|
|
@@ -1,109 +0,0 @@
|
|
|
-# Обзор изменений в законодательстве за октябрь 2022
|
|
|
-#### Законопроект про ЕБС
|
|
|
-Государственная Дума представила законопроект «О государственной информационной системе «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».
|
|
|
-Проект Федерального закона включает статьи, определяющие:
|
|
|
-- порядок размещения сведений в ЕБС;
|
|
|
-- порядок образования региональных сегментов ЕБС (по обращению субъекта РФ);
|
|
|
-- права и полномочия федерального органа исполнительной власти, осуществляющего регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических ПДн (Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры), в соответствии с постановлением Правительства РФ от 19.06.2021 №943);
|
|
|
-- полномочия Центрального банка РФ и иных федеральных органов исполнительной власти:
|
|
|
-
|
|
|
-- Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор);
|
|
|
-- Федеральной службы безопасности РФ (далее – ФСБ России);
|
|
|
-- Федеральной службы по техническому и экспортному контролю РФ (далее – ФСТЭК России);
|
|
|
-- полномочия и обязанности Оператора ЕБС;
|
|
|
-- порядок и допустимые условия осуществления идентификации и аутентификации физических лиц на основе их биометрических ПДн (в том числе отдельно в случаях прохода на территорию организаций);
|
|
|
-- равнозначность использования ЕБС и единой системы идентификации и аутентификации (ЕСИА) при проверке документов, удостоверяющих личность;
|
|
|
-- взимание платы за использование ЕБС;
|
|
|
-- порядок использования иных информационных систем при обработке биометрических ПДн с целью идентификации и аутентификации;
|
|
|
-- порядок аккредитации организаций, осуществляющих аутентификацию на основе биометрических ПДн;
|
|
|
-- ответственность за нарушение положений законопроекта, порядок государственного контроля и иное.
|
|
|
-
|
|
|
-Согласно пояснительной записке, законопроект предусматривает проведение идентификации физических лиц на основе биометрических ПДн, в том числе в случаях, предусмотренных нормативными правовыми актами государственных органов, органов местного самоуправления и т.д., только с использованием ЕБС. При этом аутентификацию допускается осуществлять с использованием иных аккредитованных информационных систем. Кроме прочего, проект предлагает расширение способов самостоятельной регистрации физических лиц в ЕБС.
|
|
|
-
|
|
|
-Таким образом предлагается векторная модель, при которой биометрические ПДн будут централизованно храниться в ЕБС, а внешние аккредитованные информационные системы могут хранить и использовать в определенном порядке только векторы данных, полученные из ЕБС. Обработка биометрических ПДн с целью идентификации физических лиц без использования ЕБС (в случае принятия проекта) будет возможна только в случаях:
|
|
|
-
|
|
|
-- осуществления федеральными органами исполнительной власти идентификации и(или) аутентификации с использованием биометрических ПДн физических лиц в целях оперативно-розыскной, контрразведывательной или разведывательной деятельности, обороны страны, обеспечения безопасности государства и охраны правопорядка, функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность, обеспечения санитарно-эпидемиологического благополучия (безопасности);
|
|
|
-
|
|
|
-- если при осуществлении идентификации и(или) аутентификации проверка соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в информационной системе государственного органа, органа местного самоуправления, организации, индивидуального предпринимателя, нотариуса, не осуществляется автоматизированным способом, а осуществляется с участием уполномоченного должностного лица.
|
|
|
-
|
|
|
-В официальном ответе Правительства РФ отмечено, что предлагаемый механизм централизации хранения биометрических ПДн в ЕБС и переход на векторную модель работы иных информационных систем, позволит обеспечить надежное хранение и повысить эффективность защиты биометрических ПДн.
|
|
|
-
|
|
|
-На текущий момент законопроект в статусе принятия профильным комитетом решения о представлении законопроекта в Совет Государственной Думы.
|
|
|
-
|
|
|
-
|
|
|
-
|
|
|
-#### Положения о платформе ГосТех
|
|
|
-Проект предлагает обязательные изменения для государственных информационных систем (далее – ГИС) и носит рекомендательных характер для муниципальных информационных систем (далее – МИС).
|
|
|
-Положение о платформе «ГосТех» определяет основные термины, назначение платформы, ее цель, задачи и основные принципы функционирования.
|
|
|
-Платформа «ГосТех» создается в целях сокращения сроков, повышения эффективности и результативности процессов по созданию и развитию ГИС на платформе с переходом на качественно новый уровень их эргономичности, совместимости, надежности и защищенности.
|
|
|
-Платформа позволяет:
|
|
|
-- проектировать архитектуру ГИС, обеспечивать итерационный подход к ее созданию и развитию;
|
|
|
-- обеспечивать информационную безопасность облачных вычислений и ГИС на всех этапах их жизненного цикла;
|
|
|
-- реализовать повторное использование типовых программных компонентов ГИС;
|
|
|
-- формировать методическую и правовую базу для функционирования платформы и т.д.
|
|
|
-
|
|
|
-Для создания, развития и эксплуатации платформы «ГосТех» используются в том числе:
|
|
|
-- сервисы конфигурирования;
|
|
|
-- сервисы аудита событий безопасности;
|
|
|
-- сервисы управления учетными записями пользователей;
|
|
|
-- сервисы управления базами данных;
|
|
|
-- сервисы управления микросервисами и процессами;
|
|
|
-- сервисы интеграции с инфраструктурой электронного правительства;
|
|
|
-- средства защиты от сетевых атак и т.д.
|
|
|
-
|
|
|
-Технологическую и финансовую целесообразность создания и развития ГИС на платформе «ГосТех» предлагается определять с использованием критериев, определяемых президиумом Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности.
|
|
|
-При этом ПО, созданное с использованием цифровых продуктов платформы «ГосТех», представляет собой самостоятельный результат интеллектуальной деятельности, отделенный на уровне объектного и исходного кода от базовых сервисов платформы «ГосТех».
|
|
|
-Положение также определяет зоны ответственности участников платформы, принципы функционирования платформы, общие требования к защите информации в ГИС на платформе и прочее.
|
|
|
-
|
|
|
-Также в продолжение Положения о платформе «ГосТех» предлагаются изменения в постановление Правительства РФ от 06.07.2025 №676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»:
|
|
|
-- Аналогично пунктам Положения, требования предлагается рекомендовать к использованию в МИС (расширить область действия постановления).
|
|
|
-- Дополнить постановление терминами, используемыми при описании платформы, ее целей, задач, структуры и принципов создания ГИС на платформе.
|
|
|
-- Ввести положения, касающиеся определения целесообразности, технико-экономического обоснования и порядка создания и ввода в эксплуатацию ГИС на платформе «ГосТех» (формирование технического задания, модели угроз и т.д.).
|
|
|
-
|
|
|
-Общественное обсуждение проекта завершилось 26 октября. В случае утверждения проекта изменения вступят в силу с 1 января 2023 года.
|
|
|
-
|
|
|
-#### Допуск к гостайне
|
|
|
-Допуск к государственной тайне (далее – ГТ) по третьей форме с проведением проверочных мероприятий органами безопасности теперь также обязателен для:
|
|
|
-- руководителей территориально обособленных подразделений, работающих с ГТ;
|
|
|
-- заместителям руководителей по режиму безопасности ГТ;
|
|
|
-- работников структурных подразделение по защите ГТ;
|
|
|
-- лицам, которые назначаются уполномоченными режимно-секретного подразделения.
|
|
|
-
|
|
|
-#### Профессиональные стандарты по ИБ
|
|
|
-Официально опубликованы некоторые профессиональные стандарты для специалистов по информационной безопасности и в смежных областях, содержащие описание трудовых функций специалистов:
|
|
|
-1. Специалист по безопасности компьютерных систем и сетей:
|
|
|
-- техническое обслуживание средств защиты информации в компьютерных системах и сетях;
|
|
|
-- администрирование средств защиты информации в компьютерных системах и сетях;
|
|
|
-- оценивание уровня безопасности компьютерных систем и сетей;
|
|
|
-- разработка программно-аппаратных средств защиты информации компьютерных систем и сетей;
|
|
|
-- руководство разработкой программно-аппаратных средств защиты информации компьютерных систем и сетей.
|
|
|
-
|
|
|
-2. Специалист по защите информации в автоматизированных системах:
|
|
|
-- обслуживание систем защиты информации в автоматизированных системах, используемых в том числе на объектах КИИ, в отношении которых отсутствует необходимость присвоения им категории значимости (далее – АС и объекты КИИ без категории значимости);
|
|
|
-- обеспечения защиты информации в АС и объектах КИИ без категории значимости;
|
|
|
-- разработка систем защиты АС и объектов КИИ без категории значимости;
|
|
|
-- формирование требований к защите информации в АС и объектах КИИ без категории значимости.
|
|
|
-
|
|
|
-3. Специалист по защите информации в телекоммуникационных системах и сетях:
|
|
|
-- выполнение комплекса мер по обеспечению функционирования средств связи сетей электросвязи (за исключением сетей связи специального назначения) и средств их защиту о несанкционированного доступа (далее – НСД) и компьютерных атак;
|
|
|
-- обеспечение защиты от НСД и компьютерных атак сооружений и средств связи сетей электросвязи (за исключением сетей связи специального назначения) в процессе их эксплуатации;
|
|
|
-- обеспечение функционирования средств связей сетей связи специального назначения;
|
|
|
-- разработка средств защиты средств связи сетей электросвязи (за исключением сетей связи специального назначения) от НСД и компьютерных атак;
|
|
|
-- обеспечение защиты средств связей сетей связи специального назначения от НСД;
|
|
|
-- управление развитием средств и систем защиты средств связи сетей электросвязи от НСД;
|
|
|
-- экспертиза проектных решений в сфере защиты средств связи сетей электросвязи от НСД и компьютерных атак.
|
|
|
-
|
|
|
-4. Технический писатель (специалист по технической документации в области информационных технологий):
|
|
|
-- оформление и компоновка технической документации на продукцию в сфере информационно-коммуникационных технологий (далее – ИКТ);
|
|
|
-- разработка документации, ориентированной на конечного пользователя, на продукцию в сфере ИКТ, разработка стандартизированных технических документов на основе предоставленного материала;
|
|
|
-- правление знаниями о продукте;
|
|
|
-- описание продуктов с точки зрения инженера или разработчика;
|
|
|
-- руководство разработкой технической документации продукта;
|
|
|
-- создание и внедрение средств разработки технической документации;
|
|
|
-- руководство отделом технического документирования;
|
|
|
-- руководство функциональным подразделением технической коммуникации.
|
|
|
-
|
|
|
-Стандарты описывают необходимые знания и умения, возможные наименования должностей, профессий, а также требования к условиям работы, допуску, образованию и иное.
|
|
|
-# Литература
|
|
|
-
|
|
|
-https://habr.com/ru/post/698018/
|
