|
|
@@ -1,303 +0,0 @@
|
|
|
-## Основные руководящие, нормативные и методические документы по защите информации и противодействию технической разведке.
|
|
|
-
|
|
|
-Изменения за сентябрь 2022 года рассмотрим: изменения в продолжение «реформы 152-ФЗ»: новые электронные формы уведомления от Роскомнадзора, разъяснения ведомства о порядке отнесения фотографии к категории биометрических персональных данных, проекты постановлений Правительства РФ об исключениях применения требований и порядке принятия решений о запрещении/ограничении трансграничной передачи данных; требования к использованию средств криптографической защиты информации в государственных информационных системах, расширение области действия требований о защите платежной системы, результаты работы ТК 362 и другие изменения.
|
|
|
-
|
|
|
-### Законодательство в сфере персональных данных
|
|
|
-
|
|
|
-Вступление в силу реформы 152-ФЗ
|
|
|
-
|
|
|
-Напомним, что в июле был официально опубликован Федеральный закон от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ), вносящий ряд изменений в Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – 152-ФЗ).
|
|
|
-
|
|
|
-### Большинство изменений вступило в силу с 01.09.2022.
|
|
|
-Более подробный разбор нововведений приведен в комментариях ООО «УЦСБ». Кроме того, в конце сентября Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) был проведен вебинар по ключевым вопросам, касающихся вступивших в силу изменений.
|
|
|
-
|
|
|
-
|
|
|
-На сайте Роскомнадзора представлены электронные формы для подачи операторами персональных данных (далее – ПДн) уведомлений об утечке ПДн и о трансграничной передаче ПДн.
|
|
|
-В случае утечки ПДн соответствующее уведомление необходимо подать в течение 24 часов с момента наступления события. Для заполнения формы необходимо сначала пройти аутентификацию с помощью Единой системы идентификации и аутентификации (ЕСИА), после чего на сайте Роскомнадзора станет доступна сама форма для заполнения. При утечке ПДн необходимо заполнить следующие данные:
|
|
|
-
|
|
|
-дата и время инцидента
|
|
|
-
|
|
|
-предполагаемые причины инцидента
|
|
|
-
|
|
|
-характеристики утекших ПДн
|
|
|
-
|
|
|
-предполагаемый вред, нанесенный субъектам ПДн
|
|
|
-
|
|
|
-принятые меры по устранению последствий инцидента
|
|
|
-
|
|
|
-контакты лица, уполномоченного за дальнейшее взаимодействие.
|
|
|
-
|
|
|
-К форме можно приложить какие-либо свидетельства и указать дополнительную информацию.
|
|
|
-
|
|
|
-Форма уведомления о трансграничной передаче данных содержит следующие сведения:
|
|
|
-
|
|
|
-цель трансграничной передачи;
|
|
|
-
|
|
|
-правовое обоснование (необходимо выбрать из списка);
|
|
|
-
|
|
|
-категории передаваемых ПДн (необходимо выбрать из списка);
|
|
|
-
|
|
|
-категории субъектов ПДн (необходимо выбрать из списка);
|
|
|
-
|
|
|
-перечень иностранных государств, на территорию которых осуществляется передача (необходимо выбрать из списка);
|
|
|
-
|
|
|
-дата окончания проведения оценки (необходимо указать дату окончания проведения оператором оценки требований конфиденциальности обработки ПДн операторами иностранных государств, которым осуществляется или планируется осуществляться передача ПДн).
|
|
|
-
|
|
|
-В соответствии с комментариями Роскомнадзора, в случаях передачи ПДн в страны, обеспечивающие адекватную защиту прав субъектов ПДн, и в страны, не обеспечивающие такой адекватной защиты, необходимо сформировать одно общее уведомление и указать полный перечень стран. Ведомством также опубликован образец заполнения формы уведомления.
|
|
|
-
|
|
|
-Фотография: биометрия или нет?
|
|
|
-Роскомнадзором опубликовано письмо от 29.08.2022 № 08-78032 «О рассмотрении обращения» с разъяснениями по вопросу определения категории ПДн при обработке фотографического изображения.
|
|
|
-
|
|
|
-Позиция ведомства состоит в следующем: возможность отнесения тех или иных данных к категории биометрических регулируется отдельными законодательными и иными нормативными правовыми актами.
|
|
|
-
|
|
|
-Например, согласно п.6 Постановления Правительства РФ от 04.03.2010 №125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию» цветная фотография в загранпаспорте используется для установления личности и относится к биометрическим ПДн.
|
|
|
-
|
|
|
-Требования к формату изображения лица, предназначенного для записи биометрических данных, установлены Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013, утвержденным Федеральным агентством по техническому регулированию и метрологии (далее – Росстандарт).
|
|
|
-
|
|
|
-Таким образом, если на законодательном или ином нормативном уровне не установлены требования по обработке фотографических изображений как биометрических данных – фотография не является биометрическими ПДн.
|
|
|
-
|
|
|
-Проекты Минцифры России
|
|
|
-Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) представило для публичного обсуждения ряд проектов Постановления Правительства Российской Федерации.
|
|
|
-
|
|
|
-Проект постановления Правительства Российской Федерации «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона «О персональных данных».
|
|
|
-
|
|
|
-Согласно изменениям, утвержденным 266-ФЗ и вступающим в силу в 01.03.2023, оператор обязан подать отдельное уведомление об осуществлении трансграничной передачи ПДн. При этом если страны, в которые осуществляется передача ПДн, не являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн или не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, Роскомнадзором может быть принято решение о запрете или ограничении трансграничной передачи.
|
|
|
-
|
|
|
-Согласно проекту постановления, эти изменения не применяются в случаях, если государственные и муниципальные органы осуществляют трансграничную передачу во исполнение полномочий и обязанностей, возложенных международным договором и(или) законодательством РФ, в целях:
|
|
|
-
|
|
|
-осуществления международных воздушных и морских перевозок, железнодорожного и автомобильного сообщения;
|
|
|
-
|
|
|
-обеспечения транспортной безопасности;
|
|
|
-
|
|
|
-обеспечения реадмиссии;
|
|
|
-
|
|
|
-осуществления предупреждения и ликвидации чрезвычайных ситуаций;
|
|
|
-
|
|
|
-обеспечения безопасности и противодействия преступности;
|
|
|
-
|
|
|
-обеспечения дипломатических отношений;
|
|
|
-
|
|
|
-обеспечения сотрудничества в рамках Евразийского экономического союза;
|
|
|
-
|
|
|
-обеспечения обороны;
|
|
|
-
|
|
|
-обеспечения консульских отношений;
|
|
|
-
|
|
|
-оказания правовой помощи по гражданским, семейным, административным и уголовным делам.
|
|
|
-
|
|
|
-Изменения, касающиеся возможности запрета или ограничения Роскомнадзором трансграничной передачи, также не применимы в описанных ранее случаях, при передаче ПДн в целях:
|
|
|
-
|
|
|
-реализации физической культуры и спорта;
|
|
|
-
|
|
|
-реализации культуры, науки и образования;
|
|
|
-
|
|
|
-обеспечения платежей с использованием платежных систем и платежной инфраструктуры.
|
|
|
-
|
|
|
-Однако в данных случаях требования к подаче уведомления о трансграничной передаче применимы.
|
|
|
-
|
|
|
-Проект постановления Правительства РФ «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».
|
|
|
-
|
|
|
-Проект содержит порядок рассмотрения Роскомнадзором уведомлений операторов ПДн о трансграничной передаче данных и принятия решения о запрещении или ограничении трансграничной передачи.
|
|
|
-
|
|
|
-По результатам рассмотрения уведомления о трансграничной передаче ПДн Роскомнадзор принимает решение о запрещении такой передачи в следующих случаях:
|
|
|
-
|
|
|
-иностранными лицами, которым планируется трансграничная передача ПДн (далее – иностранные лица), не принимаются меры по защите передаваемых данных и(или) не определены условия прекращения их обработки;
|
|
|
-
|
|
|
-иностранное лицо является запрещенной организацией на территории РФ на основании вступившего в законную силу решения суда;
|
|
|
-
|
|
|
-иностранное лицо включено в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ;
|
|
|
-
|
|
|
-трансграничная передача и дальнейшая обработка переданных ПДн не совместима с целями сбора ПДн;
|
|
|
-
|
|
|
-условия обработки ПДн при их трансграничной передаче не соответствуют законным условиям, установленным в ст.6 152-ФЗ.
|
|
|
-
|
|
|
-Решение о запрещении трансграничной передачи ПДн распространяется на всю деятельность по трансграничной передаче ПДн, указанную в уведомлении.
|
|
|
-
|
|
|
-Решение об ограничении трансграничной передачи ПДн в свою очередь может быть принято в следующих случаях:
|
|
|
-
|
|
|
-содержание и объем ПДн, планируемых к трансграничной передаче, не соответствуют цели трансграничной передачи;
|
|
|
-
|
|
|
-категории субъектов ПДн, данные которых планируются к трансграничной передаче, не соответствуют цели трансграничной передачи ПДн.
|
|
|
-
|
|
|
-Решение об ограничении трансграничной передачи действует только в части трансграничной передачи ПДн, не соответствующей ее целям.
|
|
|
-
|
|
|
-Проект содержит требования к содержанию решения о запрещении или ограничении трансграничной передачи ПДн. Решение по трансграничной передаче принимается руководителем Роскомнадзора, вступает в силу с момента его подписания и направляется оператору любым доступным способом.
|
|
|
-
|
|
|
-Оператор, получивший решение о запрещении или ограничении трансграничной передачи данных, вправе направить повторное уведомление о намерении осуществлять такую передачу после устранения причин, повлекших запрещение или ограничение ведомства. Решение также может быть обжаловано оператором в предусмотренном проектом порядке.
|
|
|
-
|
|
|
-Проект постановления Правительства РФ «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных по представлению уполномоченного органа».
|
|
|
-
|
|
|
-Проект определяет порядок принятия решения о запрещении или ограничении трансграничной передачи ПДн по представлению следующих уполномоченных органов:
|
|
|
-
|
|
|
-Министерство обороны РФ;
|
|
|
-
|
|
|
-Министерство иностранных дел РФ;
|
|
|
-
|
|
|
-Федеральная служба безопасности РФ;
|
|
|
-
|
|
|
-иные федеральные органы исполнительной власти, уполномоченные Президентом или Правительством РФ на обеспечение защиты экономических и финансовых интересов РФ.
|
|
|
-
|
|
|
-Представление может быть направлено как в целях запрещения/ограничения передачи на территорию определенного иностранного государства, так и в отношении конкретного оператора ПДн, передающего данные.
|
|
|
-
|
|
|
-Процедура подачи и рассмотрения представления аналогична процедуре рассмотрения уведомлений операторов (за исключением требований к срокам рассмотрения или предоставления дополнительных сведений). Решение о запрещении или ограничении трансграничной передачи ПДн, принятое по представлению уполномоченных органов, направляется как в адрес самих органов, так и в адрес операторов, осуществляющих такую передачу данных. Решение также может подлежать пересмотру по факту устранения выявленных нарушений трансграничной передачи ПДн (по направлению повторного представления уполномоченным органом).
|
|
|
-
|
|
|
-Общественное обсуждение проектов завершилось 4 октября 2022 года. Положения постановлений вступят в силу после утверждения проектов с 1 марта 2023 года.
|
|
|
-
|
|
|
-Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн
|
|
|
-Официально опубликован приказ Роскомнадзора от 05.08.2022 №128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».
|
|
|
-
|
|
|
-Как обсуждалось в обзоре изменений законодательства за июль, в перечень вошли иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн (далее – Конвенция), а также иностранные государства, не являющиеся сторонами Конвенции, но действующие нормы права и применяемые меры обеспечения безопасности ПДн которых соответствуют положениям Конвенции.
|
|
|
-
|
|
|
-В обновленный перечень включены 11 иностранных государств, включая Республику Беларусь и Федеративную Республику Бразилия. С учетом внесенных изменений количество стран, обеспечивающих адекватную защиту прав субъектов ПДн, увеличилось до 29.
|
|
|
-
|
|
|
-Из перечня исключены:
|
|
|
-
|
|
|
-Аргентинская Республика;
|
|
|
-
|
|
|
-Королевство Марокко;
|
|
|
-
|
|
|
-Тунисская Республика.
|
|
|
-
|
|
|
-Приказ вступает в силу с 1 марта 2023 года.
|
|
|
-
|
|
|
-Об отраслевом центре ГосСОПКА
|
|
|
-Опубликовано постановление Правительства РФ от 17.09.2022 №1641 «О признании утратившими силу некоторых актов Правительства Российской Федерации».
|
|
|
-
|
|
|
-Постановление отменяет иное постановление Правительства РФ от 07.10.2019 №1285 «Об утверждении Правил предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах» и ряд иных постановлений, ранее вводящих изменения в порядок предоставления таких субсидий.
|
|
|
-
|
|
|
-Отраслевой центр компетенций промбезопасности
|
|
|
-Правительством РФ опубликовано постановление от 17.09.2022 №1636 «Об утверждении Правил предоставления субсидии из федерального бюджета на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности».
|
|
|
-
|
|
|
-Субсидию на создание данного центра предоставляет Министерство промышленности и торговли Российской Федерации (далее ‑ Минпромторг). Деятельность создаваемого центра направлена на решение следующих задач:
|
|
|
-
|
|
|
-обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы промышленных предприятий;
|
|
|
-
|
|
|
-проведение мероприятий по оценке степени защищенности информационных ресурсов промышленных предприятий;
|
|
|
-
|
|
|
-проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на информационные ресурсы промышленных предприятий;
|
|
|
-
|
|
|
-сбор и анализ данных о состоянии информационной безопасности информационных ресурсов промышленных предприятий;
|
|
|
-
|
|
|
-формирование и поддержание в актуальном состоянии информации об информационных ресурсах промышленных предприятий;
|
|
|
-
|
|
|
-проведение мероприятий по повышению уровня образования в сфере информационной безопасности в отношение информационных ресурсов промышленных предприятий.
|
|
|
-
|
|
|
-Постановление утверждает порядок проведения конкурса среди российских организаций на создание такого центра, а также правила расчета размера субсидии, порядок ее предоставления и формирования отчетности о ее расходовании.
|
|
|
-
|
|
|
-Объявление о конкурсе должно появиться на сайте Минпромторга в течение 5 рабочих дней со дня принятия решения о проведении конкурсного отбора.
|
|
|
-
|
|
|
-Об использовании криптографии в ГИС
|
|
|
-Федеральная служба безопасности РФ (далее – ФСБ России) представила проект приказа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».
|
|
|
-
|
|
|
-Согласно проекту защиту информации, содержащейся в государственных информационных системах (далее – ГИС), необходимо осуществлять с использованием средств криптографической защиты информации (далее – СКЗИ) в следующих случаях:
|
|
|
-
|
|
|
-если эта обязанность предусмотрена законодательством РФ;
|
|
|
-
|
|
|
-в ГИС осуществляется передача данных по каналам связи, выходящим за пределы охраняемого периметра (контролируемой зоны);
|
|
|
-
|
|
|
-необходимо обеспечить юридическую значимость и защиту от подделки электронных документов;
|
|
|
-
|
|
|
-в ГИС осуществляется хранение данных на носителях, несанкционированный доступ к которым не может быть предотвращен без использования СКЗИ.
|
|
|
-
|
|
|
-Проект также содержит требования к использованию и хранению СКЗИ. Требования предъявляются к физической защите, организации хранения в помещениях и строгих процедур контроля физического доступа к СКЗИ.
|
|
|
-
|
|
|
-Положения проекта не распространяются на ГИС Администрации Президента, Совета безопасности, Федерального собрания и Правительства РФ, Конституционного и Верховного Судов РФ и ФСБ России, а также ГИС, содержащие сведения, составляющие государственную тайну.
|
|
|
-
|
|
|
-Общественное обсуждение приказа завершилось 7 октября.
|
|
|
-
|
|
|
-О платежной системе
|
|
|
-Для общественного обсуждения опубликован проект постановления Правительства РФ «О внесении изменения в Положение о защите информации в платежной системе».
|
|
|
-
|
|
|
-В связи с расширением перечня операторов платежной инфраструктуры в платежной системе, которые обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности (ст.27 Федерального закона от 27.06.2011 г. №161-ФЗ «О национальной платежной системе»), предлагается скорректировать область действия постановления Правительства РФ от 13.06.2012 №584 «Об утверждении Положения о защите информации в платежной системе», дополнив ее операторами услуг информационного обмена, поставщиками платежных приложений и операторами электронных платформ платежной инфраструктуры.
|
|
|
-
|
|
|
-### Персональные данные
|
|
|
-Минцифры России представило для общественного обсуждения ряд проектов постановлений Правительства РФ, регламентирующих трансграничную передачу персональных данных. Документы разработаны в развитие 266-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».
|
|
|
-
|
|
|
-К таким случаям относится выполнение функций, полномочий и обязанностей, возложенных на государственные и муниципальные органы международным договором и законодательством РФ в целях:
|
|
|
-
|
|
|
-обеспечения транспортной безопасности;
|
|
|
-
|
|
|
-осуществления предупреждения и ликвидации чрезвычайных ситуаций;
|
|
|
-
|
|
|
-обеспечения безопасности и противодействия преступности;
|
|
|
-
|
|
|
-обеспечения дипломатических сношений;
|
|
|
-
|
|
|
-обеспечения сотрудничества в рамках Евразийского экономического союза;
|
|
|
-
|
|
|
-обеспечения обороны;
|
|
|
-
|
|
|
-оказания правовой помощи по гражданским, семейным, административным и уголовным делам;
|
|
|
-
|
|
|
-реализации физической культуры и спорта;
|
|
|
-
|
|
|
-реализации культуры, науки и образования;
|
|
|
-
|
|
|
-обеспечения платежей с использованием платежных систем и платежной инфраструктуры.
|
|
|
-
|
|
|
-### Отраслевые изменения
|
|
|
-
|
|
|
-В России появится отраслевой центр компетенций по информационной безопасности в промышленности. Соответствующее решение приняло Правительство РФ своим постановлением № 1636 от 17.09.2022.
|
|
|
-Деятельность нового центра будет направлена на решение следующих задач:
|
|
|
-
|
|
|
-обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы промышленных предприятий;
|
|
|
-
|
|
|
-проведение мероприятий по оценке степени защищённости информационных ресурсов промышленных предприятий;
|
|
|
-
|
|
|
-проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на информационные ресурсы промышленных предприятий;
|
|
|
-
|
|
|
-сбор и анализ данных о состоянии информационной безопасности информационных ресурсов промышленных предприятий;
|
|
|
-
|
|
|
-формирование и поддержание в актуальном состоянии сведений об информационных ресурсах промышленных предприятий;
|
|
|
-
|
|
|
-проведение мероприятий по повышению уровня образования в сфере информационной безопасности в отношении информационных ресурсов промышленных предприятий.
|
|
|
-
|
|
|
-Организацию, на базе которой будет создан отраслевой центр, определят путем конкурсного отбора. Победитель конкурса получит субсидию от Минпромторга России
|
|
|
-
|
|
|
-### Вопросы:
|
|
|
-При утечке ПДн необходимо заполнить какие данные?
|
|
|
-
|
|
|
-#### дата и время инцидента
|
|
|
-
|
|
|
-#### предполагаемые причины инцидента
|
|
|
-
|
|
|
-#### характеристики утекших ПДн
|
|
|
-
|
|
|
-#### предполагаемый вред, нанесенный субъектам ПДн
|
|
|
-
|
|
|
-#### принятые меры по устранению последствий инцидента
|
|
|
-
|
|
|
-#### контакты лица, уполномоченного за дальнейшее взаимодействие.
|
|
|
-Какие органы определяют порядок принятия решения о запрещении или ограничении трансграничной передачи ПДн ?
|
|
|
-#### Министерство обороны РФ;
|
|
|
-
|
|
|
-#### Министерство иностранных дел РФ;
|
|
|
-
|
|
|
-#### Федеральная служба безопасности РФ;
|
|
|
-В каких случаях относится выполнение функций, полномочий и обязанностей, возложенных на государственные и муниципальные органы международным договором и законодательством РФ в целях?
|
|
|
-#### обеспечения транспортной безопасности;
|
|
|
-
|
|
|
-#### осуществления предупреждения и ликвидации чрезвычайных ситуаций;
|
|
|
-
|
|
|
-#### обеспечения безопасности и противодействия преступности;
|
|
|
-
|
|
|
-#### обеспечения дипломатических сношений;
|
|
|
-
|
|
|
-#### обеспечения сотрудничества в рамках Евразийского экономического союза;
|
|
|
-
|
|
|
-#### обеспечения обороны;
|
|
|
-
|
|
|
-#### оказания правовой помощи по гражданским, семейным, административным и уголовным делам;
|
|
|
-
|
|
|
-#### реализации физической культуры и спорта;
|
|
|
-
|
|
|
-#### реализации культуры, науки и образования;
|
|
|
-
|
|
|
-#### обеспечения платежей с использованием платежных систем и платежной инфраструктуры.
|
|
|
-
|
|
|
-
|
|
|
-
|
|
|
-
|
|
|
-
|
|
|
-
|
|
|
-
|
