банка России от 4 июня 2020 г. No 719 «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
2. Усилены требования по оценке соответствия прикладного ПО, также зафиксирована возможность для кредитных организаций самостоятельно выбирать, как провести оценку соответствия прикладного ПО – самостоятельно или с привлечением лицензиатов ФСТЭК России по технической защите конфиденциальной информации.
3. Уточнены требования по идентификации устройств клиентов, в том числе при организации удаленного доступа, а также требования по мониторингу поведения клиентов, осуществляющих операции с мобильных устройств.
4. Уточнено, что кредитные организации должны осуществлять информирование Банка России не только о выявленных инцидентах защиты информации, но и о предпринятых мерах реагирования на инцидент.

Некредитные финансовые организации

Положение Банка России от 20 апреля 2021 г. No 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» [18] (далее – 757-П) официально опубликовано 22 июня 2021 г. 757-П вступило в силу 3 июля 2021 г. (за исключением отдельных положений) и отменило предыдущее положение Банка России от 17 апреля 2019 г. No 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».

Основные изменения, вносимые 757-П для некредитных финансовых организаций:

1. Изменились критерии исполнения ГОСТ Р 57580.1–2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (далее – ГОСТ Р 57580.1): произошло перераспределение, какие организации какой уровень защиты по ГОСТ Р 57580.1 должны реализовать. Для части организаций понижен уровень соответствия со второго (стандартного) до третьего (минимального) уровня по ГОСТ Р 57580.1, а регистраторы финансовых транзакций должны соответствовать первому (усиленному) уровню по ГОСТ Р 57580.1 (с 1 января 2022 г.). Добавились требования для организаций по соответствию третьему (минимальному) уровню по ГОСТ Р 57580.1.
2. Определять уровень защиты информации нужно теперь не позднее 10-го рабочего дня в году (ранее была формулировка о первом рабочем дне).
3. Оценка соответствия по ГОСТ Р 57580.2–2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» (далее – ГОСТ Р 57580.2–2018) обязательна только для организаций, реализующих усиленный или стандартный уровень защиты информации по ГОСТ Р 57580.1.
4. Добавлено уточнение, что в случае выявления уязвимостей информационной безопасности по результатам анализа уязвимостей или тестирования на проникновение организации, реализующие усиленный и стандартный уровни защиты информации, должны устранять выявленные уязвимости.
5. Как и для всех положений Банка России, приведены уточнения по сертификации ПО в системе сертификации ФСТЭК России или оценке соответствия. Оценка соответствия ПО может проводиться как самостоятельно, так и с привлечением лицензиата ФСТЭК России по технической защите конфиденциальной информации.

Бюро кредитных историй

Проект положения Банка России «О требованиях к обеспечению бюро кредитных историй защиты информации» [19] был опубликован 21 июня 2021 г. (далее – проект положения). Предполагается, что проект положения должен вступить в силу с 1 октября 2022 г., за исключением некоторых пунктов.

Проект положения схож по своей концепции и требованиям с другими нормативными актами Банка России по защите информации. Бюро кредитных историй должны будут обеспечивать выполнение ГОСТ Р 57580.1, осуществление оценки соответствия по ГОСТ Р 57580.2–2018, использование сертифицированного ПО или ПО, в отношении которого проведена оценка соответствия, уведомление Банка России об инцидентах защиты информации и т.д.

Информация ограниченного доступа

Федеральный закон от 11.06.2021 г. No 206-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» [20] (далее – ФЗ No 206) официально опубликован 11 июня 2021 г.

ФЗ No 206 вносит изменения в КоАП РФ, предусматривающие усиление административной ответственности за разглашение информации с ограниченным доступом, а также вводится новый состав правонарушения, которым устанавливается ответственность за незаконное получение информации с ограниченным доступом.

---

1. https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2220-informatsionnoe-soobshchenie-fstek-rossii-ot29-aprelya-2021-g-n-240-24-2087 
2. https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/153-sistema-sertifikatsii/590-perechen-organovpo-attestatsii-n-ross-ru-0001-01bi00 
3. http://publication.pravo.gov.ru/Document/View/0001202105260038 
4. http://publication.pravo.gov.ru/Document/View/0001202105200019 
5. http://publication.pravo.gov.ru/Document/View/0001202105200017 
6. http://publication.pravo.gov.ru/Document/View/0001202105200024 
7. http://publication.pravo.gov.ru/Document/View/0001202105310030 
8. http://publication.pravo.gov.ru/Document/View/0001202105060001 
9. https://www.ussc.ru/news/novosti/obzor-izmeneniy-v-zakonodatelstve-za-avgust-2019/ 
10. https://fstec.ru/normotvorcheskaya/informatsionnyeianaliticheskiematerialy/2243-informatsionnoe-soobshchenie-fstek-rossii-ot-23-iyunya-2021-g-n-240-24-3057 
11. https://fstec.ru/tekhnicheskaya-zashchita-informatsii/obespechenie-bezopasnosti-kriticheskoj-informatsionnoj-infrastruktury/290-inye/2240-informatsionnoe-soobshchenie-fstek-rossii-ot-18-iyunya-2021-g-n-240-82-1037 
12. http://publication.pravo.gov.ru/Document/View/0001202106010044 
13. http://publication.pravo.gov.ru/Document/View/0001202106300055 
14. https://regulation.gov.ru/projects#npa=117301 
15. https://regulation.gov.ru/Projects/List#npa=116536 
16. http://publication.pravo.gov.ru/Document/View/0001202106010058 
17. https://regulation.gov.ru/projects#npa=116751 
18. https://www.cbr.ru/Queries/UniDbQuery/File/90134/2334 
19. https://regulation.gov.ru/projects#npa=117118 
20. http://publication.pravo.gov.ru/Document/View/0001202106110078 

Андрей Семенов, заместитель руководителя отдела compliance и аттестации Дирекции по интеграции компании «Ростелеком-Солар»

10 августа Министерство юстиции РФ утвердило новый приказ ФСТЭК России от 29 апреля 2021 г. № 77 «Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну». Как ясно из названия, он определяет порядок работ по аттестации объектов информатизации, а также требования к процессам, форме и содержанию документов, разрабатываемых при организации и проведении этих работ. Кроме основного нововведения – реестровой модели ведения аттестатов соответствия, данный документ содержит ряд интересных или неоднозначных положений, которые мы хотим подсветить в нашем обзоре. Разберем интересные моменты по порядку.

1. Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну

Формально изменились требования, на соответствие которым проводятся аттестационные испытания – если раньше это была аттестация на соответствие «требованиям безопасности информации», то теперь стало «требованиям о защите информации».

2. Порядок применяется для аттестации объектов информатизации с 1 сентября 2021 года.

Все работы по аттестации, которые будут выполняться начиная с этой даты, должны проходить в соответствии с новым Порядком. Важно, что это касается даже тех работ, которые будут проводиться в рамках уже ранее заключенных контрактов.

3. Настоящий Порядок определяет состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

Здесь ситуация аналогична той, что была с приказом ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», когда из области регулирования выпадает та защищаемая информация, которая является общедоступной. Формально государственная информационная система (далее – ГИС), обрабатывающая защищаемую общедоступную информацию, в область регулирования данного Порядка не попадает. А если ГИС одновременно не является и информационной системой общего пользования (на основании приказа ФСБ России и ФСТЭК России от 31 августа 2010 г. № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования»), то защиту информации в ней регулирует только федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ.

4. Аттестация объектов информатизации на соответствие требованиям о защите информации (далее – аттестация) осуществляется федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации, а также лицами, заключившими контракт на создание объектов информатизации, или лицами, осуществляющими эксплуатацию объектов информатизации (далее – владельцы объектов информатизации).

Здесь стоит обратить внимание на то, что аттестовывать объекты информатизации теперь имеют право и эксплуатирующие их организации – их в явном виде включили в состав владельцев объектов информатизации.

5. Аттестация объекта информатизации проводится на этапе его создания или развития (модернизации) и предусматривает проведение комплекса организационных и технических мероприятий и работ (аттестационных испытаний).

С одной стороны, положение очевидное. Но на практике нам приходилось сталкиваться с ситуацией, когда заказчик заявлял о необходимости аттестационных мероприятий для информационных систем, выведенных из эксплуатации. Теперь явно названы этапы жизненного цикла ИС, на которых эти испытания требуются.

6. По решению руководителя федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу объектов информатизации проводится в соответствии с настоящим Порядком структурным подразделением (работниками), ответственными за защиту информации.

Это нововведение позволяет перечисленным выше органам власти при выполнении ряда условий самостоятельно аттестовывать свои объекты информатизации без наличия лицензии ФСТЭК России на ТЗКИ. Вероятно, это обусловлено необходимостью выполнения положений Постановления Правительства РФ от 6 июля 2015 года № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации». Оно запрещает ввод систем в эксплуатацию без действующего аттестата соответствия.

7. Для проведения аттестационных испытаний органом по аттестации из числа своих работников назначается аттестационная комиссия в составе руководителя комиссии и не менее двух экспертов, обладающих знаниями и навыками в области технической защиты конфиденциальной информации и аттестации объектов информатизации.

Появился четкий ответ на вопрос о минимальном количестве участников аттестационной комиссии – не менее трех.

8. При назначении экспертов органа по аттестации должна быть обеспечена их независимость от владельца объекта информатизации с целью исключения возможности влияния владельца аттестуемого объекта информатизации на результаты аттестационных испытаний, проведенных экспертами органа по аттестации.

Отметим, что под органом по аттестации Порядок подразумевает «организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации (с правом проведения работ и оказания услуг по аттестационным испытаниям и аттестации на соответствие требованиям о защите информации)». Следовательно, под это определение не подпадают органы власти, решившие самостоятельно аттестовывать свои объекты информатизации.

Еще один важный вопрос пока остается открытым. Он касается критериев определения независимости экспертов органа по аттестации от владельца объекта информатизации: может ли теперь коммерческая организация аттестовывать свои объекты информатизации и объекты информатизации головной компании? Раньше это было явно разрешено при условии, что «аттестатор» не проектировал и не внедрял СОИБ аттестуемого объекта информатизации.

9. Для проведения работ по аттестации владелец объекта информатизации в качестве исходных данных представляет в орган по аттестации копии ряда документов, включая «документы, содержащие результаты анализа уязвимостей объекта информатизации и приемочных испытаний системы защиты информации объекта информатизации (в случае проведения анализа и испытаний в ходе создания объекта информатизации).

Новый документ однозначно определил ответственного за предоставление результатов инструментального сканирования. Это не орган по аттестации, проводящий испытания, а именно владелец аттестуемого объекта информатизации.

10. По решению владельца объекта информатизации указанные в настоящем пункте копии документов представляются в орган по аттестации в виде электронных документов.

Раньше орган по аттестации, как правило, принимал только бумажные варианты утвержденных документов (с подписью и печатью организации). Теперь же допустимо предоставлять их в электронном виде. Пока остался открытым вопрос о форме их заверения: требуется ли она и если да, то в каком виде? Будет ли достаточно пересылки с авторизованного почтового ящика или понадобится электронная подпись того или иного вида?

11. Аттестационные испытания включают следующие мероприятия и работы:

…

б) проверку наличия и согласования с ФСТЭК России … модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации или частного технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем).

Тут Порядок ужесточает имеющиеся ранее требования – необходимо будет согласовать с регулятором оба документа сразу. В Постановлении Правительства РФ от 6 июля 2015 года № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» есть требование в обязательном порядке согласовывать или модель угроз безопасности информации, или техническое задание: «Техническое задание на создание системы и (или) модель угроз безопасности информации согласуются с федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий в части, касающейся выполнения установленных требований о защите информации». Постановление Правительства имеет больший приоритет, чем приказ ФОИВ. Поэтому ждем пояснений регулятора.

12. Заключение и протоколы в течение 5 рабочих дней после утверждения органом по аттестации направляются владельцу объекта информатизации.

Определен крайний срок, в течение которого необходимо выслать аттестационную документацию владельцу объекта информатизации.

13. По результатам устранения недостатков орган по аттестации повторно оформляет заключение, в которое наряду со сведениями, указанными в пункте 18 настоящего Порядка, включаются сведения об устранении владельцем объекта информатизации всех выявленных недостатков, а также делается вывод о возможности выдачи аттестата соответствия требованиям по защите информации на объект информатизации.

В ряде случаев в номенклатуре аттестационных документов в явном виде появляется дополнительный. Как он будет называться – заключение № 2, повторное заключение?

14. Владелец объекта информатизации в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащимися в заключении и протоколах, направляет в течение 5 рабочих дней с момента получения заключения и протоколов письменное обращение с обоснованием такого несогласия в ФСТЭК России.

В документе ничего не говорится о возможности «претензионной работы» между владельцем объекта информатизации и органом по аттестации – возможно только обращение владельца объекта информатизации в ФСТЭК России. Явного запрета на урегулирование споров между владельцем объекта информатизации и органом по аттестации нет. Но, учитывая, что у владельца объекта информатизации имеется всего пять дней, чтобы обратиться к регулятору в случае неуспешных переговоров с органом по аттестации, вряд ли вообще получится их провести.

15. ФСТЭК России (территориальный орган ФСТЭК России) в течение 10 календарных дней с даты получения обращения проводит оценку документов.

При осуществлении «арбитражной» работы регулятор не предусмотрел «пауз» на длительные праздничные дни (например, новогодние или майские праздники) и оперирует календарными, а не рабочими днями – это не может не радовать.

16. Орган по аттестации в течение 5 рабочих дней после подписания аттестата соответствия представляет в ФСТЭК России (территориальный орган ФСТЭК России) в электронном виде копии следующих документов:

а) аттестата соответствия объекта информатизации;

б) технического паспорта на объект информатизации;

в) акта классификации системы (сети), акта категорирования значимого объекта;

г) программы и методик аттестационных испытаний объекта информатизации;

д) заключения и протоколов.

В договорах и ПМИ нужно аккуратно подходить к определению даты подписания аттестата соответствия. Особенно если есть необходимость иметь запас по времени на обработку, утверждение и отправку документации при наличии бюрократических многоэтапных, требующих различных согласований процедур внутри органа по аттестации.

Напомним, что максимальная длительность работ по аттестации согласно положениям рассматриваемого Порядка не может превышать четырех месяцев.

17. ФСТЭК России (территориальный орган ФСТЭК России) в течение 3 рабочих дней со дня получения от органа по аттестации документов, предусмотренных пунктом 27 настоящего Порядка, вносит сведения об аттестованном объекте информатизации в реестр аттестованных объектов информатизации.

Самое важное новшество: вводится реестровая (централизованная) система учета выданных аттестатов соответствия на ИС. Будет очень хорошо, если этот реестр (выписка из реестра) станет общедоступным, чтобы была возможность проверить наличие и действительность аттестатов соответствия в отношении интересующих объектов информатизации.

18. ФСТЭК России (территориальный орган ФСТЭК России) после внесения сведений об аттестованном объекте информатизации в реестр аттестованных объектов информатизации проводит экспертно-документальную оценку документов, представленных органом по аттестации в соответствии с пунктом 27 настоящего Порядка.

Регулятор не только требует предоставлять документы по аттестованной ИС, но и будет анализировать их на предмет корректности. Очевидно, что это вызвано желанием ФСТЭК России улучшить качество проводимых органами по аттестации испытаний, что не может не радовать.

19. Аттестат соответствия выдается на весь срок эксплуатации объекта информатизации.

Согласно новому Порядку это касается всех типов объектов информатизации – ГИС, ИСПДн, КИИ, АСУ ТП, ЗП, ИСОП. Раньше бессрочный аттестат соответствия был только у ГИС на основании приказа ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Срок действия аттестатов соответствия других типов объектов информатизации регламентировал ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения», и он составлял не более трех лет.

20. Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года предоставляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).

Проводить контроль уровня защиты на аттестованном объекте информатизации будет нужно не реже чем раз в два года. Раньше это требовалось делать ежегодно согласно ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».

21. В случае развития (модернизации) объекта информатизации, в ходе которого изменена конфигурация (параметры настройки) программных, программно-технических средств и средств защиты информации, исключены программные, программно-технические средства и средства защиты информации, дополнительно включены аналогичных средств или заменены на аналогичные средства проводятся дополнительные аттестационные испытания…

В случае развития (модернизации) объекта информатизации, приводящего к повышению класса защищенности (уровня защищенности, категории значимости) объекта информатизации и (или) к изменению архитектуры системы защиты информации объекта информатизации в части изменения видов и типов программных, программно-технических средств и средств защиты информации, изменения структуры системы защиты информации, состава и мест расположения объекта информации и его компонентов, проводится повторная аттестация…

В явном виде определены критерии, при выполнении которых проводятся дополнительные аттестационные испытания или повторная аттестация. Остается открытым вопрос: требуется ли при проведении повторной аттестации изменять номер и дату выдачи первоначального аттестата соответствия?

22. Действие аттестата соответствия приостанавливается ФСТЭК России (территориальным органом ФСТЭК России) в случае…

Действие аттестата соответствия прекращается ФСТЭК России (территориальным органом ФСТЭК России) в случае…

Регулятор забрал себе полномочия по приостановлению и прекращению действия аттестата соответствия. Раньше они были у органа по аттестации согласно ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения». Хотя в явном виде запрет на приостановление и прекращение действия аттестата соответствия органом по аттестации в Порядке отсутствует, допустимо ли это и каков будет порядок – вопрос пока открытый.

23. В случае утраты аттестата соответствия владелец объекта информатизации вправе обратиться в орган по аттестации с заявлением о выдаче дубликата аттестата соответствия.

Появилась новая возможность – выдача дубликата аттестата соответствия. Из интересного: орган по аттестации не имеет права выдать его копию. По крайней мере, в новом Порядке о таком варианте ничего не говорится. Нужно учитывать, что согласно нормам делопроизводства при выдаче копии документа сохраняются номер и дата выдачи оригинального документа, а вот дубликат документа должен иметь новые реквизиты. Найдет ли этот момент отражение в реестре аттестатов ФСТЭК России – вопрос открытый.

24. Орган по аттестации ежегодно не позднее 1 февраля года, следующего за отчетным, представляет в управление ФСТЭК России по федеральному округу, на территории которого расположен орган по аттестации, сведения об аттестованных им объектах информатизации, содержащие наименование объекта информатизации, адрес места его размещения, наименование владельца объекта информатизации, реквизиты выданного аттестата соответствия.

Еще один из центральных моментов нового Порядка: орган по аттестации будет обязан ежегодно информировать ФСТЭК о проведенных аттестациях. Раньше такой обязанности у него не было (мы не говорим сейчас про аттестационные мероприятия в области государственной тайны). Теперь недобросовестные органы по аттестации не смогут из небытия предъявить аттестаты соответствия на якобы ранее аттестованные ИС. Вероятно, эта норма введена ФСТЭК России, чтобы повысить качество проводимых аттестаций и обеспечить исполнение Постановления Правительства РФ от 6 июля 2015 года № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» в той части, которая касается аттестации.

25. Из Приложения № 1 исключена необходимость указания в техническом паспорте границ контролируемой зоны, линий связи и питания, выходящих за границы контролируемой зоны, а также инвентарных (учетных, серийных) номеров ОТСС и ВТСС, номера лицензий ПО.

Это положение позволяет заменять СВТ на однотипные и обновлять лицензии на ПО без корректировки технического паспорта. Такая норма соотносится с бессрочным сроком действия аттестата соответствия и выполнением необходимых процедур на всех этапах жизненного цикла ИС.

Это нововведение говорит о том, что ФСТЭК не настаивает на обязательном выполнении требований о защите ИС, не обрабатывающих информацию, содержащую сведения, составляющие государственную тайну, от ПЭМИН, что раньше и обуславливало необходимость отображать границы контролируемых зон и проводные линии.

В качестве ретроспективной информации: документ с названием «Технический паспорт» в российских ГОСТах отсутствует, а вот форму и содержание документа с названием «Паспорт» определяет ГОСТ 34.201-89 «Виды, комплектность и обозначения документов при создании автоматизированных систем».

26. Приложение № 4, определяющее форму аттестата соответствия объекта информатизации, вводит фиксированный формат номера аттестата соответствия.

Раньше каждый орган по аттестации сам определял формат номера аттестата соответствия. Текущий формат фиксирует в номере: <номер лицензии ФСТЭК России на деятельность по технической защите информации, выданной органу по аттестации> | <номер аттестованного объекта информатизации в системе учета органа по аттестации> | <год выдачи аттестата соответствия>. Это позволит сделать номер аттестата соответствия достаточно информативным.

Нераскрытой остается неопределенность с <номером аттестованного объекта информатизации в системе учета органа по аттестации> – должен он в обязательном порядке быть сквозным (00001, 00002, 00003) или допускается произвольное, но неповторяемое назначение номеров (00024, 01121, 00001)?

27. Приложение № 4, определяющее форму аттестата соответствия объекта информатизации, при эксплуатации аттестованного объекта информатизации не допускает проводить обработку информации в случае обнаружения инцидента безопасности.

Пока не очень понятно, как реализовать это на практике – например, если инцидентом является компрометация пароля в ИС непрерывного цикла или даже просто попытка его подбора. Также это положение противоречит принципу PDCA и бессрочности аттестатов соответствия.

Будем надеяться, что данное Приложение определяет всего лишь форму (как и указано на его титуле), а не строгое указание по содержанию и данный момент возможно будет исключить из перечня ограничений на эксплуатацию ИС.

---

Новый Порядок организации и проведения работ по аттестации объектов информатизации, на наш взгляд, будет способствовать обеспечению реальной безопасности ИС. Но при этом в документе есть ряд нераскрытых моментов, а также положений, которые невыполнимы в реальных условиях эксплуатации.

При внесении изменений в нормативные правовые акты мы часто видим в заключении об оценке фактического воздействия НПА, что нововведения «не несут дополнительных финансовых затрат». Это не всегда соответствует действительности. В данном случае можно утверждать, что новые положения предложенного Порядка действительно не несут значительных дополнительных затрат по сравнению с ранее имеющимися требованиями.

Главное, чтобы последующие редакции документа учитывали и исправляли недостатки предыдущих, а сам он использовался как инструмент упорядочивания и улучшения ситуации с аттестацией объектов информатизации, а не наказания и запугивания.

***

В качестве бонуса расскажем, при каких условиях новый Порядок позволит эксплуатировать ГИС даже без аттестата соответствия (пусть и не на постоянной основе).

Существует три случая, при которых возможно запретить (временно или постоянно) эксплуатацию ГИС:

1) вновь созданная ГИС не введена в промышленную эксплуатацию (не проведены успешные аттестационные испытания);

2) действие аттестата соответствия приостановлено;

3) действие аттестата соответствия прекращено.

Первый вариант не рассматриваем – он очевиден и вопросов не вызывает.

А далее, как говорят фокусники, следите за руками.

Пункт 42 гласит: «В случае прекращения действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации, если действие аттестата соответствия ранее не было приостановлено».

То есть на этапе прекращения действия аттестата соответствия требование о прекращении эксплуатации объекта информатизации не распространяется на случай, если ранее действие аттестата соответствия было приостановлено.

А есть ли варианты, при которых можно прийти к вышеописанному состоянию – действие аттестата соответствия было приостановлено – и при этом ГИС находилась бы в эксплуатации на законных основаниях? Давайте посмотрим.

В пункте 37 говорится, что в случае приостановления действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации или по согласованию ФСТЭК России принимает меры, исключающие возможность возникновения угроз безопасности информации».

Если на этапе приостановления действия аттестата соответствия ГИС согласовать с ФСТЭК России и принять меры, исключающие возможность возникновения угроз безопасности информации, то даже последующее прекращение действия аттестата соответствия формально не потребует прекращения ее дальнейшей эксплуатации.

Можно предположить, что озвученная возможность связана с необходимостью в ряде случаев продолжать эксплуатацию критичных ИС (например, ИС непрерывного цикла, обеспечивающих критичные функции, или социально значимых систем), даже если в них в определенный момент не соблюдаются все требования безопасности информации.

Не стоит также упускать из виду, что согласно положениям данного Порядка «действие аттестата соответствия может быть приостановлено на срок не более 90 календарных дней».

Осталось получить практику согласования с ФСТЭК России мер, исключающих возможность возникновения угроз безопасности информации, их условия и ограничения. Вполне возможно, что реализовать эти меры будет сложнее, чем «переаттестоваться» заново и лайфхак окажется сугубо теоретическим.

   

Опубликован для общественного обсуждения проект приказа ФСТЭК России «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну». У нас есть возможность повлиять на формулировки приказа до 29 декабря 2020 года.

   Ранее я уже касался этого вопроса https://valerykomarov.blogspot.com/2020/03/blog-post_9.html

   Традиционно начнем с карточки документа.

    Ладно, что основной и дополнительный электронный адрес для отправки предложений одинаковый. Беден ФСТЭК на эл.ящики?

Адрес электронной почты для отправки предложений участниками обсуждений

otd22@fstec.ru

Дополнительный адрес электронной почты

otd22@fstec.ru

   Нет, это не так.

   Почему то  вместо обычного почтового адрес дан опять в формате электронного ящика?

Почтовый адрес для отправки предложений участниками обсуждения

otd25@fstec.ru

   Ну да ладно, хоть не @gmail  как в прошлый раз. Приступим к пояснительной записке:

   Проектом приказа ФСТЭК России определяется состав и содержание работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну, а также требования к форме разрабатываемых при проведении таких работ документов.

  Я вот смотрю на приложение № 2 к приказу и спросить хочу у авторов проекта: вы действительно считаете, что акт классификации ГИС разрабатывается и оформляется на этапе аттестации? Я был уверен, что намного раньше. И почему тогда не представлены формы актов классификации АСУ ТП или акты категорирования ЗОКИИ? Эта типовая форма должна быть приложением к 17 приказу, но не к требованиям по аттестации.

  Теперь про сам приказ.

2. Установить, что указанный в пункте 1 настоящего приказа Порядок применяется для аттестации объектов информатизации с 1 июня 2021 г.

  Обычно пишется, что приказ вступает в силу с 01 июня 2021 года. Других пунктов в приказе вообще нет. С учетом традиционных задержек, надежнее писать — вступает в силу через 6 месяцев после публикации.

Переходим к порядку.

  1. Пункт № 1 порядка отсылает нас к 149-ФЗ, нет никаких упоминаний про другие ФЗ. Тот же 187-ФЗ не упомянут. Встает вопрос обоснованности распространения требований данного порядка на множество других объектов информатизации:

К объектам информатизации, подлежащим аттестации в соответствии с настоящим Порядком, относятся государственные и муниципальные информационные системы, информационные системы управления производством, используемые организациями оборонно-промышленного комплекса, защищаемые помещения, а также значимые объекты критической информационной инфраструктуры и автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, для которых при их создании установлены требования к оценке соответствия требованиям по защите информации в форме аттестации.

  В 239 приказе требования по обеспечению безопасности ЗОКИИ, а не по защите информации.

   2. Смотрим п.№3 «Аттестация объектов информатизации проводится на этапе создания объекта информатизации«.  А как проводить аттестацию действующих объектов информатизации? Видимо забыли добавить «и модернизации«.

   3. Пункт № 4 прекрасен. «Аттестация объектов информатизации проводится федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, организациями, которым на праве собственности или ином законном основании принадлежат объекты информатизации (далее – владельцы объектов информатизации).«. Мало ФСТЭК испытала проблем с КИИ, где устанешь определять владельца ГИС. Но ведь это не бьется с 17 приказом — «Аттестация информационной системы организуется обладателем информации (заказчиком) или оператором«. Вся централизация ИБ в органах власти исчезает бесследно. Ни заказчика, ни оператора ГИС. Зачем?

    4. Пункт №5 вызывает очередные вопросы по КИИ. «Для проведения аттестационных испытаний владелец объекта информатизации привлекает организацию, имеющую лицензию ТЗКИ«, но вот не обязан лицензиат знать нормативку по КИИ. Не установила ФСТЭК для него такие требования. И как он будет проверять на соответствие  НПА, которых не знает?

   5. Пункт № 6 меня восхитил. ФСТЭК разрешил не выполнять требования Федерального закона от 04.05.2011 N 99-ФЗ «О лицензировании отдельных видов деятельности».

   6. Пункт 11. «в) модель угроз безопасности информации (только для информационных (автоматизированных) систем);» А что так? 239 приказ таких исключений не содержит. Для АСУ/ИТКС, если они ЗОКИИ, оформляются МУ.

   в пп «г» появилась «модернизация.

    7. Пункт № 13  «Программа и методики аттестационных испытаний может быть уточнена органом по аттестации по согласованию с владельцем объекта информатизации в ходе обследования объекта информатизации в условиях его эксплуатации.«. Непонятно, ведь в п.10 прописано «Аттестация объекта информатизации проводится владельцем объекта информатизации до ввода объекта информатизации в эксплуатацию«. 

    8. Пункт 17 «б) проверку наличия и согласования с ФСТЭК России модели угроз безопасности информации и технического задания». Вообще то, в ПП676 указано «и/или«. 

    9. Пункт 17 «д). Непонятно, будет ли проверятся соответствие на 235 приказ, в части специалистов безопасности ЗОКИИ.

   10. Пункт 17 «е). Будут проверять именно «уровень знаний»? Экзамен проводить? а по какой программе и методике? Или речь про проверку квалификации по наличию «корочек»?

   11. Пункт 18. Подразумевается пентест чужого ЦОДА? «При этом испытания должны предусматривать анализ и тестирование серверной части или информационно-телекоммуникационной инфраструктуры основного и резервного (при наличии) центра обработки данных, информационно-телекоммуникационной сети». 

  В документе очень много внимания уделено ЦОДам, это правильно. Только у нас документ по организации, а вот организации собственно проверки  ЦОД ничего не указано. Должен ли владелец ЦОД согласовать ПиМ аттестации при таких условиях? Я считаю, что это будет правильно.

   12. Пункт № 24. Яркий пример того, как не надо писать документы по организации работ. Много текста, но никакого смысла. Кто направляет, в какие сроки? Надо ли уведомлять владельца ЦОД? Полная мешанина и непонятно кто и что делает.

   13. Пунктом № 25 ФСТЭК вмешивается в гражданско-правовые отношения двух хозяйствующих субъектов. Аттестация ОИ проводится по договору. Теперь будем писать пункты в договор, что в случае спорных моментов при приемке работ — обращаемся в ФСТЭК. И решение ФСТЭК будет влиять на взыскивание денег с исполнителя. Мне нравится этот пункт, ФСТЭК готов взять на себя ответственность за результаты работы лицензиата. Похвальная инициатива.

   14. В пункте №29 в очередной раз пишут про передачу документов от заказчика исполнителю. Непонятная избыточность.

   15. Пункт №32. «В случае выявления по результатам проведенной оценки несоответствий представленных материалов требованиям настоящего Порядка, а также требованиям по защите информации, ФСТЭК России (территориальный орган ФСТЭК России) оформляет заключение, содержащее описание выявленных несоответствий и рекомендации по их устранению, и направляет его владельцу объекта информатизации и органу по аттестации. «. Направил и что дальше? Кто и в какие сроки должен это выполнять? Это обязанность или рекомендации?

   16. Пункт № 37. Будет интересно посмотреть как это ФСТЭК в жизнь воплотит «В случае приостановления действия аттестата соответствия владелец объекта информатизации прекращает эксплуатацию объекта информатизации». А вопрос в другом. Какое отношение этот пункт имеет к Порядку аттестации? Есть ПП676, в котором уже это запрещено  и т.д.

       ФСТЭК получила полномочия запрещать эксплуатацию ГИС?

   17. Пункт № 39. Вывели мы значит ГИС из эксплуатации, регион страдает. А ФСТЭК прописывает себе сроки и никуда не спешит — «в течение 5 рабочих дней со дня принятия решения направляет заказным почтовым отправлением с уведомлением». Не государственный подход заложен. 

        О возобновлении действия аттестата соответствия надо более оперативно сообщать, ГИС простаивает все это время.

      18. Приложение № 1. Почему техпаспорт только на ИС/АС, а как же АСУТП, а ИТКС/АСУ?

       19. Приложение № 3. Форма аттестации приведена только под ГИС. Нет ни упоминания категории значимости, ни соответствия требованиям безопасности ЗОКИИ. Только класс защищенности и требования по защите информации.

       20. Я не увидел упоминания по проверке выполнения приказов ФСБ. Если не брать СКЗИ, то все равно остается реагирование на компьютерные инциденты в ЗОКИИ. Приказ 239 прямо отсылает к нормативке ФСБ.

        P.S. Сложилось впечатление, что аттестация ЗОКИИ будет проводится только для ГИС  и только на соответствие 17 приказу.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе «ЧаВо по КИИ» на главной странице блога.