Журнал "Information Security/ Информационная безопасность" #2, 2024

6 • ПРАВО И НОРМАТИВЫ 6 https://protect.gost.ru/document1.aspx?control=31&baseC=6&page=3&month=2&year=2024&search=&id=257755 7 https://protect.gost.ru/document1.aspx?control=31&baseC=6&page=3&month=2&year=2024&search=&id=257752 8 https://protect.gost.ru/document1.aspx?control=31&baseC=6&page=5&month=3&year=2024&search=&id=258700 9 https://protect.gost.ru/document1.aspx?control=31&baseC=6&page=8&month=1&year=2024&search=&id=257135 10 http://publication.pravo.gov.ru/document/0001202404170002 11 https://fstec.ru/dokumenty/vse-dokumenty/informatsionnye-i-analiticheskie-materialy/informatsionnoe-soobshchenie-fstek-rossii- ot-27-marta-2024-g-n-240-11-1429 12 https://fstec.ru/dokumenty/vse-dokumenty/inye/primernaya-programma-povysheniya-kvalifikatsii 13 http://publication.pravo.gov.ru/document/0001202404050032?index=1 14 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=147441 Введение в действие стандартов в области защиты информации С 1 апреля 2024 г. официально вво- дятся в действие: l ГОСТ Р 71206–2024 "Защита инфор- мации. Разработка безопасного про- граммного обеспечения. Безопасный компилятор языков С/С++. Общие тре- бования" 6 ; l ГОСТ Р 71207–2024 "Защита инфор- мации. Разработка безопасного про- граммного обеспечения. Статический анализ программного обеспечения. Общие требования" 7 ; l ГОСТ Р 71252–2024 "Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем" 8 ; l ПНСТ 911–2024 "Критическая инфор- мационная инфраструктура. Доверенные интегральные микросхемы и электрон- ные модули. Общие положения" 9 . Сертификация процессов безопасной разработки программного обеспечения средств защиты информации Приказ ФСТЭК России от 01.12.2023 № 240 "Об утверждении Порядка про- ведения сертификации процессов без- опасной разработки программного обес- печения средств защиты информации" 10 официально опубликован 17 апреля 2024 г. Сертификация процессов проектиро- вания и производства программного обеспечения (процессов безопасной раз- работки ПО) средств защиты информа- ции, содержащей сведения, составляю- щие государственную тайну или отно- симые к охраняемой в соответствии с законодательством РФ иной инфор- мации ограниченного доступа, осуществ- ляется на соответствие требованиям национального стандарта ГОСТ Р 56939– 2016 "Защита информации. Разработка безопасного программного обеспечения. Общие требования". Изготовитель при намерении сертифицировать процессы безопасной разработки программного обеспечения выбирает для проведения сертификации аккредитованный ФСТЭК России орган по сертификации, согла- совывает с ним сроки проведения сер- тификации. В случае принятия ФСТЭК России решения о выдаче сертификата соответ- ствия сертификат соответствия подпи- сывается уполномоченным должностным лицом ФСТЭК России, сведения о сер- тификате соответствия учитываются в перечне сертификатов соответствия про- цессов безопасной разработки программ- ного обеспечения требованиям по без- опасной разработке. Сертификат соот- ветствия выдается на срок, указанный в заявке, но не более чем на пять лет. Программа повышения квалификации "Обеспечение безопасности ПДн при их обработке в ИСПДн" Информационным сообщением от 27 марта 2024 г. № 240/11/1429 11 ФСТЭК России сообщает о разработке и утвер- ждении новой редакции примерной про- граммы повышения квалификации "Обес- печение безопасности персональных дан- ных при их обработке в информационных системах персональных данных" 12 . Примерная программа предназначена для оказания методической помощи образовательным организациям при раз- работке программ повышения квалифи- кации, обучение по которым обеспечи- вает совершенствование и (или) полу- чение новых компетенций, необходимых для осуществления профессиональной деятельности, повышение профессио- нального уровня в рамках имеющейся квалификации специалистов (включая государственных гражданских служа- щих), работающих в области технической защиты информации в части организа- ции и проведения работ по обеспечению безопасности персональных данных при их обработке в информационных систе- мах персональных данных. В примерной программе определены оптимальные срок обучения, состав, содержание учебных модулей (тем), а также планируемые результаты обучения. Виды биометрических ПДн при осуществлении идентификации и (или) аутентификации Постановление Правительства Рос- сийской Федерации от 01.04.2024 № 408 "О видах биометрических персональных данных, на которые распространяется действие Федерального закона "Об осу- ществлении идентификации и (или) аутентификации физических лиц с использованием биометрических пер- сональных данных, о внесении измене- ний в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" 13 официально опубликовано 5 апреля 2024 г. Постановлением правительства уста- новлено, что видами биометрических ПДн, на которые распространяется действие Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием био- метрических персональных данных, о вне- сении изменений в отдельные законода- тельные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Рос- сийской Федерации", являются изобра- жение лица человека, полученное с помо- щьюфотовидеоустройств, и запись голоса человека, полученная с помощью звуко- записывающих устройств. Апрель-2024 обзоре изменений законодательства за апрель 2024 г. поговорим о стандартах, всту- пающих в силу в апреле 2024 г., о порядке проведения сертификации процессов без- опасной разработки ПО средств защиты информации, о примерной программе повы- шения квалификации “Обеспечение безопасности ПДн при их обработке в ИСПДн”, о видах биометрических ПДн при осуществлении идентификации и аутентификации, а также о проекте изменений в Федеральный закон “Об информации, информацион- ных технологиях и о защите информации”. В