Дайджест изменений в российском законодательстве по ИБ №27

Новинки законодательства по информационной безопасности Законодательство

Август месяц, время отпусков, но законодатели не спят и готовят нам новые нормотворческие инициативы, которых набралось с момента публикации 26-го дайджеста аж целых полтора десятка, преимущественно сфокусированных вокруг трех тем — персданные, КИИ и биометрия.

Персональные данные

  1. Роскомнадзор подготовил проект ведомственного приказа «Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», который должен вступить в силу с 1 марта 2023 года сроком на 6,5 лет и который вводит качественную градацию вреда (светофор). Три степени вреда привязываются к нарушению конкретных статей ФЗ-152 и никак не учитывают ни природу ПДн, ни их содержание или объем, ни право самого субъекта ПДн определять масштаб ущерба для себя.
  2. Роскомнадзор подготовил проект ведомственного приказа «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных», суть которого понятна из названия НПА.
  3. Роскомнадзор подготовил проект ведомственного приказа «Об утверждении требований к подтверждению уничтожения персональных данных«, который по сути определяет только необходимость составления акта об уничтожении, что и является подтверждением оного.
  4. Минцифры надеется доработать законопроект об оборотных штрафах за утечку ПДн в августе этого года, чтобы внести его осенью в Госдуму. Задача у регулятора непростая — найти баланс между жестким наказанием (а то 60 тысяч рублей уже стали притчей воязыцех) и необходимостью отрасли ИТ развиваться, что невозможно без широкой обработки данных разных типов, включая и персональные.

Аутентификация, включая биометрию

  1. Минцифры подготовило проект постановления Правительства «О проведении эксперимента по организации допуска пассажиров в зону транспортной безопасности аэропорта при входе в пункт предполетного досмотра и воздушного судна гражданской авиации с использованием единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица», согласно которому при контроле посадки пассажира в самолет в аэропорту Шереметьево (именно он выбран в качестве эксперимента) служба пассажирских перевозок должна будет по электронной базе данных проверить информацию о прохождении им досмотра.
  2. Минцифры предложило использовать Единую биометрическую систему (ЕБС) при входе на территорию промышленных, оборонных, атомных, ядерных, оружейных, химических предприятий, а также в организации транспортной инфраструктуры, на субъекты критической информационной инфраструктуры, объекты, «совершение террористического акта на территории которых может привести к чрезвычайным ситуациям с опасными социально-экономическими последствиями». Такая норма содержится в разрабатываемом законопроекте о ГИС ЕБС, который министерство намерено представить этой осенью. Не мытьем так катаньем, но ЕБС пытаются вкрячить везде, где только можно. Скоро в городские туалеты проходить надо будет по биометрии (хорошо, что лица, а не других частей тела).
  3. Минцифры подготовило проект постановления Правительства «О внесении изменений в пункт 3.1 Требований к федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме», согласно которому физические лица с использованием личного кабинета в федеральной государственной информационной системе «Единый портал государственных и муниципальных услуг (функций)» получают право устанавливать возможность получения санкционированного доступа к информации, содержащейся в государственных, муниципальных и иных информационных системах, посредством дополнительной аутентификации с использованием информационной системы кредитной организации.
  4. Минцифры опубликовало свой приказ от 5 августа №582 «Об отмене приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 6 июня 2022 г. №455 «О внесении изменений в приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 19 мая 2021 г. № 474 «Об утверждении методики расчета взимания платы за использование единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия представленным биометрическим персональным данным физического лица». Похоже министерство само не знает, что оно делает. Сначала устанавливает плату за использование ЕБС, потом отменяет, спустя пару месяцев отменяет свою отмену. Вы уж там определитесь…
  5. Минцифры предлагает предлагает отрегулировать процессы импорта ранее собранных биометрических данных, хранящихся в коммерческих системах, в основном в банках, в государственную единую биометрическую систему. Данные поправки не подразумевают сбора биометрических ПДн без согласия, смешения БПДн из разных систем не будет (будут брать только самую свежую версию), требования к загружаемым в ЕБС БПДН уточнены.
  6. Минцифры подготовило проект Постановления Правительства «О внесении изменений в постановление Правительства Российской Федерации от 2 марта 2021 года №301», согласно которому предполагается в целях обеспечения возможности идентификации обучающегося в процессе проведения промежуточной и итоговой аттестации по образовательным программам высшего образования — программам бакалавриата, программам специалитета, программам магистратуры в дистанционном формате использовать ЕБС.

Критическая инфраструктура

  1. Минпромторг подготовил проект постановления Правительства «О порядке перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры», который разъясняет соответствующий порядок, упомянутый в 166-м Указе Президента России. Как обычно «принятие проекта постановления не повлечет за собой дополнительных расходов средств бюджетов бюджетной системы Российской Федерации, социально-экономических, финансовых и иных последствий, в том числе для субъектов предпринимательской и иной экономической деятельности«. Вообще эта формулировка в случае с данным проектом выглядит не просто странно, а смешно 🙁
  2. В Госдуму внесен законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который предлагает внести поправки в статью 19.7.15 КоАП «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации». Согласно законопроекту наказывать хотят не только за непредоставление сведений, но и за предоставление недостоверных сведений о результатах категорирования объектов КИИ, а также за совершение повторного подобного правонарушения.
  3. Официально опубликован приказ ФСБ России от 07.07.2022 № 348 «О внесении изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСБ России от 19 июня 2019 г. № 282». Изменений не так уж и много — план реагирования должен разрабатываться при методическом обеспечении НКЦКИ, план должен быть утвержден руководством субъекта КИИ, а копия утвержденного плана должна быть направлена в НКЦКИ в течение 7 дней с момента утверждения.

  4. Официально опубликовано Постановление Правительства от 19.08.2022 № 1463 «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации», которое уточняет правила оценки актуальности и достоверности сведений об объектах критической информационной инфраструктуры (КИИ) в рамках отраслевого мониторинга с привлечением специализированных организаций.

Электронная подпись и удостоверяющие центры

  1. Минцифры России опубликовало проект Административного регламента по предоставлению государственной услуги «Аккредитация удостоверяющих центров«, предполагающего аккредитацию обычных и облачных УЦ.

Разное

  1. Госдума приняла в первом чтении законопроект «О внесении изменений в отдельные законодательные акты Российской Федерации» об информационном обмене между Банком России и МВД о случаях и попытках мошеннических переводов. Механизм предусматривает, что МВД будет передавать ЦБ (ФинЦЕРТу) данные о действиях, связанных с попытками перевода денег без согласия клиента. Банк России, в свою очередь, будет передавать МВД сведения из базы данных о попытках совершения противоправных операций. Это касается в том числе информации о всей цепочке транзакций, которая станет основой для проведения оперативно-розыскных мероприятий.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Сергей

    «Скоро в городские туалеты проходить надо будет по биометрии (хорошо, что лица, а не других частей тела).»
    По другим частям тела будет происходить вычисление оплаты 🙂
    Ну а вообще прокомментировать хотел по теме актов об уничтожении ПДн. Вот странная это штука. Простой пример — каждый день из большой организации увольняются работники. В ИСПДн типа AD или локального портала их данные вычищаются. И что, каждый день делать акты, на бумаге, бегать у всех подписывать, организовывать хранение, да еще, упаси Зевс, по каждому конкретному субъекту? Какой-то махровый и бессмысленный бюрократизм. И эти люди ведут всех к светлому цифровому будущему…

    Ответить
    1. Алексей Лукацкий автор

      Так акт уничтожения ПДн, если мне не изменяет память, можно раз в полгода кумулятивно оформлять

      Ответить
      1. пофиг

        неправильно- 3 и 10 дней

        Ответить
  2. Андрей

    вопрос по п.1 первого раздела ПДн статьи, «оценка вреда» и приложение, где шкала уже вписана: работа безопасника заключается в чем? — вычеркнуть строки, которые не применимы к организации, ибо светофор уже выставлен, я правильно понял, т.е. нам жестко указали, нарушение какой статьи какой степени вред нанесет субъекту?

    Ответить
    1. Алексей Лукацкий автор

      Да, все так. Ущерб посчитали и за ИБшника, и за DPO, и за субъекта.

      Ответить
  3. Алексей

    добрый день!
    прокомментируйте, пожалуйста, вопрос по оценке вреда, а то не очень понятно 🙂
    1. постановление Правительства 1119 говорит (пункт 7), что тип актуальных угроз проводится оператором с учетом оценки возможного вреда.
    2. то же постановление далее (пункты 8 — 12) говорит, что уровень защищенности определяется, в т.ч. исходя из типа актуальных угроз.
    3. известно, что система защиты ПДн (минимально необходимый комплаенс) строиться, исходя из установленного уровня защищенности.
    4. Роскомнадзор теперь говорит, что отсутствие системы защиты ПДн — это высокий вред, если я правильно понял.
    ВОПРОС: чтобы нам и далее, как раньше, спокойно определить уровень защищенности и на основании него делать работу по соответствию комплаенсу, то мы должны СНАЧАЛА СДЕЛАТЬ по четвертому уровню защищенности, чтобы избегнуть высокого вреда, а потом ДОДЕЛЫВАТЬ, например, до третьего/второго уровня защищенности (смотря по категории и количеству ПДн и принадлежности субъектов ПДн к оператору)?
    не лишняя ли трата денег для операторов?

    Ответить
    1. Алексей Лукацкий автор

      Ой, я бы не взялся сейчас за обсуждение того, что там себе напридумывал РКН и как он видит себе процесс защиты ПДн

      Ответить