- Свежая версия законопроекта о Национальной системе управления данными (НСУД), который представляет из себя большой пакет правок в ФЗ-149 “Об информации, информационных технологиях и защите информации”, в случае своего принятия повлечет за собой достаточно много изменений в основополагающем законе в области работы с информацией. Среди предлагаемых правок:
- Новые определения терминов “информация”, “обладатель информации”, “документированная информация” и т.п..
- Введение нового типа информационных систем — ИС публичного сектора, которая объединяет ГИС/МИС, внутриведомственные ИС, что потребует изменения большого числа нормативных актов, как минимум, ФСТЭК, которая у нас все свои основные требования пишет именно под ГИС. В случае принятия нового ФЗ, видимо, ФСТЭКу придется переписывать свои нормативные акты.
- Введение новых терминов — “государственные данные”, “муниципальные данные”.
- В контексте НСУД новый законопроект вводит понятия общедоступные данные, открытые данные, персональные данные (да-да, определение отличается от ФЗ-152), данные конфиденциального характера и данные, составляющие тайну. Эти определения, конечно, подпортят сильно жизнь всем юристам.
- Вводятся различные категории доступа к данным НСУД — свободный, ограниченный, дискреционный, мандатный.
-
Вслед за ФСБ и МинОбороны еще и Росгвардия подготовила проект приказа «Об утверждении Перечня сведений Федеральной службы войск национальной гвардии Российской Федерации, подлежащих отнесению к служебной тайне в области обороны», который продолжает практику “засекречивания” информации, обрабатываемой в правоохранительных и силовых структурах.
-
ФСБ подготовила проект приказа «Об утверждении форм документов, используемых Федеральной службой безопасности Российской Федерации в процессе лицензирования в соответствии с Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности». Среди прочего проект приказа включает перечни вопросов, подтверждающих выполнение требований при осуществлении деятельности по:
-
разработке, производству, распространению СКЗИ;
- разработке и производству средств защиты конфиденциальной информации.
-
-
РКН своим письмом от 19.11.2021 N 09-78548 «О неактуальности разъяснений Роскомнадзора» сообщает о неактуальности разъяснений от 02.09.2013 «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», в разработке которых мне довелось принимать участие. Причин такого решения не приведено, но так как сам закон “О персональных данных” с тех пор не менялся и причин менять свое мнение у РКН нет, то предположу, что речь может идти о том, что государство окончательно решило прибрать к рукам тему биометрии и любые неустраивающие его разъяснения должны быть отменены.
-
ФСТЭК опубликовала план разработки нормативных правовых актов на 2022-й год. В том числе планируется разработать:
-
изменения в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации;
- изменения в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации;
- изменения в Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации
- изменения в Административный регламент Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации;
- изменения в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. № 17;
- приказ «Об утверждении формы оценочного листа, в соответствии с которым проводится оценка соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по технической защите конфиденциальной информации»;
- приказ «Об утверждении формы оценочного листа, в соответствии с которым проводится оценка соответствия соискателя лицензии или лицензиата лицензионным требованиям при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации».
-
-
Банк России опубликовал проект Положения “Об установлении обязательных для лиц, оказывающих профессиональные услуги на финансовом рынке, требований к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций, за исключением требований к обеспечению защиты информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами», который, в-основном, устанавливает требования по защите информации для бюро кредитных историй. Для иных профессиональных участников финансового рынка, на которых уже и так распространяются требования 757-П, какие-либо требования практически отсутствуют. При этом Банк России уже выпускал проект требований по защите информации для бюро кредитных историй. Его судьба не ясна.
-
Банк России опубликовал проект “Основных направлений цифровизации финансового рынка на период 2022-2024 годов”, в котором среди прочего определены и то, чем Банк России будет заниматься в области информационной безопасности в ближайшие 3 года. Всего выделено 6 направлений развития:
-
Обеспечение возможности использования сервиса облачной УКЭП участниками финансового рынка
- Обеспечение всех поднадзорных организаций УКЭП
- Формирование среды доверия при удаленном предоставлении финансовых услуг и сервисов
- Снижение уровня потерь по операциям, совершаемым с использованием дистанционных каналов обслуживания, включая социальную инженерию
- Внедрение института киберучений как основного механизма стресс-тестирования при осуществлении надзора в части оценки киберрисков
- Развитие информационного обмена ФинЦЕРТ с участниками кредитно-финансовой сферы в части противодействия компьютерным атакам
-