# Обзор изменений в законодательстве за октябрь 2022 #### Законопроект про ЕБС Государственная Дума представила законопроект «О государственной информационной системе «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица». Проект Федерального закона включает статьи, определяющие: - порядок размещения сведений в ЕБС; - порядок образования региональных сегментов ЕБС (по обращению субъекта РФ); - права и полномочия федерального органа исполнительной власти, осуществляющего регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических ПДн (Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры), в соответствии с постановлением Правительства РФ от 19.06.2021 №943); - полномочия Центрального банка РФ и иных федеральных органов исполнительной власти: - Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор); - Федеральной службы безопасности РФ (далее – ФСБ России); - Федеральной службы по техническому и экспортному контролю РФ (далее – ФСТЭК России); - полномочия и обязанности Оператора ЕБС; - порядок и допустимые условия осуществления идентификации и аутентификации физических лиц на основе их биометрических ПДн (в том числе отдельно в случаях прохода на территорию организаций); - равнозначность использования ЕБС и единой системы идентификации и аутентификации (ЕСИА) при проверке документов, удостоверяющих личность; - взимание платы за использование ЕБС; - порядок использования иных информационных систем при обработке биометрических ПДн с целью идентификации и аутентификации; - порядок аккредитации организаций, осуществляющих аутентификацию на основе биометрических ПДн; - ответственность за нарушение положений законопроекта, порядок государственного контроля и иное. Согласно пояснительной записке, законопроект предусматривает проведение идентификации физических лиц на основе биометрических ПДн, в том числе в случаях, предусмотренных нормативными правовыми актами государственных органов, органов местного самоуправления и т.д., только с использованием ЕБС. При этом аутентификацию допускается осуществлять с использованием иных аккредитованных информационных систем. Кроме прочего, проект предлагает расширение способов самостоятельной регистрации физических лиц в ЕБС. Таким образом предлагается векторная модель, при которой биометрические ПДн будут централизованно храниться в ЕБС, а внешние аккредитованные информационные системы могут хранить и использовать в определенном порядке только векторы данных, полученные из ЕБС. Обработка биометрических ПДн с целью идентификации физических лиц без использования ЕБС (в случае принятия проекта) будет возможна только в случаях: - осуществления федеральными органами исполнительной власти идентификации и(или) аутентификации с использованием биометрических ПДн физических лиц в целях оперативно-розыскной, контрразведывательной или разведывательной деятельности, обороны страны, обеспечения безопасности государства и охраны правопорядка, функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность, обеспечения санитарно-эпидемиологического благополучия (безопасности); - если при осуществлении идентификации и(или) аутентификации проверка соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в информационной системе государственного органа, органа местного самоуправления, организации, индивидуального предпринимателя, нотариуса, не осуществляется автоматизированным способом, а осуществляется с участием уполномоченного должностного лица. В официальном ответе Правительства РФ отмечено, что предлагаемый механизм централизации хранения биометрических ПДн в ЕБС и переход на векторную модель работы иных информационных систем, позволит обеспечить надежное хранение и повысить эффективность защиты биометрических ПДн. На текущий момент законопроект в статусе принятия профильным комитетом решения о представлении законопроекта в Совет Государственной Думы. ![1](1.jpg) #### Положения о платформе ГосТех Проект предлагает обязательные изменения для государственных информационных систем (далее – ГИС) и носит рекомендательных характер для муниципальных информационных систем (далее – МИС). Положение о платформе «ГосТех» определяет основные термины, назначение платформы, ее цель, задачи и основные принципы функционирования. Платформа «ГосТех» создается в целях сокращения сроков, повышения эффективности и результативности процессов по созданию и развитию ГИС на платформе с переходом на качественно новый уровень их эргономичности, совместимости, надежности и защищенности. Платформа позволяет: - проектировать архитектуру ГИС, обеспечивать итерационный подход к ее созданию и развитию; - обеспечивать информационную безопасность облачных вычислений и ГИС на всех этапах их жизненного цикла; - реализовать повторное использование типовых программных компонентов ГИС; - формировать методическую и правовую базу для функционирования платформы и т.д. Для создания, развития и эксплуатации платформы «ГосТех» используются в том числе: - сервисы конфигурирования; - сервисы аудита событий безопасности; - сервисы управления учетными записями пользователей; - сервисы управления базами данных; - сервисы управления микросервисами и процессами; - сервисы интеграции с инфраструктурой электронного правительства; - средства защиты от сетевых атак и т.д. Технологическую и финансовую целесообразность создания и развития ГИС на платформе «ГосТех» предлагается определять с использованием критериев, определяемых президиумом Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности. При этом ПО, созданное с использованием цифровых продуктов платформы «ГосТех», представляет собой самостоятельный результат интеллектуальной деятельности, отделенный на уровне объектного и исходного кода от базовых сервисов платформы «ГосТех». Положение также определяет зоны ответственности участников платформы, принципы функционирования платформы, общие требования к защите информации в ГИС на платформе и прочее. Также в продолжение Положения о платформе «ГосТех» предлагаются изменения в постановление Правительства РФ от 06.07.2025 №676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»: - Аналогично пунктам Положения, требования предлагается рекомендовать к использованию в МИС (расширить область действия постановления). - Дополнить постановление терминами, используемыми при описании платформы, ее целей, задач, структуры и принципов создания ГИС на платформе. - Ввести положения, касающиеся определения целесообразности, технико-экономического обоснования и порядка создания и ввода в эксплуатацию ГИС на платформе «ГосТех» (формирование технического задания, модели угроз и т.д.). Общественное обсуждение проекта завершилось 26 октября. В случае утверждения проекта изменения вступят в силу с 1 января 2023 года. #### Допуск к гостайне Допуск к государственной тайне (далее – ГТ) по третьей форме с проведением проверочных мероприятий органами безопасности теперь также обязателен для: - руководителей территориально обособленных подразделений, работающих с ГТ; - заместителям руководителей по режиму безопасности ГТ; - работников структурных подразделение по защите ГТ; - лицам, которые назначаются уполномоченными режимно-секретного подразделения. #### Профессиональные стандарты по ИБ Официально опубликованы некоторые профессиональные стандарты для специалистов по информационной безопасности и в смежных областях, содержащие описание трудовых функций специалистов: 1. Специалист по безопасности компьютерных систем и сетей: - техническое обслуживание средств защиты информации в компьютерных системах и сетях; - администрирование средств защиты информации в компьютерных системах и сетях; - оценивание уровня безопасности компьютерных систем и сетей; - разработка программно-аппаратных средств защиты информации компьютерных систем и сетей; - руководство разработкой программно-аппаратных средств защиты информации компьютерных систем и сетей. 2. Специалист по защите информации в автоматизированных системах: - обслуживание систем защиты информации в автоматизированных системах, используемых в том числе на объектах КИИ, в отношении которых отсутствует необходимость присвоения им категории значимости (далее – АС и объекты КИИ без категории значимости); - обеспечения защиты информации в АС и объектах КИИ без категории значимости; - разработка систем защиты АС и объектов КИИ без категории значимости; - формирование требований к защите информации в АС и объектах КИИ без категории значимости. 3. Специалист по защите информации в телекоммуникационных системах и сетях: - выполнение комплекса мер по обеспечению функционирования средств связи сетей электросвязи (за исключением сетей связи специального назначения) и средств их защиту о несанкционированного доступа (далее – НСД) и компьютерных атак; - обеспечение защиты от НСД и компьютерных атак сооружений и средств связи сетей электросвязи (за исключением сетей связи специального назначения) в процессе их эксплуатации; - обеспечение функционирования средств связей сетей связи специального назначения; - разработка средств защиты средств связи сетей электросвязи (за исключением сетей связи специального назначения) от НСД и компьютерных атак; - обеспечение защиты средств связей сетей связи специального назначения от НСД; - управление развитием средств и систем защиты средств связи сетей электросвязи от НСД; - экспертиза проектных решений в сфере защиты средств связи сетей электросвязи от НСД и компьютерных атак. 4. Технический писатель (специалист по технической документации в области информационных технологий): - оформление и компоновка технической документации на продукцию в сфере информационно-коммуникационных технологий (далее – ИКТ); - разработка документации, ориентированной на конечного пользователя, на продукцию в сфере ИКТ, разработка стандартизированных технических документов на основе предоставленного материала; - правление знаниями о продукте; - описание продуктов с точки зрения инженера или разработчика; - руководство разработкой технической документации продукта; - создание и внедрение средств разработки технической документации; - руководство отделом технического документирования; - руководство функциональным подразделением технической коммуникации. Стандарты описывают необходимые знания и умения, возможные наименования должностей, профессий, а также требования к условиям работы, допуску, образованию и иное. # Литература https://habr.com/ru/post/698018/