Дайджест изменений в российское законодательство по ИБ №24

Почти месяц не публиковал дайджест новинок законодательства по ИБ, но это не потому, что наши законодатели не радовали нас ничем интересненьким; как раз наоборот. Пока мой прогноз о том, что каждый рабочий день появляется что-то новое, сбывается на все сто. Итак почти три десятка законодательных новаций, которые либо приняты, либо будут приняты в обозримом будущем:

1. Официально опубликован Указ Президента от 25.04.2022 №228 «О внесении изменений в состав Межведомственной комиссии Совета Безопасности Российской Федерации по информационной безопасности по должностям, утвержденный Указом Президента Российской Федерации от 10 ноября 2018 г. №648″, который расширяет состав МВК за счет Прокуратуры и Росгвардии.

2. Президент подписал новый Указе от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», о котором я уже подробно писал месяц назад.
3. Минздрав опубликовал приказ от 25.03.2022 №205н «Об утверждении Типового положения о медицинском информационно-аналитическом центре«, который обязывает создавать в МИАЦах отделы защиты информации (где же столько безопасников-то взять, если еще и в каждом медучреждении согласно 250-го Указа должно быть свое подразделение по ИБ), а также обеспечивать безопасности ИСПДн и значимых объектов КИИ, и заниматься обнаружением, предотвращение и ликвидацией последствий компьютерных атак.

4. ФСТЭК сообщает, что разработан новая тестовая версия Банка данных угроз безопасности информации, включая и средство автоматизации моделирования угроз. Это интересная инициатива, особенно в части бесплатного инструмента по автоматизации, и у вас есть возможность до 5-го июня высказать свои предложения по его совершенствованию.

5. Минфин России разработал проект постановления Правительства РФ «О некоторых особенностях ограничения доступа к сведениям (информации) в соответствии с отдельными законодательными актами Российской Федерации». Проектом постановления предусматривается, что в случае, если в отношении юридического лица, применяются, могут быть применены или распространяются санкции со стороны недружественных иностранных государств и международных организаций, доступ к содержащимся о нем сведениям в ЕГРЮЛ и информации в государственном информационном ресурсе бухгалтерской (финансовой) отчетности может быть ограничен по заявлению лица, попавшего под санкции.

6. ФСБ опубликовала приказ от 13.04.2022 №179, вносящий изменения в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. №796. Приказ вступает в силу с 1 сентября 2022 г. и действуют до 1 января 2027 г.

7. ФСБ подготовила проект приказа «Об утверждении требований к средствам электронной подписи и средствам удостоверяющего центра, применяемым для реализации функций, предусмотренных частью 2.2 статьи 15 Федерального закона от 6 апреля 2011 г. №63-ФЗ «Об электронной подписи».

8. Банк России опубликовал информационное письмо от 11.05.2022 №ИН-05-15/64 «Об использовании УКЭП респондентами ФСН». В связи с вступлением в силу с 01.01.2022 пункта 1 части 1 статьи 17.2 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» в случае использования усиленной квалифицированной электронной подписи при предоставлении в Банк России форм федерального статистического наблюдения в порядке, предусмотренном Указанием Банка России № 5328-У, юридическое лицо – респондент вправе применять УКЭП, квалифицированный сертификат которой был выдан удостоверяющим центром ФНС России, с указанием в качестве владельца квалифицированного сертификата также физического лица, действующего от имени респондента без доверенности.

9. Банк России опубликовал 90-тистраничный перечень мер по стабилизации ситуации на финансовом рынке в условиях реализации санкционных рисков, среди которых решение не применять меры воздействия в отношении субъектов страхового дела за нарушение требований Положения Банка России №757-П (информационное письмо Банка России от 06.04.2022 №ИН-018-34/50), решение не применять меры воздействия в отношении участников финансового рынка (ПУРЦБ, УК, специализированных депозитариев и НПФ) за нарушение требований Положения Банка России №757-П, а также Указания Банка России №5673-У в части выполнения требований к обеспечению операционной надежности (информационное письмо Банка России от 06.03.2022 №ИН-018-38/28), решение не применять меры воздействия в отношении центрального депозитария, организаторов торговли, клиринговых организаций, центральных контрагентов, операторов инвестиционных платформ, операторов финансовых платформ, операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов, операторов обмена цифровых финансовых активов, кредитных рейтинговых агентств за необеспечение соблюдения требований Положения Банка России №757-П (информационное письмо Банка России №ИН-018-34/50) и ряд других.

10. Банк России разработал проект указания в целях реализации норм, установленных пунктом 2 части 2 статьи 17.2 Федерального закона от 06.04.2011 №63-ФЗ «Об электронной подписи», направленных на создание правовых условий функционирования удостоверяющего центра Банка России, а также в связи с дополнением субъектного состава поднадзорных Банку России организаций. Проект дополняет круг субъектов, на который распространяется действие норм, кредитными рейтинговыми агентствами, бюро кредитных историй, лицами, осуществляющими актуарную деятельность.

11. ФСТЭК России информирует о представлении ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации» в Росстандарт для утверждения.

12. Правительство выпустило Постановление от 13.05.2022 №860 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений», которое не только меняет термин «государственная информационная система», но и вводит Минцифры на рынок регулирования вопросов защиты информации государственных органов, немного (или много) подвигая ФСТЭК в этом вопросе.
13. Правительство выпустило Постановление от 9.05.2022 №834 «Об установлении особенностей ввоза в Российскую Федерацию шифровальных (криптографических) средств и товаров, их содержащих», которое облегчает ввоз шифровальных средств в Россию.
14. Правительство выпустило Постановление от 14.05.2022 №875 «О внесении изменений в некоторые акты Правительства Российской Федерации», которое позволяет через личный кабинет на портале госуслуг получить санкционированный доступ с использованием ЕСИА к информации из государственных, муниципальных и иных информационных систем, но только при использовании дополнительной аутентификации с помощью ЕБС или кода в СМС. Также внесены изменения в правила использования простой электронной подписи, устанавливающие возможность подписания простой ЭП для совершения с использованием ЕСИА значимых действий, с использованием кода СМС или ЕБС. Приравнять СМСку к ЕБС? Ну такое себе решение.
15.  Государственная дума 19 мая 2022 года приняла в первом чтении законопроект о внесении изменений в Федеральный закон «О почтовой связи», регулирующих деятельность в области специальной почтовой связи. Законопроект определяет понятие отправлений специальной почтовой связи, согласно которому к ним относятся секретные документы на бумажных или других материальных носителях.

16. Совет безопасности РФ одобрил проект основ государственной политики в области обеспечения безопасности критической информационной инфраструктуры РФ. Текст пока не опубликован.

17. Правительство одобрило проект федерального закона «О внесении изменений в статью 21 Федерального закона “О почтовой связи” и Федеральный закон “Об информации, информационных технологиях и о защите информации”, который предусматривает создание национального удостоверяющего центра, обеспечивающего сайты в российском сегменте интернета специальными сертификатами безопасности для их доверенного использования пользователями.

18. Правительство внесло законопроект №127003-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях«, которым предлагается при осуществлении государственного контроля (надзора):

    • в случае предотвращения лицом, совершившим правонарушение, вредных последствий данного правонарушения либо добровольного возмещения им причиненного ущерба (устранения причиненного вреда) административный штраф назначается в минимальном размере, предусмотренном санкцией применяемой нормы

    • правило о замене административного наказания в виде административного штрафа на предупреждение за впервые совершенное правонарушение распространяется на всех субъектов административных правонарушений, выявленных в ходе осуществления государственного контроля (надзора), муниципального контроля

    • административный штраф за административные правонарушения, выявленные в ходе осуществления государственного контроля (надзора), муниципального контроля, может быть уплачен в половинном размере в течение двадцати дней со дня вынесения постановления по делу.

19. Президент подписал Федеральный закон от 28.05.2022 №145-ФЗ «О внесении изменения в статью 14.8 Кодекса Российской Федерации об административных правонарушениях», который с 01.09.2022 влечет наложение административного штрафа за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные. Ответственность не наступит в случаях, когда предоставление потребителем персональных данных является обязательным в соответствии с федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами или непосредственно связано с исполнением договора.

20. Госдума одобрила в первом чтении проект об усилении защиты персональных данных, о котором я уже писал и который является одним из самых крупных изменений в области защиты ПДн за последние 10+ лет.

21. Заместитель Председателя Правительства РФ Дмитрий Чернышенко 25.05.2022 выдал перечень поручений ДЧ-П10-8691, в котором потребовал от 21 ведомства немедленно завершить создание и начать функционирование штабов по борьбе с киберугрозами, о чем было было дано поручение Правительства еще 6 марта. Многие ведомства игнорируют эти вопросы, считая, что их «пронесет». Видимо, нет. А с учетом 250-го Указа Президента о персональной ответственности руководителей тем более.
22. Минцифры опубликовало проект Постановления Правительства «О внесении изменения в состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных», которое дополняет способы сдачи биометрических персональных данных граждан в ЕБС самостоятельной передачей через мобильное приложение (а не только через банк или МФЦ, как сейчас).
23. Минцифры согласовало законопроект, ужесточающий ответственность компаний за утечку персональных данных клиентов. На самом деле еще рано обсуждать его текст, так как там, несмотря на согласование, есть несколько вариантов текста и какой из них в итоге будет внесен в Госдуму пока непонятно.
24. ФСБ опубликовала проект приказа «Об определении переходного периода», который определяет переходный период длиною в год, в течение которого центрам ГосСОПКА допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах организаций и органов, определенных в 250-м указе Президента без дополнительной аккредитации.
25. ФСБ лпубликовала проект приказа «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 г. № 366», которым закрепляется за НКЦКИ задачи, заключающейся в аккредитации центров ГосСОПКИ.

Что-то кучненько пошло. А ведь в стране бумаги не хватает. А тут такая активность у законотворческого принтера…