Головна сторінка Огляд Довідка
Увійти
u22zhdanov
/
EASvZI
відгалужено від ypv/EASvZI
1
0
Відгалуження 0
Файли
Дерево: 1a65436f12
Гілки Теги
EASvZI
/
Лекции
/
1.4.120_Правовые_меры_ЗИ_в_АС
/
beshlyaga.md

beshlyaga.md 20 KB
Історія Запис

Обзор изменений в законодательстве за октябрь 2022

Законопроект про ЕБС

Государственная Дума представила законопроект «О государственной информационной системе «Единая информационная система персональных данных, обеспечивающая обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица». Проект Федерального закона включает статьи, определяющие:

  • порядок размещения сведений в ЕБС;
  • порядок образования региональных сегментов ЕБС (по обращению субъекта РФ);
  • права и полномочия федерального органа исполнительной власти, осуществляющего регулирование в сфере идентификации и аутентификации физических лиц на основе биометрических ПДн (Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры), в соответствии с постановлением Правительства РФ от 19.06.2021 №943);

  • полномочия Центрального банка РФ и иных федеральных органов исполнительной власти:

  • Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор);

  • Федеральной службы безопасности РФ (далее – ФСБ России);

  • Федеральной службы по техническому и экспортному контролю РФ (далее – ФСТЭК России);

  • полномочия и обязанности Оператора ЕБС;

  • порядок и допустимые условия осуществления идентификации и аутентификации физических лиц на основе их биометрических ПДн (в том числе отдельно в случаях прохода на территорию организаций);

  • равнозначность использования ЕБС и единой системы идентификации и аутентификации (ЕСИА) при проверке документов, удостоверяющих личность;

  • взимание платы за использование ЕБС;

  • порядок использования иных информационных систем при обработке биометрических ПДн с целью идентификации и аутентификации;

  • порядок аккредитации организаций, осуществляющих аутентификацию на основе биометрических ПДн;

  • ответственность за нарушение положений законопроекта, порядок государственного контроля и иное.

Согласно пояснительной записке, законопроект предусматривает проведение идентификации физических лиц на основе биометрических ПДн, в том числе в случаях, предусмотренных нормативными правовыми актами государственных органов, органов местного самоуправления и т.д., только с использованием ЕБС. При этом аутентификацию допускается осуществлять с использованием иных аккредитованных информационных систем. Кроме прочего, проект предлагает расширение способов самостоятельной регистрации физических лиц в ЕБС.

Таким образом предлагается векторная модель, при которой биометрические ПДн будут централизованно храниться в ЕБС, а внешние аккредитованные информационные системы могут хранить и использовать в определенном порядке только векторы данных, полученные из ЕБС. Обработка биометрических ПДн с целью идентификации физических лиц без использования ЕБС (в случае принятия проекта) будет возможна только в случаях:

  • осуществления федеральными органами исполнительной власти идентификации и(или) аутентификации с использованием биометрических ПДн физических лиц в целях оперативно-розыскной, контрразведывательной или разведывательной деятельности, обороны страны, обеспечения безопасности государства и охраны правопорядка, функционирования государственной системы миграционного и регистрационного учета, а также изготовления, оформления и контроля обращения документов, удостоверяющих личность, обеспечения санитарно-эпидемиологического благополучия (безопасности);

  • если при осуществлении идентификации и(или) аутентификации проверка соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в информационной системе государственного органа, органа местного самоуправления, организации, индивидуального предпринимателя, нотариуса, не осуществляется автоматизированным способом, а осуществляется с участием уполномоченного должностного лица.

В официальном ответе Правительства РФ отмечено, что предлагаемый механизм централизации хранения биометрических ПДн в ЕБС и переход на векторную модель работы иных информационных систем, позволит обеспечить надежное хранение и повысить эффективность защиты биометрических ПДн.

На текущий момент законопроект в статусе принятия профильным комитетом решения о представлении законопроекта в Совет Государственной Думы.

1

Положения о платформе ГосТех

Проект предлагает обязательные изменения для государственных информационных систем (далее – ГИС) и носит рекомендательных характер для муниципальных информационных систем (далее – МИС). Положение о платформе «ГосТех» определяет основные термины, назначение платформы, ее цель, задачи и основные принципы функционирования. Платформа «ГосТех» создается в целях сокращения сроков, повышения эффективности и результативности процессов по созданию и развитию ГИС на платформе с переходом на качественно новый уровень их эргономичности, совместимости, надежности и защищенности. Платформа позволяет:

  • проектировать архитектуру ГИС, обеспечивать итерационный подход к ее созданию и развитию;
  • обеспечивать информационную безопасность облачных вычислений и ГИС на всех этапах их жизненного цикла;
  • реализовать повторное использование типовых программных компонентов ГИС;
  • формировать методическую и правовую базу для функционирования платформы и т.д.

Для создания, развития и эксплуатации платформы «ГосТех» используются в том числе:

  • сервисы конфигурирования;
  • сервисы аудита событий безопасности;
  • сервисы управления учетными записями пользователей;
  • сервисы управления базами данных;
  • сервисы управления микросервисами и процессами;
  • сервисы интеграции с инфраструктурой электронного правительства;
  • средства защиты от сетевых атак и т.д.

Технологическую и финансовую целесообразность создания и развития ГИС на платформе «ГосТех» предлагается определять с использованием критериев, определяемых президиумом Правительственной комиссии по цифровому развитию, использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности. При этом ПО, созданное с использованием цифровых продуктов платформы «ГосТех», представляет собой самостоятельный результат интеллектуальной деятельности, отделенный на уровне объектного и исходного кода от базовых сервисов платформы «ГосТех». Положение также определяет зоны ответственности участников платформы, принципы функционирования платформы, общие требования к защите информации в ГИС на платформе и прочее.

Также в продолжение Положения о платформе «ГосТех» предлагаются изменения в постановление Правительства РФ от 06.07.2025 №676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»:

  • Аналогично пунктам Положения, требования предлагается рекомендовать к использованию в МИС (расширить область действия постановления).
  • Дополнить постановление терминами, используемыми при описании платформы, ее целей, задач, структуры и принципов создания ГИС на платформе.
  • Ввести положения, касающиеся определения целесообразности, технико-экономического обоснования и порядка создания и ввода в эксплуатацию ГИС на платформе «ГосТех» (формирование технического задания, модели угроз и т.д.).

Общественное обсуждение проекта завершилось 26 октября. В случае утверждения проекта изменения вступят в силу с 1 января 2023 года.

Допуск к гостайне

Допуск к государственной тайне (далее – ГТ) по третьей форме с проведением проверочных мероприятий органами безопасности теперь также обязателен для:

  • руководителей территориально обособленных подразделений, работающих с ГТ;
  • заместителям руководителей по режиму безопасности ГТ;
  • работников структурных подразделение по защите ГТ;
  • лицам, которые назначаются уполномоченными режимно-секретного подразделения.

Профессиональные стандарты по ИБ

Официально опубликованы некоторые профессиональные стандарты для специалистов по информационной безопасности и в смежных областях, содержащие описание трудовых функций специалистов:

  1. Специалист по безопасности компьютерных систем и сетей:
  2. техническое обслуживание средств защиты информации в компьютерных системах и сетях;
  3. администрирование средств защиты информации в компьютерных системах и сетях;
  4. оценивание уровня безопасности компьютерных систем и сетей;
  5. разработка программно-аппаратных средств защиты информации компьютерных систем и сетей;

  6. руководство разработкой программно-аппаратных средств защиты информации компьютерных систем и сетей.

  7. Специалист по защите информации в автоматизированных системах:

  8. обслуживание систем защиты информации в автоматизированных системах, используемых в том числе на объектах КИИ, в отношении которых отсутствует необходимость присвоения им категории значимости (далее – АС и объекты КИИ без категории значимости);

  9. обеспечения защиты информации в АС и объектах КИИ без категории значимости;

  10. разработка систем защиты АС и объектов КИИ без категории значимости;

  11. формирование требований к защите информации в АС и объектах КИИ без категории значимости.

  12. Специалист по защите информации в телекоммуникационных системах и сетях:

  13. выполнение комплекса мер по обеспечению функционирования средств связи сетей электросвязи (за исключением сетей связи специального назначения) и средств их защиту о несанкционированного доступа (далее – НСД) и компьютерных атак;

  14. обеспечение защиты от НСД и компьютерных атак сооружений и средств связи сетей электросвязи (за исключением сетей связи специального назначения) в процессе их эксплуатации;

  15. обеспечение функционирования средств связей сетей связи специального назначения;

  16. разработка средств защиты средств связи сетей электросвязи (за исключением сетей связи специального назначения) от НСД и компьютерных атак;

  17. обеспечение защиты средств связей сетей связи специального назначения от НСД;

  18. управление развитием средств и систем защиты средств связи сетей электросвязи от НСД;

  19. экспертиза проектных решений в сфере защиты средств связи сетей электросвязи от НСД и компьютерных атак.

  20. Технический писатель (специалист по технической документации в области информационных технологий):

  21. оформление и компоновка технической документации на продукцию в сфере информационно-коммуникационных технологий (далее – ИКТ);

  22. разработка документации, ориентированной на конечного пользователя, на продукцию в сфере ИКТ, разработка стандартизированных технических документов на основе предоставленного материала;

  23. правление знаниями о продукте;

  24. описание продуктов с точки зрения инженера или разработчика;

  25. руководство разработкой технической документации продукта;

  26. создание и внедрение средств разработки технической документации;

  27. руководство отделом технического документирования;

  28. руководство функциональным подразделением технической коммуникации.

Стандарты описывают необходимые знания и умения, возможные наименования должностей, профессий, а также требования к условиям работы, допуску, образованию и иное.

Литература

https://habr.com/ru/post/698018/