Kept | Cyber
705 subscribers
636 photos
2 videos
11 files
173 links
Kept Cyber – это официальный канал группы по оказанию услуг в области кибербезопасности компании Kept – одной из крупнейших аудиторско-консалтинговых фирм на российском рынке.
Задать вопрос: [email protected]
Download Telegram
Сводка опубликованных и вступивших в силу нормативно-правовых актов
(01.01.2024 - 10.04.2024)

Вступило в силу 1 января 2024 г.:
• Положение ЦБ РФ № 833-П о требованиях ИБ для участников платформы цифрового рубля
• ПП РФ № 1429 и № 1430 об изменениях в использовании ЕБС
 
Вступило в силу 12 января 2024 г.:
Приказ Минцифры о формах подтверждения соответствия информационных и технических средств, предназначенных для обработки биометрических персональных данных
• Перечни типовых отраслевых объектов КИИ в области химической промышленности
 
Вступило в силу 24 января 2024 г.:
Методические рекомендации Минтранса РФ по категорированию объектов КИИ в сфере транспорта
• ПП РФ № 4 об утверждении Правил установки, эксплуатации и модернизации в точках обмена трафиком технических средств противодействия угрозам сети Интернет на территории РФ
 
Вступило в силу 25 января 2024 г.:
• Перечни типовых отраслевых объектов КИИ в области горнодобывающей, металлургической и оборонной промышленности
 
Вступило в силу 1 февраля 2024 г.:
• ПП РФ № 58 об утверждении правил переоформления и прекращения допуска к государственной тайне
 
Вступило в силу 6 февраля 2024 г.:
Перечень национальных стандартов, разработанных ТК 362 и принятых Росстандартом
 
Вступило в силу 1 марта 2024 г.:
• Методические рекомендации Банка России № 4-МР по усилению контроля за отдельными операциями клиентов - физических лиц
 
Вступило в силу 27 марта 2024 г.:
Методические рекомендации ЦБ РФ № 7-МР по управлению риском ИБ и обеспечению операционной надежности
 
Вступило в силу 1 апреля 2024 г.:
• Положение ЦБ РФ № 821-П о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств
• Положение Банка России № 822-П о требованиях к защите информации, содержащейся в автоматизированной информационной системе страхования
 
Вступило в силу 6 апреля 2024 г.:
• Приказ Роскомнадзора № 25 об утверждении условий установки техсредств противодействия угрозам, а также требований к сетям связи при использовании таких средств

#ДеЮре
#Privacy
#ИБ
Дополнение к первому выпуску (часть 1)

Вступило в силу 01 января 2024 г.:

Абзац четвертый п. 3.3 Положения Банка России от 20.04.2021 № 757-П
· для кого: операторы систем, выпускающие цифровые финансовые активы; операторы обмена цифровыми финансовыми активами
· что делать: реализовать требование: использовать узлами ИС безопасной топологии коммуникационных сетей, программного кода и протоколов с учетом актуальных угроз безопасности

Вступило в силу 23 января 2024 г.:

Приказ Минцифры от 29.11.2023 № 1024 о формах подтверждения соответствия для Единой биометрической системы (ЕБС)
· для кого: операторы, обрабатывающие биометрические персональные данные (ПДн) в ЕБС
· что делать: подтвердить соответствие средств, обрабатывающих биометрические ПДн, требованиям подп. "е" п. 1 ст. 2 572-ФЗ

Вступило в силу 26 марта 2024 г.:
 

ПП РФ от 23.03.2024 № 367 об изменении использования ЕБС
·  для кого: операторы, обрабатывающие биометрические ПДн в ЕБС
·  что делать: уточнить объем обрабатываемых ПДн в ЕБС

Вступило в силу 30 марта 2024 г.:

ПП РФ от 20.03.2024 № 342 об обязанности хранить сведения о геолокации и средствах платежа
· для кого: организаторы распространения информации в интернете
· что делать: обновить перечень информации, подлежащей хранению и предоставлению в органы власти
ПП РФ от 20.03.2024 № 341 об изменении порядка заселения граждан РФ
· для кого: гостиничный бизнес
· что делать: рассмотреть возможность заселения граждан РФ с использованием ЕБС
 
#ДеЮре
#Privacy
#ИБ
Дополнение к первому выпуску (часть 2)
 
Вступило в силу 01 апреля 2024 г.:

Национальный стандарт РФ ГОСТ Р 71206-2024
· для кого: компании, внедряющие процесс разработки безопасного программного обеспечения (РБПО)
· что делать: реализовать требования к мерам по РБПО при выполнении конструирования и комплексирования ПО, вводя дополнительные требования к безопасному компилятору
Национальный стандарт РФ ГОСТ Р 71207-2024
· для кого: компании, внедряющие РБПО
· что делать: реализовать требования к проведению статического анализа ПО, а также требования к статическим анализаторам и специалистам, участвующим в анализе
Национальный стандарт РФ ГОСТ Р 71252-2024
· для кого: компании, определившие риски при передаче данных в индустриальных системах
· что делать: рассмотреть возможность применения протокола защищенного обмена CRISP для индустриальных систем
Предварительный национальный стандарт РФ ПНСТ 905-2023
· для кого: объекты критической информационной инфраструктуры (КИИ)
· что делать: придерживаться единой терминологии, относящейся к доверенным программно-аппаратным комплексам, применимых на объектах КИИ
п. 2.4 Положения Банка России от 30.08.2023 № 808-П
· для кого: бюро кредитных историй
· что делать: использовать прикладное ПО автоматизированных систем и приложений, прошедших сертификацию ФСТЭК России, или оценку соответствия по требованиям к оценочному уровню доверия не ниже 4-ого уровня

Вступило в силу 06 апреля 2024 г.:

ФЗ от 06.04.2024 № 78-ФЗ об ужесточении наказания за нарушение требований к рекламе через email-рассылки, звонки и SMS
· для кого: компании, рекламирующие свои услуги; кредитные или микрофинансовые компании
· что делать: проверить выполнение требования к рекламе, исключив спам-звонки и рассылки

#ДеЮре
#ИБ
#КИИ
Опубликовано 2 мая 2024 г.:

Методический документ «Методика оценки показателя состояния технической защиты информации и обеспечения безопасности значимых объектов КИИ»
· для кого: государственные органы, органы местного самоуправления, юридические лица и субъекты КИИ;
· что делать: провести оценку текущего состояния защиты информации, в том числе персональных данных и состояния безопасности значимых объектов КИИ.
В настоящее время документ носит рекомендательный характер.
 
Опубликовано 15 мая 2024 г.:

Информационное письмо Банка России от 15.05.2024 № ИН-08-12/31
· для кого: кредитные организации;
· что делать: усилить контроль за деятельностью привлекаемых банковских платежных агентов.
 
Вступило в силу 28 мая 2024 г.:

Указание Банка России от 05.02.2024 № 6679-У
· для кого: кредитные организации, которым принадлежат значимые объекты КИИ;
· что делать: ознакомиться с Указанием и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.
 
Указание Банка России от 05.02.2024 № 6680-У
· для кого: некредитные финансовые организации, которым принадлежат значимые объекты КИИ;
· что делать: ознакомиться с документом и быть готовыми предоставить по запросу Банка России информацию о реализации планов по переходу на использование российского ПО и оборудования, задействованного на значимых объектах КИИ.
 
Вступит в силу 1 июня 2024 г.:

Приказ ФСТЭК России от 01.12.2023 № 240
· для кого: разработчики средств защиты информации;
· что делать: реализовать требования к этапам проведения сертификации процессов безопасной разработки ПО средств защиты информации, составляющей гостайну.
 
#ДеЮре
#ИБ
Вступило в силу 03 июня 2024 г.:

Письмо Федерального казначейства от 17.05.2024 № 07-04-05/11-13417 об интеграции ИС УЦ с ГИС ЕБС
· для кого: заявители на выпуск сертификата ключа проверки электронной подписи (СКПЭП)
· что делать: подать запрос на выпуск СКПЭП через ГИС ЕБС

Опубликовано 05 июня 2024 г.:

Информационное сообщение ФСТЭК России от 27.05.2024 № 240/82/1376 о порядке представления субъектами КИИ сведений о результатах категорирования
· для кого: субъекты КИИ
· что делать: при изменении сведений о результатах категорирования объекта КИИ следует учесть рекомендации об информировании ФСТЭК России.

Вступило в силу 13 июня 2024 г.:

Указ Президента РФ от 13.06.2024 № 500 о внесении изменений в Указ Президента РФ от 01.05.2022 № 250
· для кого: органы госвласти, госфонды, госкорпорации, стратегические и системообразующие предприятия, а также субъекты КИИ
· что делать: принять к сведению сведения о новых полномочиях ФСБ России в отношении центров ГосСОПКА, а также учесть запрет использования услуг по ИБ из недружественных стран с 01.01.2025

Вступило в силу 18 июня 2024 г.:

Приказ Минэкономразвития России от 23.04.2024 № 247 об отнесении информации к общедоступной информации, размещаемой госорганами и органами местного самоуправления на своих веб-сайтах
· для кого: государственные органы, органы местного самоуправления
· что делать: при публикации на веб-сайтах открытых данных руководствоваться методическими указаниями

Опубликовано 22 июня 2024 г.:

Федеральный закон от 22.06.2024 № 158-ФЗ о внесении изменений в 149-ФЗ и 236-ФЗ
· для кого: иностранные операторы поисковых систем в сети Интернет, осуществляющих деятельность на территории РФ и не распространяющих рекламу, направленную на потребителей, находящихся на территории РФ
· что делать: быть готовыми реализовать требования потребителей об удалении их персональных данных из общего доступа («право на забвение»)

#ДеЮре
#ИБ
Вступило в силу 1 июля 2024 г.:

· Стандарт Банка России СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при проведении дистанционной идентификации и аутентификации. Состав мер защиты информации» (документ носит рекомендательный характер)
· Для кого: кредитные организации, некредитные финансовые организации и субъекты национальной платежной системы
· Что делать: зафиксировать в документации организации требования к уровням доверия результатов идентификации и аутентификации клиентов – получателей услуг, предоставляемых дистанционно.

Вступило в силу 27 июля 2024 г.:

· Постановление Правительства РФ от 18.07.2024 № 973 о внесении изменений в Правила уведомления организаторами распространения информации в сети «Интернет» Роскомнадзора
· Для кого: организаторы распространения информации в сети «Интернет»
· Что делать: действия от организации не требуются.
Постановление Правительства расширяет права Роскомнадзора в части принудительного включения организации в реестр, если:
· она не подала соответствующее уведомление,
· в отношении нее имеется вступившее в законную силу постановление суда об ответственности за повторное неисполнение требования по уведомлению Роскомнадзора о распространении информации

#ИБ
#ДеЮре
Вступило в силу 8 августа 2024 г.:

Федеральный закон от 08.08.2024 № 233-ФЗ о внесении изменений в 152-ФЗ и 123-ФЗ
· для кого: операторы ПДн.
· что делать: при уничтожении персональных данных (ПДн) использовать средства защиты информации, прошедших процедуру оценки соответствия, в составе которых реализована функция уничтожения информации.

Федеральный закон от 08.08.2024 № 216-ФЗ о внесении изменений в 149-ФЗ и 126-ФЗ
· для кого: организаторы сервиса обмена мгновенными сообщениями, владельцы соцсетей, операторы связи.
· что делать:
· организаторам сервиса обмена мгновенными сообщениями: предоставлять Роскомнадзору по требованию сведения о пользователях сервиса обмена мгновенными сообщениями;
· владельцам соцсетей:
- вести мониторинг информации, в том числе оскорбляющей человеческое достоинство и общественную нравственность;
- предоставлять по запросу Роскомнадзора сведения о пользователе соцсети;
- в случае если объем аудитории страницы (канала) больше 10 тыс. пользователей, то владельцу страницы необходимо идентифицировать себя перед Роскомнадзором.
· операторам связи: предоставлять по запросу Роскомнадзора информацию о средствах связи и оборудовании пользователей сети Интернет.

Вступило в силу 30 августа 2024 г.:

Приказ Минцифры России от 01.08.2024 № 682 о внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой ПДн
· для кого: операторы ПДн, использующие рекомендательные технологии.
· что делать: действия от организации не требуются.
Приказом устанавливается новый индикатор в виде выявления в течение календарного года двух и более нарушений требований 149-ФЗ, связанных с применением рекомендательных технологий.

#ДеЮре
#ИБ
#Privacy
Вступило в силу 1 сентября 2024 г.:

Постановление Правительства РФ от 14.11.2023 № 1912 о порядке перехода субъектов КИИ на преимущественное применение доверенных программно-аппаратных комплексов (ПАК) на принадлежащих им значимых объектах КИИ
для кого: субъекты КИИ, имеющие значимые объекты КИИ
что делать: с 1 сентября 2024 г. осуществлять закупку и использовать только отечественные доверенных ПАК. Исключения:
🔸ПАК, приобретённые до 01 сентября 2024 г.;
🔸ПАК, не имеющие аналогов в РФ
Приказ Минэнерго России от 26.12.2023 № 1215 об утверждении дополнительных требований по обеспечению безопасности значимых объектов КИИ, функционирующих в сфере электроэнергетики
для кого: организации, функционирующие в сфере электроэнергетики и имеющие значимые объекты КИИ
что делать: на значимых объектах КИИ, которые управляются дистанционно или из диспетчерских центров, необходимо выполнить ряд дополнительных мероприятий к приказу ФСТЭК России от 25.12.2017 г. № 239
Постановление Правительства РФ от 01.04.2024 № 408 о видах биометрических персональных данных (ПДн)
для кого: операторы ПДн, обрабатывающих биометрические ПДн
что делать: проверить, что идентификация и аутентификация с использованием биометрических ПДн осуществляется на основе следующих данных:
🔸изображение лица человека, полученное с помощью фото-видеоустройств;
🔸запись голоса человека, полученная с помощью звукозаписывающих устройств.

Вступило в силу 10 сентября 2024 г.:

Приказ Минцифры России от 31.07.2024 № 677 о требованиях по защите информации при предоставлении вычислительной мощности для размещения информации в ИС, постоянно подключенной к сети «Интернет»
для кого:
🔸провайдеры хостингов, предоставляющие вычислительные мощности операторам ГИС и МИС;
🔸операторы ГИС, МИС, ИС государственных и муниципальных унитарных учреждений.
что делать: реализовывать требования по защите информации, в том числе с использованием шифровальных (криптографических) средств, установленными приказами ФСБ России

#ИБ
#ДеЮре
Please open Telegram to view this post
VIEW IN TELEGRAM
Вступило в силу 27 сентября 2024 г.:

Постановление Правительства РФ от 19.09.2024 № 1281 о внесении изменений в Правила категорирования объектов КИИ
для кого: субъекты КИИ
что делать:
🔸субъектам КИИ, которые провели категорирование объектов КИИ: принять к сведению исключение из процедуры категорирования требования по формированию перечня объектов КИИ, подлежащих категорированию.
🔸субъектам КИИ, которые не провели категорирование объектов КИИ: принять к сведению риск привлечения к административной ответственности за непредоставление форм сведений о результатах категорирования

Вступило в силу 1 октября 2024 г.:

Положение Банка России от 27.10.2020 № 738-П о порядке обеспечения бесперебойности функционирования платежной системы Банка России
для кого: участники платежной системы Банка России
что делать:
🔸предусмотреть дополнительные контрольные мероприятия в целях мониторинга уровня риска ИБ в платежной системе;
🔸идентифицировать значимые риски не реже одного раза в год;
🔸ознакомиться с расширением перечня субъектов организационной структуры, обязанных обеспечивать бесперебойность функционирования платежной системы;
🔸ознакомиться с критериями отнесения риск-событий, реализовавшихся при оказании услуг платежной инфраструктуры, к риск-событиям приостановления оказания таких услуг

#ИБ
#ДеЮре
Please open Telegram to view this post
VIEW IN TELEGRAM