|
|
@@ -0,0 +1,109 @@
|
|
|
+# Обзор изменений в законодательстве за октябрь 2022
|
|
|
+#### Законопроект про ЕБС
|
|
|
+Государственная Дума представила законопроект «О государственной информационной системе «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».
|
|
|
+Проект Федерального закона включает статьи, определяющие:
|
|
|
+- порядок размещения сведений в ЕБС;
|
|
|
+- порядок образования региональных сегментов ЕБС (по обращению субъекта РФ);
|
|
|
+- права и полномочия федерального органа исполнительной власти, осуществляющего регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических ПДн (Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры), в соответствии с постановлением Правительства РФ от 19.06.2021 №943);
|
|
|
+- полномочия Центрального банка РФ и иных федеральных органов исполнительной власти:
|
|
|
+
|
|
|
+- Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор);
|
|
|
+- Федеральной службы безопасности РФ (далее – ФСБ России);
|
|
|
+- Федеральной службы по техническому и экспортному контролю РФ (далее – ФСТЭК России);
|
|
|
+- полномочия и обязанности Оператора ЕБС;
|
|
|
+- порядок и допустимые условия осуществления идентификации и аутентификации физических лиц на основе их биометрических ПДн (в том числе отдельно в случаях прохода на территорию организаций);
|
|
|
+- равнозначность использования ЕБС и единой системы идентификации и аутентификации (ЕСИА) при проверке документов, удостоверяющих личность;
|
|
|
+- взимание платы за использование ЕБС;
|
|
|
+- порядок использования иных информационных систем при обработке биометрических ПДн с целью идентификации и аутентификации;
|
|
|
+- порядок аккредитации организаций, осуществляющих аутентификацию на основе биометрических ПДн;
|
|
|
+- ответственность за нарушение положений законопроекта, порядок государственного контроля и иное.
|
|
|
+
|
|
|
+Согласно пояснительной записке, законопроект предусматривает проведение идентификации физических лиц на основе биометрических ПДн, в том числе в случаях, предусмотренных нормативными правовыми актами государственных органов, органов местного самоуправления и т.д., только с использованием ЕБС. При этом аутентификацию допускается осуществлять с использованием иных аккредитованных информационных систем. Кроме прочего, проект предлагает расширение способов самостоятельной регистрации физических лиц в ЕБС.
|
|
|
+
|
|
|
+Таким образом предлагается векторная модель, при которой биометрические ПДн будут централизованно храниться в ЕБС, а внешние аккредитованные информационные системы могут хранить и использовать в определенном порядке только векторы данных, полученные из ЕБС. Обработка биометрических ПДн с целью идентификации физических лиц без использования ЕБС (в случае принятия проекта) будет возможна только в случаях:
|
|
|
+
|
|
|
+- осуществления федеральными органами исполнительной власти идентификации и(или) аутентификации с использованием биометрических ПДн физических лиц в целях оперативно-розыскной, контрразведывательной или разведывательной деятельности, обороны страны, обеспечения безопасности государства и охраны правопорядка, функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность, обеспечения санитарно-эпидемиологического благополучия (безопасности);
|
|
|
+
|
|
|
+- если при осуществлении идентификации и(или) аутентификации проверка соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в информационной системе государственного органа, органа местного самоуправления, организации, индивидуального предпринимателя, нотариуса, не осуществляется автоматизированным способом, а осуществляется с участием уполномоченного должностного лица.
|
|
|
+
|
|
|
+В официальном ответе Правительства РФ отмечено, что предлагаемый механизм централизации хранения биометрических ПДн в ЕБС и переход на векторную модель работы иных информационных систем, позволит обеспечить надежное хранение и повысить эффективность защиты биометрических ПДн.
|
|
|
+
|
|
|
+На текущий момент законопроект в статусе принятия профильным комитетом решения о представлении законопроекта в Совет Государственной Думы.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+#### Положения о платформе ГосТех
|
|
|
+Проект предлагает обязательные изменения для государственных информационных систем (далее – ГИС) и носит рекомендательных характер для муниципальных информационных систем (далее – МИС).
|
|
|
+Положение о платформе «ГосТех» определяет основные термины, назначение платформы, ее цель, задачи и основные принципы функционирования.
|
|
|
+Платформа «ГосТех» создается в целях сокращения сроков, повышения эффективности и результативности процессов по созданию и развитию ГИС на платформе с переходом на качественно новый уровень их эргономичности, совместимости, надежности и защищенности.
|
|
|
+Платформа позволяет:
|
|
|
+- проектировать архитектуру ГИС, обеспечивать итерационный подход к ее созданию и развитию;
|
|
|
+- обеспечивать информационную безопасность облачных вычислений и ГИС на всех этапах их жизненного цикла;
|
|
|
+- реализовать повторное использование типовых программных компонентов ГИС;
|
|
|
+- формировать методическую и правовую базу для функционирования платформы и т.д.
|
|
|
+
|
|
|
+Для создания, развития и эксплуатации платформы «ГосТех» используются в том числе:
|
|
|
+- сервисы конфигурирования;
|
|
|
+- сервисы аудита событий безопасности;
|
|
|
+- сервисы управления учетными записями пользователей;
|
|
|
+- сервисы управления базами данных;
|
|
|
+- сервисы управления микросервисами и процессами;
|
|
|
+- сервисы интеграции с инфраструктурой электронного правительства;
|
|
|
+- средства защиты от сетевых атак и т.д.
|
|
|
+
|
|
|
+Технологическую и финансовую целесообразность создания и развития ГИС на платформе «ГосТех» предлагается определять с использованием критериев, определяемых президиумом Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности.
|
|
|
+При этом ПО, созданное с использованием цифровых продуктов платформы «ГосТех», представляет собой самостоятельный результат интеллектуальной деятельности, отделенный на уровне объектного и исходного кода от базовых сервисов платформы «ГосТех».
|
|
|
+Положение также определяет зоны ответственности участников платформы, принципы функционирования платформы, общие требования к защите информации в ГИС на платформе и прочее.
|
|
|
+
|
|
|
+Также в продолжение Положения о платформе «ГосТех» предлагаются изменения в постановление Правительства РФ от 06.07.2025 №676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»:
|
|
|
+- Аналогично пунктам Положения, требования предлагается рекомендовать к использованию в МИС (расширить область действия постановления).
|
|
|
+- Дополнить постановление терминами, используемыми при описании платформы, ее целей, задач, структуры и принципов создания ГИС на платформе.
|
|
|
+- Ввести положения, касающиеся определения целесообразности, технико-экономического обоснования и порядка создания и ввода в эксплуатацию ГИС на платформе «ГосТех» (формирование технического задания, модели угроз и т.д.).
|
|
|
+
|
|
|
+Общественное обсуждение проекта завершилось 26 октября. В случае утверждения проекта изменения вступят в силу с 1 января 2023 года.
|
|
|
+
|
|
|
+#### Допуск к гостайне
|
|
|
+Допуск к государственной тайне (далее – ГТ) по третьей форме с проведением проверочных мероприятий органами безопасности теперь также обязателен для:
|
|
|
+- руководителей территориально обособленных подразделений, работающих с ГТ;
|
|
|
+- заместителям руководителей по режиму безопасности ГТ;
|
|
|
+- работников структурных подразделение по защите ГТ;
|
|
|
+- лицам, которые назначаются уполномоченными режимно-секретного подразделения.
|
|
|
+
|
|
|
+#### Профессиональные стандарты по ИБ
|
|
|
+Официально опубликованы некоторые профессиональные стандарты для специалистов по информационной безопасности и в смежных областях, содержащие описание трудовых функций специалистов:
|
|
|
+1. Специалист по безопасности компьютерных систем и сетей:
|
|
|
+- техническое обслуживание средств защиты информации в компьютерных системах и сетях;
|
|
|
+- администрирование средств защиты информации в компьютерных системах и сетях;
|
|
|
+- оценивание уровня безопасности компьютерных систем и сетей;
|
|
|
+- разработка программно-аппаратных средств защиты информации компьютерных систем и сетей;
|
|
|
+- руководство разработкой программно-аппаратных средств защиты информации компьютерных систем и сетей.
|
|
|
+
|
|
|
+2. Специалист по защите информации в автоматизированных системах:
|
|
|
+- обслуживание систем защиты информации в автоматизированных системах, используемых в том числе на объектах КИИ, в отношении которых отсутствует необходимость присвоения им категории значимости (далее – АС и объекты КИИ без категории значимости);
|
|
|
+- обеспечения защиты информации в АС и объектах КИИ без категории значимости;
|
|
|
+- разработка систем защиты АС и объектов КИИ без категории значимости;
|
|
|
+- формирование требований к защите информации в АС и объектах КИИ без категории значимости.
|
|
|
+
|
|
|
+3. Специалист по защите информации в телекоммуникационных системах и сетях:
|
|
|
+- выполнение комплекса мер по обеспечению функционирования средств связи сетей электросвязи (за исключением сетей связи специального назначения) и средств их защиту о несанкционированного доступа (далее – НСД) и компьютерных атак;
|
|
|
+- обеспечение защиты от НСД и компьютерных атак сооружений и средств связи сетей электросвязи (за исключением сетей связи специального назначения) в процессе их эксплуатации;
|
|
|
+- обеспечение функционирования средств связей сетей связи специального назначения;
|
|
|
+- разработка средств защиты средств связи сетей электросвязи (за исключением сетей связи специального назначения) от НСД и компьютерных атак;
|
|
|
+- обеспечение защиты средств связей сетей связи специального назначения от НСД;
|
|
|
+- управление развитием средств и систем защиты средств связи сетей электросвязи от НСД;
|
|
|
+- экспертиза проектных решений в сфере защиты средств связи сетей электросвязи от НСД и компьютерных атак.
|
|
|
+
|
|
|
+4. Технический писатель (специалист по технической документации в области информационных технологий):
|
|
|
+- оформление и компоновка технической документации на продукцию в сфере информационно-коммуникационных технологий (далее – ИКТ);
|
|
|
+- разработка документации, ориентированной на конечного пользователя, на продукцию в сфере ИКТ, разработка стандартизированных технических документов на основе предоставленного материала;
|
|
|
+- правление знаниями о продукте;
|
|
|
+- описание продуктов с точки зрения инженера или разработчика;
|
|
|
+- руководство разработкой технической документации продукта;
|
|
|
+- создание и внедрение средств разработки технической документации;
|
|
|
+- руководство отделом технического документирования;
|
|
|
+- руководство функциональным подразделением технической коммуникации.
|
|
|
+
|
|
|
+Стандарты описывают необходимые знания и умения, возможные наименования должностей, профессий, а также требования к условиям работы, допуску, образованию и иное.
|
|
|
+# Литература
|
|
|
+
|
|
|
+https://habr.com/ru/post/698018/
|
u19-23beshlyaga
