Дайджест изменений в российское законодательство по ИБ №26

Июль всегда запоминается каким-то нескончаемым потоком нормативных актов по ИБ, что объясняется окончанием весенней сессии Госдумы и необходимостью завершить законодательную деятельность. Поэтому в июле законопроекты обычно проходят финальное, третье чтение; затем их пропускает через себя Совет Федерации и они поступают на подпись президенту, который почти никогда не отправляет их назад, на доработку (по ИБ я таких не помню). И все это обычно в июле — самом начале августа. Вот и сейчас у нас накопилось немало всего, что можно включить в очередной дайджест.

Персональные данные

1. Президент подписал Федеральный закон от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», который я уже рассматривал и который вводит целый ряд новых норм по работе с персональными данными, включая требования по уведомления об инцидентах с ПДн.
2. Минцифры разрабатывает законопроект об уголовной ответственности за утечки персональных данных. Текста пока нет, но о нем пишу «Интерфакс» и «Коммерсант«.
3. Президент подписал Федеральный закон от 14.07.2022 №259-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который добавляет в КоАП новую статью 19.5.2, вводящую штрафы за нарушение запрета на сбор персональных данных граждан РФ.
4. Минцифры планирует ослабить административную ответственность за утечки персональных данных. Самого текста законопроекта еще нет, но о нем пишет «Коммерсант«, а также само министерство. Размер оборотных штрафов может быть снижен; вплоть до отсутствия наказания за первый инцидент.
5. Минцифры внесло очередные изменения (пока не опубликованы) в законопроект об обороте обезличенных персональных данных. Текста законопроекта пока нет, но о нем пишет «Коммерсант«. Предполагается, что бизнес по запросу будет передавать государству ПДн граждан, а обезличивать их будет уже сам уполномоченный орган (видимо, РКН). Согласие субъекта на это не потребуется.
6. В Госдуму внесен законопроект №8-111 «О внесении изменения в статью 10 Федерального закона «О персональных данных», который был разработан в целях устранения существующего правового пробела и отнесения личной контактной информации граждан к категории специальных ПДн. Однако комиссия Совета законодателей уже рекомендовала не вносить данный законопроект в Госдуму.
7. Центр защиты персональных данных Беларуси и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций России подписали меморандум о взаимодействии в сфере защиты прав субъектов персональных данных.
8. Роскомнадзор опубликовал проект приказа «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных», который отменяет ранее действовавший приказ РКН от 15.03.2013 г. №274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных», а также добавляет в список «адекватных» стран Кот-Д’Ивуар, КНР, Киргизию, Таиланд и Индию.

Биометрия

1. Президент подписал Федеральный закон от 14.07.2022 №325-ФЗ «О внесении изменений в статьи 14 и 14-1 Федерального закона «Об информации, информационных технологиях и о защите информации» и статью 5 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации», который разрешает финансовым организациям передавать в ЕБС персональные данные россиян без получения их согласия, но при условии обязательного уведомления субъекта ПДн о факте передачи его данных с предоставлением возможности отказаться от обработки своих биометрических ПДн в ЕБС. Закон вступает в силу с 1-го марта 2023 года.
2. Банк России опубликовал Указание от 9 июня 2022 года №6152-У / 01/05/53404/22 «О признании утратившим силу Указания Банка России и публичного акционерного общества «Ростелеком» от 9 июля 2018 года №4859-У / 01/07/782-18 о перечне угроз безопасности биометрическим ПДн.
3. Банк России опубликовал проект Указания «О критерии для мобильных приложений банков с универсальной лицензией, посредством которых обеспечивается возможность клиентам – физическим лицам открывать счета (вклады) в рублях, а также получать кредиты в рублях без личного присутствия после проведения идентификации клиента – физического лица в порядке, предусмотренном пунктом 58 статьи 7 Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», который хочет установить обязанность для банков регистрировать новых клиентов в банковских мобильных приложениях при помощи идентификации в ЕБС.
4. Опубликовано Постановление Правительства РФ от 12.07.2022 №1237 «О внесении изменения в состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных».

Критическая инфраструктура

1. ФСТЭК выпустила информационное сообщение о порядке представления субъектами КИИ в сфере энергетики и ТЭК перечней объектов КИИ, подлежащих категорированию, а также сведений о присвоении объектам КИИ одной из категорий значимости либо неприсвоения им одной из таких категорий.
2. В Госдуму внесен законопроект №154496-8 «О внесении изменения в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», который предлагает отнести к субъектам КИИ лиц, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной регистрации недвижимости.
3. В Госдуму внесен законопроект №164428-8 «О внесении изменений в Федеральный закон «О Центральном банке Российской Федерации (Банке России)», который долден предоставить Банку России право контролировать переход кредитных и некредитных финансовых организаций на российское программное обеспечение на значимых объектах КИИ.
4. Минцифры готовит проект Указа Президента, который, в отличие от 166-го или 250-го Указов Президента, распространит требования по использования только отечественного ПО на все значимые объекты КИИ, а не только на те, которые принадлежат госорганизациям и госкомпаниям.

Электронная подпись

1. Президент подписал Федеральный закон от 14.07.2022 №339-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», который вносит изменения в Федеральный закон №63-ФЗ «Об электронной подписи«, в том числе и в части передоверия для отдельных категорий лиц.
2. Минцифры подготовило законопроект «О внесении изменений в статьи 17.2 и 17.4 Федерального закона «Об электронной подписи», статью 3 Федерального закона «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и статью 4 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации», который подготовлен в целях урегулирования вопроса продления возможности использования квалифицированных сертификатов ключей проверки электронной подписи представителей юридических лиц, индивидуальных предпринимателей, а также представителей кредитных организаций, операторов платежной системы, некредитных финансовых организаций, индивидуальных предпринимателей, осуществляющих виды деятельности, указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 г. №86-ФЗ «О Центральном банке Российской Федерации (Банке России)», без применения машиночитаемой доверенности. Срок продлевается до 31 августа 2023 года.

«Шпионские» и «иноагентские» изменения

1. Президент подписал Федеральный закон от 14.07.2022 №255-ФЗ «О контроле за деятельностью лиц, находящихся под иностранным влиянием», который запрещает иностранным агентам эксплуатацию значимых объектов КИИ, а также обеспечение их безопасности. Также иноагентам теперь может быть ограничен доступ к гостайне. Закон вступает в силу с 1-го декабря 2022-го года.
2. Президент подписал Федеральный закон от 14.07.2022 №260-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации», который расширяет формулировку статьи 275 «Государственная измена» и 276 «Шпионаж», а также вводит новые статьи
   • 275.1 «Сотрудничество на конфиденциальной основе с иностранным государствам, международной либо иностранной организацией»
   • 282.4 «Неоднократная пропаганда либо публичное демонстрирование нацистской атрибутики или символики, либо атрибутики или символики экстремистских экранизаций…» (помните, что Facebook отнесен к таковым?)
   • 282.3 «Нарушение требований по защите государственной тайны».

Перевод денежных средств

1. Банк России выпустил Указание от 18.02.2022 №6071-У «О внесении изменений в Положение Банка России от 17 апреля 2019 года No 683‐П “Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента”, которое внесло изменения в части оценки соответствия прикладного ПО требованиям по безопасности и сертификации ФСТЭК, обеспечения целостности электронных сообщений, обеспечения достоверности и целостности защищаемой информации, даны отсылки к 716-П и ФЗ-187 о безопасности КИИ. Указание вступает в силу с 1-го октября 2022-го года.

Образование и кадры

1. ФСТЭК внесла изменения в следующие программы профессиональной переподготовки и повышения квалификации специалистов, работающих в области ТЗКИ и КИИ:
   • профессиональной переподготовки «Информационная безопасность. Техническая защита конфиденциальной информации», утвержденная ФСТЭК России 28 апреля 2017 г. с учетом внесенных изменений в примерную программу, утвержденных ФСТЭК России 30 мая 2018 г.;
   • профессиональной переподготовки «Техническая защита информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну», утвержденная ФСТЭК России 30 апреля 2015 г. с учетом внесенных изменений в примерную программу, утвержденных ФСТЭК России 30 мая 2018 г.;
   • повышения квалификации «Техническая защита информации. Сертификация средств защиты информации по требованиям безопасности информации», утвержденная ФСТЭК России 30 марта 2016 г. с учетом внесенных изменений в примерную программу, утвержденных ФСТЭК России 30 мая 2018 г.;
   • повышения квалификации «Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа», утвержденная ФСТЭК России 30 марта 2016 г. с учетом внесенных изменений в примерную программу, утвержденных ФСТЭК России 30 мая 2018 г.;
   • повышения квалификации «Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну», утвержденная ФСТЭК России 30 марта 2016 г. с учетом внесенных изменений в примерную программу, утвержденных ФСТЭК России 30 мая 2018 г.;
   • повышения квалификации «Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа, не содержащей сведения составляющие государственную тайну, от утечки по техническим каналам», утвержденная ФСТЭК России 30 марта 2016 г. с учетом внесенных изменений в примерную программу, утвержденных ФСТЭК России 30 мая 2018 г.;
   • повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры, утвержденная ФСТЭК России 30 ноября 2018 г.

Требования по безопасности информации

1. ФСТЭК подготовила проект требований по безопасности информации к средствам контейнеризации.
2. ФСТЭК подготовила проект требований по безопасности информации к средствам виртуализации.
3. ТК362 подготовил проект национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению статического анализа программного обеспечения» от ТК362
4. ТК362 подготовил проект национального стандарта ГОСТ Р «Защита информация. Идентификация и аутентификация. Уровни доверия аутентификации» от ТК362

Подзаконники для 250-го Указа

1. ФСБ подготовила проект приказа «Об определении переходного периода», который определяет переходный период, в течение которого допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах всех попавших под Указ №250 организаций на основании заключенных с ФСБ (НКЦКИ) соглашений о сотрудничестве (взаимодействии) в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты. Этот срок равен 360 дням. За это время НКЦКИ должен будет разработать новый регламент аккредитации соответствующих центров мониторинга.
2. Правительство РФ опубликовало Постановление от 15.07.2022 №1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)», о проекте которого я уже писал.

Разное

1. Президент подписал Федеральный закон от 14.07.2022 №326-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации и о приостановлении действия отдельных положений законодательных актов Российской Федерации», который среди прочего вводит такое понятие как контрсанкционная информация, то есть сведения, в том числе производственные, технические и организационные, о совершенных или планируемых внешнеэкономических сделках, распространение которых может повлечь за собой санкции в отношении компаний-участниц и распространение которых может быть ограничено. При этом, к контрсанкционной информации не могут быть отнесены сведения, составляющие гостайну и коммерческую тайну, а также иные сведения ограниченного доступа. За распространение контрсанкционной информации вводится ответственность, уже предусмотренная за разглашение информации с ограниченным доступом.
2. Президент подписал Федеральный закон от 14.07.2022 №260-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации», который вводит в Уголовный кодекс новую статью 274.2 «Нарушение правил централизованного управления техническими средствами противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования», предусматривающую наказание в виде штрафа до 1,5 миллионов рублей или лишения свободы на срок до 3-х лет.
3. Президент подписал Федеральный закон от 14.07.2022 №259-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который добавляет в КоАП новую статью 13.42.1, которая вводит штрафы за нарушение требований к пропуску трафика через технические средства противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования.
4. На Инфофоруме из уст представителя ФСТЭК прозвучала информация о том, что сейчас разрабатывается проект Указа Президента по государственной системе защиты информации, который должен быть представлен в сентябре 2022 года. 
5. В Госдуму внесен законопроект №160605-8 «О внесении изменений в Федеральный закон «О рекламе», который предполагает создание единого оператора, который будет отвечать за «информационный ресурс размещения информации», то есть электронные видеоэкраны, билборды, электронные носители рекламы в метро и на остановках транспорта, самом транспорте и т.п. При этом требования по информационной безопасности и защите персональных данных должно устанавливать Минцифры, а не ФСТЭК или ФСБ.
6. Заместитель председателя Правительства РФ, вице-премьер Д.Чернышенко по итогам совещания с федеральными и региональными руководителями цифровой трансформации 29 июня 2022 года дал указание до конца 2022 года обеспечить взаимодействие всех федеральных информационных систем с НКЦКИ в рамках ГосСОПКИ.

С последнего дайджеста прошло меньше месяца, а уже 34 новых законодательных и регуляторных инициативы!