📣 ГосСОПКА и ИСПДн
В Государственную Думу внесён законопроект, которым предполагается внести изменения в часть 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
❗️Изменения включают дополнения, указывающие на то, что обеспечение безопасности ПДн будет достигаться мерами по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них, а также организацией и осуществлением взаимодействия с ГосСОПКА.
—————————————————————
Вот уж чего операторы ПДн точно не ожидали.
Так что взаимодействие с ГосСОПКА может стать обязательным не только для субъектов КИИ, но и для операторов ПДн.
В Государственную Думу внесён законопроект, которым предполагается внести изменения в часть 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
❗️Изменения включают дополнения, указывающие на то, что обеспечение безопасности ПДн будет достигаться мерами по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них, а также организацией и осуществлением взаимодействия с ГосСОПКА.
—————————————————————
Вот уж чего операторы ПДн точно не ожидали.
Так что взаимодействие с ГосСОПКА может стать обязательным не только для субъектов КИИ, но и для операторов ПДн.
Дистанционная (удаленная) работа и Трудовой кодекс
С 1 января 2021 г. вступают в силу изменения в Трудовой кодекс Российской Федерации, касающиеся регулирования дистанционной (удаленной) работы и временного перевода работника на дистанционную (удаленную) работу по инициативе работодателя в исключительных случаях.
Указанные изменения интересны по следующим аспектам, так или иначе связанным с организационными мерами защиты информации:
➡️ Раскрыто понятие термина «дистанционная (удаленная) работа».
➡️ Установлен порядок взаимодействия работодателя и работника с использованием электронных документов, а именно случаи использования электронной подписи:
📍УКЭП используется работником и работодателем при заключении:
✅ трудового договора;
✅ дополнительных; соглашений к трудовому договору;
✅ договоров о материальной отвественности;
✅ ученических договоров.
📍 УКЭП также используется работником и работодателем при внесении изменений или расторжении вышеуказанных документов.
📍 Для указанных выше случаев работник может также использовать УНЭП.
📍 Во всех остальных случаях работник и работодатель могут использовать простую ЭП.
➡️ Работодатель обеспечивает работника средствами защиты информации или компенсирует работнику использование им собственных средств защиты информации.
➡️ У работодателя должен быть принят локальный нормативный акт, устанавливающий:
✅ Порядок обеспечения работников, временно переводимых на дистанционную работу, средствами защиты информации (в том числе).
✅ Порядок выплаты дистанционным работникам компенсаций за использование принадлежащих им или арендованных ими средств защиты информации (в том числе).
—————————————————————
Источник: Федеральный закон от 08.12.2020 № 407-ФЗ «О внесении изменений в Трудовой кодекс Российской Федерации в части регулирования дистанционной (удаленной) работы и временного перевода работника на дистанционную (удаленную) работу по инициативе работодателя в исключительных случаях».
С 1 января 2021 г. вступают в силу изменения в Трудовой кодекс Российской Федерации, касающиеся регулирования дистанционной (удаленной) работы и временного перевода работника на дистанционную (удаленную) работу по инициативе работодателя в исключительных случаях.
Указанные изменения интересны по следующим аспектам, так или иначе связанным с организационными мерами защиты информации:
➡️ Раскрыто понятие термина «дистанционная (удаленная) работа».
➡️ Установлен порядок взаимодействия работодателя и работника с использованием электронных документов, а именно случаи использования электронной подписи:
📍УКЭП используется работником и работодателем при заключении:
✅ трудового договора;
✅ дополнительных; соглашений к трудовому договору;
✅ договоров о материальной отвественности;
✅ ученических договоров.
📍 УКЭП также используется работником и работодателем при внесении изменений или расторжении вышеуказанных документов.
📍 Для указанных выше случаев работник может также использовать УНЭП.
📍 Во всех остальных случаях работник и работодатель могут использовать простую ЭП.
➡️ Работодатель обеспечивает работника средствами защиты информации или компенсирует работнику использование им собственных средств защиты информации.
➡️ У работодателя должен быть принят локальный нормативный акт, устанавливающий:
✅ Порядок обеспечения работников, временно переводимых на дистанционную работу, средствами защиты информации (в том числе).
✅ Порядок выплаты дистанционным работникам компенсаций за использование принадлежащих им или арендованных ими средств защиты информации (в том числе).
—————————————————————
Источник: Федеральный закон от 08.12.2020 № 407-ФЗ «О внесении изменений в Трудовой кодекс Российской Федерации в части регулирования дистанционной (удаленной) работы и временного перевода работника на дистанционную (удаленную) работу по инициативе работодателя в исключительных случаях».
А тем временем появилась полная запись конференции «Кибербезопасность цифрового предприятия», на которой выступал представитель ФСТЭК России Кубарев Алексей Валентинович, рассказывая о реализации Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ.
YouTube
Кибербезопасность цифрового предприятия. Онлайн-конференция | 4 декабря 2020
Системы кибербезопасности, средства защиты АСУ ТП и защищенные платформы. Перспективы импортозамещения. Отраслевые кейсы
00:00 Вступление. Андрей Мирошкин, генеральный директор компании "Гротек"
02:25 Актуальные вызовы и возможности для информационной безопасности.…
00:00 Вступление. Андрей Мирошкин, генеральный директор компании "Гротек"
02:25 Актуальные вызовы и возможности для информационной безопасности.…
Законодательное закрепление понятия ЦОД вновь откладывается
Минэкономразвития дало отрицательную оценку регулирующего воздействия проекту Федерального закона «О внесении изменений в Федеральный закон «О связи», разработанного Минцифрой и касающегося регулирования деятельности ЦОД.
В своём решении Минэкономразвития, в том числе, обратило внимание, что определение термина ЦОД требует доработки:
«При этом под центром обработки данных (далее – ЦОД) предлагается понимать сооружение связи с комплексом систем инженерно-технического обеспечения, спроектированное и используемое для размещения оборудования, обеспечивающего обработку или хранение данных и доступ к ним.
Вместе с тем сооружения связи, исходя из определения, закрепленного в статье 2 Федерального закона от 7 июля 2003 г. № 126-ФЗ «О связи» (далее – Закон о связи), являются объектами инженерной инфраструктуры, созданными или приспособленными
для размещения средств связи, а именно технических и программных средств, используемых для формирования, приема, обработки, хранения, передачи, доставки сообщений электросвязи или почтовых отправлений, а также иных технических
и программных средств, используемых при оказании услуг связи или обеспечении функционирования сетей связи, включая технические системы и устройства
с измерительными функциями.
Однако, по информации субъектов предпринимательской деятельности, на практике операторы ЦОД оказывают услуги не только размещения оборудования, обеспечивающего обработку или хранение данных, но и услуги по хранению, обработке и доступу к данным. При этом оказание таких услуг возможно как на собственном оборудовании, так и на оборудовании заказчика услуги.»
Эпопея продолжается и законопроект будет дорабатываться.
—————————————————————
Напомню, что, на мой взгляд, этот законопроект может иметь значение для практики взаимодействия субъектов КИИ с ЦОД.
Минэкономразвития дало отрицательную оценку регулирующего воздействия проекту Федерального закона «О внесении изменений в Федеральный закон «О связи», разработанного Минцифрой и касающегося регулирования деятельности ЦОД.
В своём решении Минэкономразвития, в том числе, обратило внимание, что определение термина ЦОД требует доработки:
«При этом под центром обработки данных (далее – ЦОД) предлагается понимать сооружение связи с комплексом систем инженерно-технического обеспечения, спроектированное и используемое для размещения оборудования, обеспечивающего обработку или хранение данных и доступ к ним.
Вместе с тем сооружения связи, исходя из определения, закрепленного в статье 2 Федерального закона от 7 июля 2003 г. № 126-ФЗ «О связи» (далее – Закон о связи), являются объектами инженерной инфраструктуры, созданными или приспособленными
для размещения средств связи, а именно технических и программных средств, используемых для формирования, приема, обработки, хранения, передачи, доставки сообщений электросвязи или почтовых отправлений, а также иных технических
и программных средств, используемых при оказании услуг связи или обеспечении функционирования сетей связи, включая технические системы и устройства
с измерительными функциями.
Однако, по информации субъектов предпринимательской деятельности, на практике операторы ЦОД оказывают услуги не только размещения оборудования, обеспечивающего обработку или хранение данных, но и услуги по хранению, обработке и доступу к данным. При этом оказание таких услуг возможно как на собственном оборудовании, так и на оборудовании заказчика услуги.»
Эпопея продолжается и законопроект будет дорабатываться.
—————————————————————
Напомню, что, на мой взгляд, этот законопроект может иметь значение для практики взаимодействия субъектов КИИ с ЦОД.
📯Профессиональные стандарты по ИБ
Министерство труда и социальной защиты представило для общественного обсуждения ряд проектов профессиональных стандартов для специалистов по информационной безопасности:
➡️ «Специалист по обеспечению безопасности значимых объектов критической информационной инфраструктуры».
➡️ «Специалист по криптографической деятельности».
➡️ «Специалист по технической защите информации».
➡️ «Специалист по защите информации в телекоммуникационных системах и сетях».
➡️ «Специалист по защите информации в автоматизированных системах».
➡️ «Специалист по безопасности компьютерных сетей и систем».
➡️ «Специалист по автоматизации информационно-аналитической деятельности в сфере безопасности».
Министерство труда и социальной защиты представило для общественного обсуждения ряд проектов профессиональных стандартов для специалистов по информационной безопасности:
➡️ «Специалист по обеспечению безопасности значимых объектов критической информационной инфраструктуры».
➡️ «Специалист по криптографической деятельности».
➡️ «Специалист по технической защите информации».
➡️ «Специалист по защите информации в телекоммуникационных системах и сетях».
➡️ «Специалист по защите информации в автоматизированных системах».
➡️ «Специалист по безопасности компьютерных сетей и систем».
➡️ «Специалист по автоматизации информационно-аналитической деятельности в сфере безопасности».
Минцифры планирует прекратить выделение субсидий из федерального бюджета на достижение отдельных результатов федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации»
Проект соответствующего постановления Правительства Российской Федерации, которым планируется признать утратившим силу постановление Правительства Российской Федерации от 29 октября 2019 г. № 1382 «Об утверждении правил предоставления субсидий из федерального бюджета на достижение отдельных результатов федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации», представлен для общественного обсуждения.
По заверениям Минцифры реализация отдельных результатов федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации» завершена:
☑️ разработаны требования к операторам промышленного Интернета, проектов стандартов безопасности для киберфизических систем, включая устройства «Интернета вещей»;
☑️ создана система отраслевого регулирования использования киберфизических систем, включая устройства «Интернета вещей»,
и установление требований по идентификации участников информационного взаимодействия, а также регистрации оборудования сетей устройств «Интернета вещей»;
☑️ разработан и принят комплекс стандартов информационной безопасности, обеспечивающий минимизацию рисков и угроз безопасного функционирования сетей связи общего пользования;
☑️ проведен анализ существующих и перспективных средств защиты информации;
☑️ разработана модель угроз информационной безопасности для персональных устройств сбора биометрических данных и дорожной карты по обеспечению информационной безопасности при использовании гражданами указанного класса технических средств в Российской Федерации;
☑️ создана технология обработки инцидентов информационной безопасности с использованием искусственного интеллекта для повышения уровня автоматизации процессов принятия решений и уменьшения времени реакции на инциденты;
☑️ проведены мероприятия по развитию отечественной инфраструктуры телерадиовещания и обеспечению безопасности ее функционирования;
☑️ проводится экспертно-аналитическое сопровождение реализации федерального проекта, в том числе предусматривающее выполнение отдельных мероприятий федерального проекта;
☑️ разработана информационно-справочная система, позволяющая бизнесу определять свое соответствие требованиям российского и международного законодательства, а также отраслевым, национальным и международным стандартам в области информационной безопасности.
Проект соответствующего постановления Правительства Российской Федерации, которым планируется признать утратившим силу постановление Правительства Российской Федерации от 29 октября 2019 г. № 1382 «Об утверждении правил предоставления субсидий из федерального бюджета на достижение отдельных результатов федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации», представлен для общественного обсуждения.
По заверениям Минцифры реализация отдельных результатов федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации» завершена:
☑️ разработаны требования к операторам промышленного Интернета, проектов стандартов безопасности для киберфизических систем, включая устройства «Интернета вещей»;
☑️ создана система отраслевого регулирования использования киберфизических систем, включая устройства «Интернета вещей»,
и установление требований по идентификации участников информационного взаимодействия, а также регистрации оборудования сетей устройств «Интернета вещей»;
☑️ разработан и принят комплекс стандартов информационной безопасности, обеспечивающий минимизацию рисков и угроз безопасного функционирования сетей связи общего пользования;
☑️ проведен анализ существующих и перспективных средств защиты информации;
☑️ разработана модель угроз информационной безопасности для персональных устройств сбора биометрических данных и дорожной карты по обеспечению информационной безопасности при использовании гражданами указанного класса технических средств в Российской Федерации;
☑️ создана технология обработки инцидентов информационной безопасности с использованием искусственного интеллекта для повышения уровня автоматизации процессов принятия решений и уменьшения времени реакции на инциденты;
☑️ проведены мероприятия по развитию отечественной инфраструктуры телерадиовещания и обеспечению безопасности ее функционирования;
☑️ проводится экспертно-аналитическое сопровождение реализации федерального проекта, в том числе предусматривающее выполнение отдельных мероприятий федерального проекта;
☑️ разработана информационно-справочная система, позволяющая бизнесу определять свое соответствие требованиям российского и международного законодательства, а также отраслевым, национальным и международным стандартам в области информационной безопасности.
❓Неужели ГИС до сих пор не соответствуют требованиям о защите информации?
http://government.ru/news/41104/
http://government.ru/news/41104/
government.ru
Михаил Мишустин утвердил план инвентаризации IT-ресурсов госорганов
Распоряжение от 9 декабря 2020 года №3277-р
Нормотворческие планы ФСТЭК России на 2021 г.
В соотвествии с Планом разработки ФСТЭК России нормативных правовых актов на 2021 год от регулятора в предстоящем году стоит ожидать следующие проекты, качающиеся информационной безопасности:
📍 Проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. No 133».
📍 Проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. No 134».
📍 Проект приказа ФСТЭК России «О внесении изменений в приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. No 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Конечно, надо понимать, что это планы ФСТЭК России, которые не обременены ограничительными пометками и грифами секретности.
В соотвествии с Планом разработки ФСТЭК России нормативных правовых актов на 2021 год от регулятора в предстоящем году стоит ожидать следующие проекты, качающиеся информационной безопасности:
📍 Проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. No 133».
📍 Проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. No 134».
📍 Проект приказа ФСТЭК России «О внесении изменений в приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. No 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Конечно, надо понимать, что это планы ФСТЭК России, которые не обременены ограничительными пометками и грифами секретности.
Изменения требований к средствам ЭП и УЦ
ФСБ России повторно представила для общественного обсуждения проект ведомственного приказа «О внесении изменений в приложения
№ 1 и 2 к приказу ФСБ России
от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
—————————————————————
И повторно для сбора предложений и получения заключений по результатам проведения антикоррупционной экспертизы используется яндексовский почтовый ящик.
ФСБ России повторно представила для общественного обсуждения проект ведомственного приказа «О внесении изменений в приложения
№ 1 и 2 к приказу ФСБ России
от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
—————————————————————
И повторно для сбора предложений и получения заключений по результатам проведения антикоррупционной экспертизы используется яндексовский почтовый ящик.
Требования к средствам доверенной третьей стороны
ФСБ России повторно представила для общественного обсуждения проект ведомственного приказа «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи».
ФСБ России повторно представила для общественного обсуждения проект ведомственного приказа «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи».
Михаил Мишустин подписал постановление о создании Правительственной комиссии по аккредитации удостоверяющих центров для выдачи электронных подписей
Telegram
Новости Минцифры
Михаил Мишустин подписал постановление о создании Правительственной комиссии по аккредитации удостоверяющих центров для выдачи электронных подписей
http://government.ru/news/41147/
Постановление от 15 декабря 2020 года №2109
http://government.ru/news/41147/
Постановление от 15 декабря 2020 года №2109
⚠️ Коллеги, обращаю внимание, что в соответствии с графиком проведения плановых учений по обеспечению устойчивого, безопасного и целостного функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования в 2020 году, утверждённого приказом Минкомсвязи от 12.12.2019 № 839, завтра состоятся учения, в ходе которых будет осуществляться отработка противодействия атакам с использованием уязвимостей протокола BGP.
—————————————————————
Интересно, этот график ещё в силе...
—————————————————————
Интересно, этот график ещё в силе...
Правительственная комиссия, уполномоченная на принятие решения об аккредитации удостоверяющих центров
Официально опубликовано постановление Правительства Российской Федерации от 15.12.2020 № 2109 «О Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров».
В состав комисси входят представители:
- Минцифры;
- ФСБ России;
- Федерального казначейства;
- Минфина;
- Росреестра;
- Минпромторга;
- МВД России;
- Минздрава;
- Минэкономразвития;
- Минобороны России;
- Пенсионного фонда;
- Аппарата Правительства;
- Центрального банка;
- Федеральной нотариальной палаты.
Официально опубликовано постановление Правительства Российской Федерации от 15.12.2020 № 2109 «О Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров».
В состав комисси входят представители:
- Минцифры;
- ФСБ России;
- Федерального казначейства;
- Минфина;
- Росреестра;
- Минпромторга;
- МВД России;
- Минздрава;
- Минэкономразвития;
- Минобороны России;
- Пенсионного фонда;
- Аппарата Правительства;
- Центрального банка;
- Федеральной нотариальной палаты.
📣 ИСПДн и ГосСОПКА отменяется?
До второго чтения в Государственной Думе добрался законопроект, которым предполагается внести изменения в часть 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Напомню, что изменения на этапе внесения предполагали, что обеспечение безопасности ПДн будет достигаться мерами по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них, а также организацией и осуществлением взаимодействия с ГосСОПКА.
⚠️ Видимо, беспокойства операторов ПДн были услышаны или учуяны в ГосДуме, поэтому законопроект перед вторым чтением претерпел изменения, и внесёнными поправками норма, предполагающая осуществлять взаимодействие с ГосСОПКА, была исключена.
—————————————————————
Ну что же, операторы ПДн, видимо, выдохнули, но, вероятно, сохранение
проектной нормы по необходимости обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них может быть своеобразным заделом на будущее, чтобы когда-то потом в будущем обязать их взаимодействовать с ГосСОПКА.
До второго чтения в Государственной Думе добрался законопроект, которым предполагается внести изменения в часть 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Напомню, что изменения на этапе внесения предполагали, что обеспечение безопасности ПДн будет достигаться мерами по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них, а также организацией и осуществлением взаимодействия с ГосСОПКА.
⚠️ Видимо, беспокойства операторов ПДн были услышаны или учуяны в ГосДуме, поэтому законопроект перед вторым чтением претерпел изменения, и внесёнными поправками норма, предполагающая осуществлять взаимодействие с ГосСОПКА, была исключена.
—————————————————————
Ну что же, операторы ПДн, видимо, выдохнули, но, вероятно, сохранение
проектной нормы по необходимости обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них может быть своеобразным заделом на будущее, чтобы когда-то потом в будущем обязать их взаимодействовать с ГосСОПКА.
Небольшие изменения в ПП-313
Официально опубликовано постановление Правительства Российской Федерации от 21.12.2020 № 2198 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных увидов деятельности», которым вносятся небольшие изменения в постановление Правительства от 16.04.2012 г. № 313
«Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
Официально опубликовано постановление Правительства Российской Федерации от 21.12.2020 № 2198 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных увидов деятельности», которым вносятся небольшие изменения в постановление Правительства от 16.04.2012 г. № 313
«Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
Новости из мира ЭП
Официально опубликованы приказы Минцифры:
➡️ от 30.11.2020 № 643 «Об утверждении требований к форме указанного в пункте 1 части 2.2 статьи 15 Федерального закона от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи" поручения владельца квалифицированного сертификата, порядку передачи поручения владельца квалифицированного сертификата аккредитованному удостоверяющему центру, а также к правилам хранения указанного поручения».
➡️ от 19.11.2020 № 603 «Об утверждении требований к порядку действий аккредитованного удостоверяющего центра при возникновении обоснованных сомнений относительно лица, давшего поручение на использование хранимых ключей электронной подписи, а также при приостановлении (прекращении) технической возможности использования хранимых ключей электронной подписи, включая информирование владельцев квалифицированных сертификатов ключей проверки электронной подписи о событиях, вызвавших приостановление (прекращение) технической возможности использования хранимых ключей электронной подписи, об их причинах и последствиях».
Официально опубликованы приказы Минцифры:
➡️ от 30.11.2020 № 643 «Об утверждении требований к форме указанного в пункте 1 части 2.2 статьи 15 Федерального закона от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи" поручения владельца квалифицированного сертификата, порядку передачи поручения владельца квалифицированного сертификата аккредитованному удостоверяющему центру, а также к правилам хранения указанного поручения».
➡️ от 19.11.2020 № 603 «Об утверждении требований к порядку действий аккредитованного удостоверяющего центра при возникновении обоснованных сомнений относительно лица, давшего поручение на использование хранимых ключей электронной подписи, а также при приостановлении (прекращении) технической возможности использования хранимых ключей электронной подписи, включая информирование владельцев квалифицированных сертификатов ключей проверки электронной подписи о событиях, вызвавших приостановление (прекращение) технической возможности использования хранимых ключей электронной подписи, об их причинах и последствиях».
📯 Аттестация объектов информатизации, обрабатывающих информацию, не составляющую государственную тайну
ФСТЭК России, видимо, уже сейчас решила радовать новогодними подарками🎁, в связи с чем для общественного обсуждения был представлен проект приказа регулятора «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну».
Проектом предполагается урегулировать порядок аттестации объектов информатизации, представляющих собой:
📍государственные информационные системы;
📍 муниципальные информационные системы;
📍 информационные системы управления производством, используемые организациями оборонно-промышленного комплекса;
📍 защищаемые помещения;
📍 значимые объекты критической информационной инфраструктуры;
📍 автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
—————————————————————
Предполагается, что для последних двух (ЗОКИИ и АСУ ТП, защищаемых по 31-му приказу ФСТЭК России) проектируемый порядок будет распространяться при условии, что на стадии их создании были установлены требования к оценке соответствия требованиям по защите информации в форме аттестации.
—————————————————————
Кроме самого порядка аттестации предлагаются занятные формы техпаспортов, акта классификации и самого аттестат соответствия требованиям по защите информации.
—————————————————————
🤔 Странно, что в представленный проект порядка не попали ИСПДн.
ФСТЭК России, видимо, уже сейчас решила радовать новогодними подарками🎁, в связи с чем для общественного обсуждения был представлен проект приказа регулятора «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну».
Проектом предполагается урегулировать порядок аттестации объектов информатизации, представляющих собой:
📍государственные информационные системы;
📍 муниципальные информационные системы;
📍 информационные системы управления производством, используемые организациями оборонно-промышленного комплекса;
📍 защищаемые помещения;
📍 значимые объекты критической информационной инфраструктуры;
📍 автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
—————————————————————
Предполагается, что для последних двух (ЗОКИИ и АСУ ТП, защищаемых по 31-му приказу ФСТЭК России) проектируемый порядок будет распространяться при условии, что на стадии их создании были установлены требования к оценке соответствия требованиям по защите информации в форме аттестации.
—————————————————————
Кроме самого порядка аттестации предлагаются занятные формы техпаспортов, акта классификации и самого аттестат соответствия требованиям по защите информации.
—————————————————————
🤔 Странно, что в представленный проект порядка не попали ИСПДн.
📣 Изменения лицензирования деятельности по ТЗКИ
Официально опубликованы приказы ФСТЭК России, вносящие изменения в:
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134.
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом
ФСТЭК России от 17 июля 2017 г. № 133.
———————————————————
Это что же, ФСТЭК России выполнила часть плана нормотворческой деятельности на 2021 год?
Официально опубликованы приказы ФСТЭК России, вносящие изменения в:
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134.
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом
ФСТЭК России от 17 июля 2017 г. № 133.
———————————————————
Это что же, ФСТЭК России выполнила часть плана нормотворческой деятельности на 2021 год?
И ещё немного про ЭП
Официально опубликован приказ Минцифры от 30.11.2020 № 641 «Об утверждении требований к порядку реализации функций аккредитованной доверенной третьей стороны и исполнения ее обязанностей».
А днём ранее был представлен приказ Минцифры от 26.11.2020 № 624 «Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя - физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре».
Официально опубликован приказ Минцифры от 30.11.2020 № 641 «Об утверждении требований к порядку реализации функций аккредитованной доверенной третьей стороны и исполнения ее обязанностей».
А днём ранее был представлен приказ Минцифры от 26.11.2020 № 624 «Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя - физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре».
