Журнал "Information Security/ Информационная безопасность" #2, 2021

6 • ПРАВО И НОРМАТИВЫ Порядок аттестации объектов информатизации В апреле 2021 г. опубликован дорабо- танный по итогам обсуждения проект приказа ФСТЭК России "Об утвержде- нии Порядка организации и проведения работ по аттестации объектов инфор- матизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государст- венную тайну" 9 (далее – проект приказа ФСТЭК России). Напомним, что первая версия про- екта приказа ФСТЭК России была опубликована в декабре 2020 г. 10 В новой версии проекта приказа ФСТЭК России исключены требования к аттестационным испытаниям распре- деленных систем, имеющих клиент- серверную архитектуру, в том числе функционирующих на базе информа- ционно-телекоммуникационной инфра- структуры центров обработки данных. С исключением данного требования также ушли и описания требований к выборке типовых аттестуемых клиент- ских автоматизированных рабочих мест. Следует отметить, что в целом проект приказа ФСТЭК России также не описывает порядок организации и проведения работ по аттестации выде- ленного набора сегментов объектов информатизации (далее – ОИ), реали- зующих полную технологию обработки информации. Требования проекта приказа ФСТЭК России в обязательном порядке пред- полагается применять при аттестации: l государственных и муниципальных информационных систем (далее – ИС), в том числе государственных, муници- пальных ИС персональных данных (далее – ПДн); l ИС управления производством, используемых организациями оборон- но-промышленного комплекса, в том числе автоматизированных систем (далее – АС) станков с числовым про- граммным управлением; l помещений, предназначенных для ведения конфиденциальных переговоров (защищаемых помещений). В случае принятия владельцами реше- ния о проведении оценки соответствия систем защиты информации в форме аттестации требованиями проекта при- каза ФСТЭК России необходимо будет также руководствоваться для: l значимых объектов критической информационной инфраструктуры (далее – КИИ); l ИСПДн (за исключением государст- венных, муниципальных ИСПДн); l АС управления производственными и технологическими процессами на кри- тически важных объектах, потенциально опасных объектах, объектах, представ- ляющих повышенную опасность для жизни и здоровья людей и для окру- жающей природной среды. Отметим также несколько основных изменений, предлагаемых проектом при- каза ФСТЭК России: 1. По решению руководителя феде- рального органа государственной вла- сти, органа государственной власти субъ- екта Российской Федерации, органа местного самоуправления аттестация принадлежащих этому органу ОИ может проводиться структурным подразделе- нием (работниками), ответственным за защиту информации, после информи- рования ФСТЭК России о принятом решении и при выполнении требований, установленных в проекте приказа ФСТЭК России. Таким образом, по про- екту приказа ФСТЭК России орган вла- сти может самостоятельно проводить аттестацию своих ОИ. При этом регуля- тор отмечает, что такой орган власти не оказывает услуги кому-либо в целях приобретения прибыли и в таком случае органу власти не требуется лицензия на осуществление деятельности по техни- ческой защите конфиденциальной информации. 2. Владелец ОИ в случае несогласия с выявленными органом по аттестации недостатками и выводами, содержащи- мися в заключении и протоколах, может направить во ФСТЭК России письменное обращение с обоснованием такого несо- гласия (далее – обращение). ФСТЭК России в течение 10 календарных дней с даты получения обращения должен провести оценку документов и выводов, содержащихся в заключении. 3. Органы по аттестации после завер- шения аттестации ОИ должны будут представлять во ФСТЭК России копии аттестационных документов. Органы по аттестации также должны будут еже- годно представлять в управление ФСТЭК России по федеральному округу, на тер- ритории которого расположен орган по аттестации, сведения об аттестованных ими объектах информатизации. 4. Владельцы аттестованных ОИ будут должны не реже одного раза в два года представлять во ФСТЭК России прото- колы контроля защищенности инфор- мации, оформляемые по результатам периодического контроля уровня защи- щенности информации в аттестованном ОИ. 5. ФСТЭК России может приостано- вить действие аттестата соответствия в случаях: установления факта несоот- ветствия аттестованного ОИ требова- ниям по защите информации; неустра- нения недостатков, выявленных ФСТЭК России; непредставления протоколов контроля уровня защищенности инфор- мации в аттестованном ОИ; изменений архитектуры системы защиты инфор- мации аттестованного ОИ, которые при- водят к несоответствию этого объекта аттестату соответствия; обращения вла- дельца ОИ о приостановлении действия аттестата соответствия. Если замечания, повлекшие приостановление аттестата соответствия, не будут устранены, то действие аттестата соответствия может быть прекращено. Требования проекта приказа ФСТЭК России предлагается применять с 1 сен- тября 2021 г. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения В апреле 2021 г. официально опуб- ликован приказ Роскомнадзора от 24.02.2021 г. № 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, раз- Апрель-2021 апреле 2021 г. был опубликован проект порядка аттестации объектов информатизации и приказ Роскомнадзора, устанавливающий требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения. Банк России сообщил о неприменимости мер в случае нарушения требований к обеспечению защиты информации некредитными финансовыми организациями. Импортозамещение в КИИ получило отрицательное заключение регулирующего воздействия, а Минздрав России опубликовал Методические рекомендации по категорированию объектов КИИ сферы здравоохранения. В 9 https://regulation.gov.ru/projects#npa=111958 10 См. Кузнецова К.А. Обзор изменений в законодательстве. Декабрь-2020 // Information Security/ Информационная безопасность. 2020. № 6. С. 6–7.