Изменения в Положение о лицензировании деятельности по ТЗКИ
Наконец-то подъехал текст изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации, утверждённое постановлением Правительства Российской Федерации от 03.02.2012 № 79.
В принципе, изменения шаблонные, обусловленные внедрением реестровой модели предоставления государственных услуг по лицензированию отдельных видов деятельности.
Аналогичные по сути изменения представлены и в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утверждённое постановлением Правительства Российской Федерации от 03.03.2012 № 171.
P.S.: в принципе, это все вчерашние новости, так как регулятором уже вчера предпринимались попытки по загрузке указанных проектов.
Наконец-то подъехал текст изменений в Положение о лицензировании деятельности по технической защите конфиденциальной информации, утверждённое постановлением Правительства Российской Федерации от 03.02.2012 № 79.
В принципе, изменения шаблонные, обусловленные внедрением реестровой модели предоставления государственных услуг по лицензированию отдельных видов деятельности.
Аналогичные по сути изменения представлены и в Положение о лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации, утверждённое постановлением Правительства Российской Федерации от 03.03.2012 № 171.
P.S.: в принципе, это все вчерашние новости, так как регулятором уже вчера предпринимались попытки по загрузке указанных проектов.
Комиссия по аккредитации УЦ
Минцифры предоставило для общественного обсуждения проект постановления Правительства РФ «О составе и порядке осуществления деятельности правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров».
P.S.: теперь можно официально сокращать до «Минцифры».
Минцифры предоставило для общественного обсуждения проект постановления Правительства РФ «О составе и порядке осуществления деятельности правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров».
P.S.: теперь можно официально сокращать до «Минцифры».
This media is not supported in your browser
VIEW IN TELEGRAM
Пост выходного дня: покажется же такое.
⚠️ Изменения в 239-й приказ ФСТЭК
Официально опубликован приказ ФСТЭК России от 20.02.2020 № 35 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».
Стоит обратить внимание, что отдельные изменения вступают в силу лишь с 1 января 2023 г.
Официально опубликован приказ ФСТЭК России от 20.02.2020 № 35 «О внесении изменений в Требования по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 25 декабря 2017 г. № 239».
Стоит обратить внимание, что отдельные изменения вступают в силу лишь с 1 января 2023 г.
🔏УЦ ФК
Недавняя реформа в сфере электронной подписи (последняя ли?), о которой в том числе будут говорить сегодня на PKI-форуме, обозначила новую и вполне конкретную структуру аккредитованных удостоверяющих центров (см. схему внизу текста (пока без доверенной третьей стороны)).
И пока ведётся нормативно-правовое разделение сфер влияния между аккредитованными УЦ, определенными Федеральным законом «Об электронной подписи», но уже сейчас можно получать интересную и профильную информацию из мира ЭП от Удостоверяющего центра Федерального казначейства посредством официального Telegram-канала.
——————————————————————————————————
Кстати, за Удостоверяющим центром Федерального казначейства закреплены:
- Коммерческие организации, которым предоставляются средства из бюджетов бюджетной системы Российской Федерации, подлежащие казначейскому сопровождению.
- Некоммерческие организации (государственные корпорации, государственные компании, государственные и муниципальные учреждения).
Недавняя реформа в сфере электронной подписи (последняя ли?), о которой в том числе будут говорить сегодня на PKI-форуме, обозначила новую и вполне конкретную структуру аккредитованных удостоверяющих центров (см. схему внизу текста (пока без доверенной третьей стороны)).
И пока ведётся нормативно-правовое разделение сфер влияния между аккредитованными УЦ, определенными Федеральным законом «Об электронной подписи», но уже сейчас можно получать интересную и профильную информацию из мира ЭП от Удостоверяющего центра Федерального казначейства посредством официального Telegram-канала.
——————————————————————————————————
Кстати, за Удостоверяющим центром Федерального казначейства закреплены:
- Коммерческие организации, которым предоставляются средства из бюджетов бюджетной системы Российской Федерации, подлежащие казначейскому сопровождению.
- Некоммерческие организации (государственные корпорации, государственные компании, государственные и муниципальные учреждения).
Новости из мира ЭП
Под шумок PKI-форума Минцифры представило для общественного обсуждения проекты:
⁃ постановления Правительства Российской Федерации «О требованиях к порядку предоставления владельцам квалифицированных сертификатов сведений о выданных им квалифицированных сертификатах с использованием единого портала государственных и муниципальных услуг».
⁃ ведомственного приказа «Об утверждении порядка создания метки доверенного времени».
⁃ ведомственного приказа «Об утверждении требований к порядку реализации функций аккредитованной третьей стороны и исполнения ее обязанностей» (на этом проекте что-то пошло не так и соответствующего текста мы пока не видим).
- ведомственного приказа «Об утверждении требований к порядку действий аккредитованного удостоверяющего центра при возникновении обоснованных сомнений относительно лица, давшего поручение на использование хранимых ключей электронной подписи, а так же при приостановлении (прекращении) технической возможности использования хранимых ключей электронной подписи, включая информирование владельцев квалифицированных сертификатов ключей проверки электронной подписи о событиях, вызвавших приостановление (прекращение) технической возможности использования хранимых ключей электронной подписи, об их причинах и последствиях».
- ведомственного приказа «Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя – физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре».
- ведомственного приказа «Об утверждении требований к форме указанного в пункте 1 части 2.2 статьи 15 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» поручения владельца квалифицированного сертификата, порядку передачи поручения владельца квалифицированного сертификата аккредитованному удостоверяющему центру, а также к правилам хранения указанного поручения».
Под шумок PKI-форума Минцифры представило для общественного обсуждения проекты:
⁃ постановления Правительства Российской Федерации «О требованиях к порядку предоставления владельцам квалифицированных сертификатов сведений о выданных им квалифицированных сертификатах с использованием единого портала государственных и муниципальных услуг».
⁃ ведомственного приказа «Об утверждении порядка создания метки доверенного времени».
⁃ ведомственного приказа «Об утверждении требований к порядку реализации функций аккредитованной третьей стороны и исполнения ее обязанностей» (на этом проекте что-то пошло не так и соответствующего текста мы пока не видим).
- ведомственного приказа «Об утверждении требований к порядку действий аккредитованного удостоверяющего центра при возникновении обоснованных сомнений относительно лица, давшего поручение на использование хранимых ключей электронной подписи, а так же при приостановлении (прекращении) технической возможности использования хранимых ключей электронной подписи, включая информирование владельцев квалифицированных сертификатов ключей проверки электронной подписи о событиях, вызвавших приостановление (прекращение) технической возможности использования хранимых ключей электронной подписи, об их причинах и последствиях».
- ведомственного приказа «Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя – физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре».
- ведомственного приказа «Об утверждении требований к форме указанного в пункте 1 части 2.2 статьи 15 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» поручения владельца квалифицированного сертификата, порядку передачи поручения владельца квалифицированного сертификата аккредитованному удостоверяющему центру, а также к правилам хранения указанного поручения».
Порядок согласования субъектами КИИ с ФСТЭК подключения ЗОКИИ к сети связи общего пользования
Отходя от потрясений, связанных с изменениям в 239-й приказ ФСТЭК.
Вчера под вечер был официально представлен приказ ФСТЭК России от 28.05.2020 № 75 «Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования».
Отходя от потрясений, связанных с изменениям в 239-й приказ ФСТЭК.
Вчера под вечер был официально представлен приказ ФСТЭК России от 28.05.2020 № 75 «Об утверждении Порядка согласования субъектом критической информационной инфраструктуры Российской Федерации с Федеральной службой по техническому и экспортному контролю подключения значимого объекта критической информационной инфраструктуры Российской Федерации к сети связи общего пользования».
🗃Система нормативных правовых актов, методических и информационных документов в области обеспечения безопасности критической информационной инфраструктуры
Осень 2020 г. принесла нам обновления в нормативную правовую базу, связанную с обеспечением безопасности критической информационной инфраструктуры Российской Федерации, а значит пришло время обновить систему нормативных правовых актов, методических и информационных документов в области обеспечения безопасности критической информационной инфраструктуры (система в формате pdf ниже).
Осень 2020 г. принесла нам обновления в нормативную правовую базу, связанную с обеспечением безопасности критической информационной инфраструктуры Российской Федерации, а значит пришло время обновить систему нормативных правовых актов, методических и информационных документов в области обеспечения безопасности критической информационной инфраструктуры (система в формате pdf ниже).
💰Увеличение штрафов за разглашение информации с ограниченным доступом
В Государственную Думу внесен законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», которым предусматривается увеличение сумм штрафов за разглашение информации с ограниченным доступом (ст. 13.14 КОАП):
- для граждан до 5000-10000 руб. (сейчас 500-1000 руб.);
- для должностных лиц до 40000 - 50000 руб. (сейчас 4000-5000 руб.).
В Государственную Думу внесен законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», которым предусматривается увеличение сумм штрафов за разглашение информации с ограниченным доступом (ст. 13.14 КОАП):
- для граждан до 5000-10000 руб. (сейчас 500-1000 руб.);
- для должностных лиц до 40000 - 50000 руб. (сейчас 4000-5000 руб.).
⚠️ Коллеги, обращаю внимание, что в соответствии с графиком проведения плановых учений по обеспечению устойчивого, безопасного и целостного функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования в 2020 году, утверждённого приказом Минкомсвязи от 12.12.2019 № 839, завтра состоятся учения, в ходе которых будет отрабатываться противодействие атакам с использованием уязвимостей узкополосных сетей Интернета вещей.
————————————————————
Разумеется, если этот график не пересмотрели...
————————————————————
Разумеется, если этот график не пересмотрели...
Около ИБ. Минцифры продолжает борьбу с маскирующими протоколами, позволяющими скрывать фактические сетевые адреса, в связи с чем был подготовлен соответствующий законопроект «О внесении изменений в статью 2 и 10 Федерального закона «Об информации, информационных технологиях и о защите информации».
А помните у Минцифры были проблемы с размещением проекта ведомственного приказа «Об утверждении требований к порядку реализации функций аккредитованной доверенной третьей стороны и исполнения ее обязанностей»?
Так вот, регулятор исправился и представил для общественного обсуждения корректную версию данного проекта.
Так вот, регулятор исправился и представил для общественного обсуждения корректную версию данного проекта.
Хранение, использование и отмена машиночитаемых доверенностей
Минцифры продолжает разработку проектов нормативных правовых актов, инициированных реформой в сфере ЭП. Для общественного обсуждения представлен проект постановления Правительства РФ «Об утверждении организационно-технических требований к порядку хранения, использования и отмены машиночитаемых доверенностей, используемых для подтверждения полномочий в электронной форме».
————————————————————
Уровень защищенности данных доверенностей?
Минцифры продолжает разработку проектов нормативных правовых актов, инициированных реформой в сфере ЭП. Для общественного обсуждения представлен проект постановления Правительства РФ «Об утверждении организационно-технических требований к порядку хранения, использования и отмены машиночитаемых доверенностей, используемых для подтверждения полномочий в электронной форме».
————————————————————
Уровень защищенности данных доверенностей?
BIS Summit 2020
В.Лютиков, КИИ
Ведётся разработка методического документа по расчёту показателей критериев значимости.
Никаких перемен относительно проекта Методики моделирования угроз безопасности информации не происходило. Работы ведутся, предложений поступило много, все рассмотрены, но требуются и внутренние, и внешние обсуждения.
В.Лютиков, КИИ
Ведётся разработка методического документа по расчёту показателей критериев значимости.
Никаких перемен относительно проекта Методики моделирования угроз безопасности информации не происходило. Работы ведутся, предложений поступило много, все рассмотрены, но требуются и внутренние, и внешние обсуждения.
🏢 Государственные услуги от ФСТЭК
Под начало прошедших выходных ФСТЭК России представлены для общественного обсуждения идентичные проекты ведомственных приказов, предусматривающих внесение изменений в:
1. Административный регламент
Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134.
2. Административный регламент
Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом
ФСТЭК России от 17 июля 2017 г. № 133.
———————————————————
Странно получается. Данные изменения обусловлены переходом на реестровую модель предоставления государственных услуг, иными словами это переход от предоставления результата госуслуги в виде бумажного документа к записи в электронном реестре. Вроде как все правильно, цифровизация, прям как с электронными трудовыми книжками. Вот только в обоих административных регламентах планируется предоставление соискателем лицензии «копий трудовых книжек или сведений о трудовой деятельности на бумажном носителе». Куда же пропал вариант с формой электронного документа, подписанного усиленной квалифицированной электронной подписью?
Под начало прошедших выходных ФСТЭК России представлены для общественного обсуждения идентичные проекты ведомственных приказов, предусматривающих внесение изменений в:
1. Административный регламент
Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134.
2. Административный регламент
Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом
ФСТЭК России от 17 июля 2017 г. № 133.
———————————————————
Странно получается. Данные изменения обусловлены переходом на реестровую модель предоставления государственных услуг, иными словами это переход от предоставления результата госуслуги в виде бумажного документа к записи в электронном реестре. Вроде как все правильно, цифровизация, прям как с электронными трудовыми книжками. Вот только в обоих административных регламентах планируется предоставление соискателем лицензии «копий трудовых книжек или сведений о трудовой деятельности на бумажном носителе». Куда же пропал вариант с формой электронного документа, подписанного усиленной квалифицированной электронной подписью?
Корректировка Правил субсидирования на создание отраслевого центра ГосСОПКА
Правительство внесло изменения в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах.
Соответствующее постановление Правительства Российской Федерации от 28.09.2020 № 1556 «О внесении изменений в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах» было опубликовано на Официальном интернет-портале правовой информации.
Правительство внесло изменения в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах.
Соответствующее постановление Правительства Российской Федерации от 28.09.2020 № 1556 «О внесении изменений в Правила предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах» было опубликовано на Официальном интернет-портале правовой информации.
Материалы Межблогерского вебинара «Вопросы обработки и защиты персональных данных в сфере образования» или снова к вопросу: фотография - биометрия
Вчера состоялся интересный как в специальном, так и в общем плане вебинар, посвящённый вопросам обработки и защиты персональных данных в сфере образования, спикерами на котором выступили Сергей Городилов, Ксения Шудрова и Сергей Борисов.
В целом вебинар был достаточно узконаправленным, но на нем была озвучена информация, которая затрагивает одну из проблем современности, характерную не только для сферы образования, - считается ли фотография биометрическими персональными данными. Этого касались и на самом вебинаре, рассматривая ряд полезных документов, разработанных Роскомнадзором и Минцифры соответственно:
- Проект Методических рекомендаций «Организация обработки персональных данных в сфере образования. Необходимые мероприятия и документы».
- Методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных.
И вот в первом документе представлено интересное мнение относительно того, что считать биометрией, в том числе относительно фотографии и видеозаписи: «Следует заметить, что понятия «видеозапись» и «фотография», представляют собой исключительно материальный носитель информации, при этом данная информация не является биометрической по своей сути, поскольку не отражает индивидуальных параметров, таких как термограмма лица, рисунок радужной оболочки глаза, папиллярных узоров, позволяющих установить личность.».
————————————————————
Посты канала о проблеме биометрии и фотографии здесь и здесь.
Вчера состоялся интересный как в специальном, так и в общем плане вебинар, посвящённый вопросам обработки и защиты персональных данных в сфере образования, спикерами на котором выступили Сергей Городилов, Ксения Шудрова и Сергей Борисов.
В целом вебинар был достаточно узконаправленным, но на нем была озвучена информация, которая затрагивает одну из проблем современности, характерную не только для сферы образования, - считается ли фотография биометрическими персональными данными. Этого касались и на самом вебинаре, рассматривая ряд полезных документов, разработанных Роскомнадзором и Минцифры соответственно:
- Проект Методических рекомендаций «Организация обработки персональных данных в сфере образования. Необходимые мероприятия и документы».
- Методические рекомендации для общеобразовательных организаций по вопросам обработки персональных данных.
И вот в первом документе представлено интересное мнение относительно того, что считать биометрией, в том числе относительно фотографии и видеозаписи: «Следует заметить, что понятия «видеозапись» и «фотография», представляют собой исключительно материальный носитель информации, при этом данная информация не является биометрической по своей сути, поскольку не отражает индивидуальных параметров, таких как термограмма лица, рисунок радужной оболочки глаза, папиллярных узоров, позволяющих установить личность.».
————————————————————
Посты канала о проблеме биометрии и фотографии здесь и здесь.
YouTube
Межблогерский вебинар. Вопросы обработки и защиты персональных данных в сфере образования
Уникальный формат без рекламы и пересказа законодательства. Только эксперты, реальные ситуации и ваши вопросы.
Вебинар был посвящен обсуждению актуальных вопросов, связанных с обработкой персональных данных в образовательных учреждениях. Сделали акцент на…
Вебинар был посвящен обсуждению актуальных вопросов, связанных с обработкой персональных данных в образовательных учреждениях. Сделали акцент на…
Повторно опубликованы для общественного обсуждения проекты ведомственных приказов ФСТЭК России, предусматривающих внесение изменений в:
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134.
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом
ФСТЭК России от 17 июля 2017 г. № 133.
———————————————————
🧐 Судя по всему, ФСТЭК России вняла замечаниям Алексея Лукацкого относительно использования не импортозамещенного почтового ящика.
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134.
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом
ФСТЭК России от 17 июля 2017 г. № 133.
———————————————————
🧐 Судя по всему, ФСТЭК России вняла замечаниям Алексея Лукацкого относительно использования не импортозамещенного почтового ящика.