С 12 декабря 2023 года и до 1 января 2025 года российские владельцы сайтов, интернет-ресурсов либо программного обеспечения, для пользования которым необходима процедура авторизации, вправе идентифицировать пользователей и хранить их данные через отдельную информсистему. Это и другие новшества в сфере пользования интернет-ресурсов закреплены в ФЗ № 588.
Базовые послабления
Речь идет о пользователях ресурсов, находящихся в России, которые перед входом на сайт указывают индивидуальные данные, проходя процедуру авторизации. При этом власти утвердили изменения не только для системы логин-пароль, где логином является электронная почта или комбинация букв, а личный номер телефона.
Итак, что касается первой ситуации, то власти рекомендуют пользоваться криптографическими защитными устройствами, которые отвечают ряду требований. В качестве последних используются положения Приказа службы госбезопасности. Подробнее о них — ниже.
Отдельно власти отметили авторизацию по номеру сотового телефона. Теперь согласно п. 10 ст. 8 ФЗ № 149, владельцы интернет-ресурсов не обязаны соблюдать правила эксплуатации номера и не должны заключить с оператором связи соглашение об идентификации.
По словам представителей власти, эти меры значительно упростят взаимодействие пользователей, и в то же время защитят их персональные данные, если владелец сайта будет использовать специализированные СКЗИ.
Требования к защите информации
Требования, которые власти предъявляют к защите данных, размещенных в информационных системах и зашифрованных криптографическими инструментами, утверждены в Приказе ФСБ России № 524. Согласно его положениям, для защиты сведений, содержащихся в ГИС, необходимо использовать шифровальные средства защиты информации (СКЗИ), проверенные и сертифицированные Федеральной службой безопасности РФ.
Помимо этого базового требования, класс СКЗИ надо определять в соответствии с главой II к этому Приказу. А целенаправленное применение таких средств должно ориентироваться на противодействие угрозам с использованием программно-аппаратных средств, а также на защиту от кибератак.
Однако использовать средства защиты можно не сразу, а надо пройти процедуру:
- Если документация предусматривает штатное функционирование технических средств в ГИС, то необходимо оценить влияние среды функционирования. Саму оценку проводит предприятие, имеющее полномочия на проверку и анализ СКЗИ.
- Далее для защиты сведений в информсистеме и технических средствах надо провести экспертизу результатов оценки и образцов СКЗИ, которые планируется использовать.
- Теперь для использования СКЗИ вместе с другими техсредствами необходимо получить положительное заключение ФСБ России после проведения экспертизы.
И только после разрешения организации вправе пользоваться СКЗИ.
При этом отметим, что требования предъявляются и к помещениям, где хранятся или размещены СКЗИ с носителями аутентифицирующей и парольной информации. Прежде всего, там должен быть обеспечен режим контроля доступа только для уполномоченных лиц, а также исключена возможность неконтролируемого проникновения. Для достижения этого используются определенные меры:
- согласовывать правила доступа в помещения в рабочее и нерабочее время, а также в нештатных ситуациях;
- оборудовать окна и двери помещений с серверами ГИС металлическими решетками, охранной сигнализацией или прочими средствами для профилактики несанкционированного доступа.