|
|
@@ -0,0 +1,308 @@
|
|
|
+## Основные руководящие, нормативные и методические документы по защите информации и противодействию технической разведке.
|
|
|
+
|
|
|
+Изменения за сентябрь 2022 года рассмотрим: изменения в продолжение «реформы 152-ФЗ»: новые электронные формы уведомления от Роскомнадзора, разъяснения ведомства о порядке отнесения фотографии к категории биометрических персональных данных, проекты постановлений Правительства РФ об исключениях применения требований и порядке принятия решений о запрещении/ограничении трансграничной передачи данных; требования к использованию средств криптографической защиты информации в государственных информационных системах, расширение области действия требований о защите платежной системы, результаты работы ТК 362 и другие изменения.
|
|
|
+
|
|
|
+### Законодательство в сфере персональных данных
|
|
|
+
|
|
|
+Вступление в силу реформы 152-ФЗ
|
|
|
+
|
|
|
+Напомним, что в июле был официально опубликован Федеральный закон от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ), вносящий ряд изменений в Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – 152-ФЗ).
|
|
|
+.png)
|
|
|
+
|
|
|
+
|
|
|
+### Большинство изменений вступило в силу с 01.09.2022.
|
|
|
+Более подробный разбор нововведений приведен в комментариях ООО «УЦСБ». Кроме того, в конце сентября Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) был проведен вебинар по ключевым вопросам, касающихся вступивших в силу изменений.
|
|
|
+
|
|
|
+
|
|
|
+На сайте Роскомнадзора представлены электронные формы для подачи операторами персональных данных (далее – ПДн) уведомлений об утечке ПДн и о трансграничной передаче ПДн.
|
|
|
+В случае утечки ПДн соответствующее уведомление необходимо подать в течение 24 часов с момента наступления события. Для заполнения формы необходимо сначала пройти аутентификацию с помощью Единой системы идентификации и аутентификации (ЕСИА), после чего на сайте Роскомнадзора станет доступна сама форма для заполнения. При утечке ПДн необходимо заполнить следующие данные:
|
|
|
+
|
|
|
+дата и время инцидента
|
|
|
+
|
|
|
+предполагаемые причины инцидента
|
|
|
+
|
|
|
+характеристики утекших ПДн
|
|
|
+
|
|
|
+предполагаемый вред, нанесенный субъектам ПДн
|
|
|
+
|
|
|
+принятые меры по устранению последствий инцидента
|
|
|
+
|
|
|
+контакты лица, уполномоченного за дальнейшее взаимодействие.
|
|
|
+
|
|
|
+К форме можно приложить какие-либо свидетельства и указать дополнительную информацию.
|
|
|
+
|
|
|
+Форма уведомления о трансграничной передаче данных содержит следующие сведения:
|
|
|
+
|
|
|
+цель трансграничной передачи;
|
|
|
+
|
|
|
+правовое обоснование (необходимо выбрать из списка);
|
|
|
+
|
|
|
+категории передаваемых ПДн (необходимо выбрать из списка);
|
|
|
+
|
|
|
+категории субъектов ПДн (необходимо выбрать из списка);
|
|
|
+
|
|
|
+перечень иностранных государств, на территорию которых осуществляется передача (необходимо выбрать из списка);
|
|
|
+
|
|
|
+дата окончания проведения оценки (необходимо указать дату окончания проведения оператором оценки требований конфиденциальности обработки ПДн операторами иностранных государств, которым осуществляется или планируется осуществляться передача ПДн).
|
|
|
+
|
|
|
+В соответствии с комментариями Роскомнадзора, в случаях передачи ПДн в страны, обеспечивающие адекватную защиту прав субъектов ПДн, и в страны, не обеспечивающие такой адекватной защиты, необходимо сформировать одно общее уведомление и указать полный перечень стран. Ведомством также опубликован образец заполнения формы уведомления.
|
|
|
+
|
|
|
+Фотография: биометрия или нет?
|
|
|
+Роскомнадзором опубликовано письмо от 29.08.2022 № 08-78032 «О рассмотрении обращения» с разъяснениями по вопросу определения категории ПДн при обработке фотографического изображения.
|
|
|
+
|
|
|
+Позиция ведомства состоит в следующем: возможность отнесения тех или иных данных к категории биометрических регулируется отдельными законодательными и иными нормативными правовыми актами.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+Например, согласно п.6 Постановления Правительства РФ от 04.03.2010 №125 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию» цветная фотография в загранпаспорте используется для установления личности и относится к биометрическим ПДн.
|
|
|
+
|
|
|
+Требования к формату изображения лица, предназначенного для записи биометрических данных, установлены Национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 19794-5-2013, утвержденным Федеральным агентством по техническому регулированию и метрологии (далее – Росстандарт).
|
|
|
+
|
|
|
+Таким образом, если на законодательном или ином нормативном уровне не установлены требования по обработке фотографических изображений как биометрических данных – фотография не является биометрическими ПДн.
|
|
|
+
|
|
|
+Проекты Минцифры России
|
|
|
+Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) представило для публичного обсуждения ряд проектов Постановления Правительства Российской Федерации.
|
|
|
+
|
|
|
+Проект постановления Правительства Российской Федерации «Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона «О персональных данных».
|
|
|
+
|
|
|
+Согласно изменениям, утвержденным 266-ФЗ и вступающим в силу в 01.03.2023, оператор обязан подать отдельное уведомление об осуществлении трансграничной передачи ПДн. При этом если страны, в которые осуществляется передача ПДн, не являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн или не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, Роскомнадзором может быть принято решение о запрете или ограничении трансграничной передачи.
|
|
|
+
|
|
|
+Согласно проекту постановления, эти изменения не применяются в случаях, если государственные и муниципальные органы осуществляют трансграничную передачу во исполнение полномочий и обязанностей, возложенных международным договором и(или) законодательством РФ, в целях:
|
|
|
+
|
|
|
+осуществления международных воздушных и морских перевозок, железнодорожного и автомобильного сообщения;
|
|
|
+
|
|
|
+обеспечения транспортной безопасности;
|
|
|
+
|
|
|
+обеспечения реадмиссии;
|
|
|
+
|
|
|
+осуществления предупреждения и ликвидации чрезвычайных ситуаций;
|
|
|
+
|
|
|
+обеспечения безопасности и противодействия преступности;
|
|
|
+
|
|
|
+обеспечения дипломатических отношений;
|
|
|
+
|
|
|
+обеспечения сотрудничества в рамках Евразийского экономического союза;
|
|
|
+
|
|
|
+обеспечения обороны;
|
|
|
+
|
|
|
+обеспечения консульских отношений;
|
|
|
+
|
|
|
+оказания правовой помощи по гражданским, семейным, административным и уголовным делам.
|
|
|
+
|
|
|
+Изменения, касающиеся возможности запрета или ограничения Роскомнадзором трансграничной передачи, также не применимы в описанных ранее случаях, при передаче ПДн в целях:
|
|
|
+
|
|
|
+реализации физической культуры и спорта;
|
|
|
+
|
|
|
+реализации культуры, науки и образования;
|
|
|
+
|
|
|
+обеспечения платежей с использованием платежных систем и платежной инфраструктуры.
|
|
|
+
|
|
|
+Однако в данных случаях требования к подаче уведомления о трансграничной передаче применимы.
|
|
|
+
|
|
|
+Проект постановления Правительства РФ «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».
|
|
|
+
|
|
|
+Проект содержит порядок рассмотрения Роскомнадзором уведомлений операторов ПДн о трансграничной передаче данных и принятия решения о запрещении или ограничении трансграничной передачи.
|
|
|
+
|
|
|
+По результатам рассмотрения уведомления о трансграничной передаче ПДн Роскомнадзор принимает решение о запрещении такой передачи в следующих случаях:
|
|
|
+
|
|
|
+иностранными лицами, которым планируется трансграничная передача ПДн (далее – иностранные лица), не принимаются меры по защите передаваемых данных и(или) не определены условия прекращения их обработки;
|
|
|
+
|
|
|
+иностранное лицо является запрещенной организацией на территории РФ на основании вступившего в законную силу решения суда;
|
|
|
+
|
|
|
+иностранное лицо включено в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ;
|
|
|
+
|
|
|
+трансграничная передача и дальнейшая обработка переданных ПДн не совместима с целями сбора ПДн;
|
|
|
+
|
|
|
+условия обработки ПДн при их трансграничной передаче не соответствуют законным условиям, установленным в ст.6 152-ФЗ.
|
|
|
+
|
|
|
+Решение о запрещении трансграничной передачи ПДн распространяется на всю деятельность по трансграничной передаче ПДн, указанную в уведомлении.
|
|
|
+
|
|
|
+Решение об ограничении трансграничной передачи ПДн в свою очередь может быть принято в следующих случаях:
|
|
|
+
|
|
|
+содержание и объем ПДн, планируемых к трансграничной передаче, не соответствуют цели трансграничной передачи;
|
|
|
+
|
|
|
+категории субъектов ПДн, данные которых планируются к трансграничной передаче, не соответствуют цели трансграничной передачи ПДн.
|
|
|
+
|
|
|
+Решение об ограничении трансграничной передачи действует только в части трансграничной передачи ПДн, не соответствующей ее целям.
|
|
|
+
|
|
|
+Проект содержит требования к содержанию решения о запрещении или ограничении трансграничной передачи ПДн. Решение по трансграничной передаче принимается руководителем Роскомнадзора, вступает в силу с момента его подписания и направляется оператору любым доступным способом.
|
|
|
+
|
|
|
+Оператор, получивший решение о запрещении или ограничении трансграничной передачи данных, вправе направить повторное уведомление о намерении осуществлять такую передачу после устранения причин, повлекших запрещение или ограничение ведомства. Решение также может быть обжаловано оператором в предусмотренном проектом порядке.
|
|
|
+
|
|
|
+Проект постановления Правительства РФ «Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных по представлению уполномоченного органа».
|
|
|
+
|
|
|
+Проект определяет порядок принятия решения о запрещении или ограничении трансграничной передачи ПДн по представлению следующих уполномоченных органов:
|
|
|
+
|
|
|
+Министерство обороны РФ;
|
|
|
+
|
|
|
+Министерство иностранных дел РФ;
|
|
|
+
|
|
|
+Федеральная служба безопасности РФ;
|
|
|
+
|
|
|
+иные федеральные органы исполнительной власти, уполномоченные Президентом или Правительством РФ на обеспечение защиты экономических и финансовых интересов РФ.
|
|
|
+
|
|
|
+Представление может быть направлено как в целях запрещения/ограничения передачи на территорию определенного иностранного государства, так и в отношении конкретного оператора ПДн, передающего данные.
|
|
|
+
|
|
|
+Процедура подачи и рассмотрения представления аналогична процедуре рассмотрения уведомлений операторов (за исключением требований к срокам рассмотрения или предоставления дополнительных сведений). Решение о запрещении или ограничении трансграничной передачи ПДн, принятое по представлению уполномоченных органов, направляется как в адрес самих органов, так и в адрес операторов, осуществляющих такую передачу данных. Решение также может подлежать пересмотру по факту устранения выявленных нарушений трансграничной передачи ПДн (по направлению повторного представления уполномоченным органом).
|
|
|
+
|
|
|
+Общественное обсуждение проектов завершилось 4 октября 2022 года. Положения постановлений вступят в силу после утверждения проектов с 1 марта 2023 года.
|
|
|
+
|
|
|
+Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн
|
|
|
+Официально опубликован приказ Роскомнадзора от 05.08.2022 №128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».
|
|
|
+
|
|
|
+Как обсуждалось в обзоре изменений законодательства за июль, в перечень вошли иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн (далее – Конвенция), а также иностранные государства, не являющиеся сторонами Конвенции, но действующие нормы права и применяемые меры обеспечения безопасности ПДн которых соответствуют положениям Конвенции.
|
|
|
+
|
|
|
+В обновленный перечень включены 11 иностранных государств, включая Республику Беларусь и Федеративную Республику Бразилия. С учетом внесенных изменений количество стран, обеспечивающих адекватную защиту прав субъектов ПДн, увеличилось до 29.
|
|
|
+
|
|
|
+Из перечня исключены:
|
|
|
+
|
|
|
+Аргентинская Республика;
|
|
|
+
|
|
|
+Королевство Марокко;
|
|
|
+
|
|
|
+Тунисская Республика.
|
|
|
+
|
|
|
+Приказ вступает в силу с 1 марта 2023 года.
|
|
|
+
|
|
|
+Об отраслевом центре ГосСОПКА
|
|
|
+Опубликовано постановление Правительства РФ от 17.09.2022 №1641 «О признании утратившими силу некоторых актов Правительства Российской Федерации».
|
|
|
+
|
|
|
+Постановление отменяет иное постановление Правительства РФ от 07.10.2019 №1285 «Об утверждении Правил предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах» и ряд иных постановлений, ранее вводящих изменения в порядок предоставления таких субсидий.
|
|
|
+
|
|
|
+Отраслевой центр компетенций промбезопасности
|
|
|
+Правительством РФ опубликовано постановление от 17.09.2022 №1636 «Об утверждении Правил предоставления субсидии из федерального бюджета на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности».
|
|
|
+
|
|
|
+Субсидию на создание данного центра предоставляет Министерство промышленности и торговли Российской Федерации (далее ‑ Минпромторг). Деятельность создаваемого центра направлена на решение следующих задач:
|
|
|
+
|
|
|
+обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы промышленных предприятий;
|
|
|
+
|
|
|
+проведение мероприятий по оценке степени защищенности информационных ресурсов промышленных предприятий;
|
|
|
+
|
|
|
+проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на информационные ресурсы промышленных предприятий;
|
|
|
+
|
|
|
+сбор и анализ данных о состоянии информационной безопасности информационных ресурсов промышленных предприятий;
|
|
|
+
|
|
|
+формирование и поддержание в актуальном состоянии информации об информационных ресурсах промышленных предприятий;
|
|
|
+
|
|
|
+проведение мероприятий по повышению уровня образования в сфере информационной безопасности в отношение информационных ресурсов промышленных предприятий.
|
|
|
+
|
|
|
+Постановление утверждает порядок проведения конкурса среди российских организаций на создание такого центра, а также правила расчета размера субсидии, порядок ее предоставления и формирования отчетности о ее расходовании.
|
|
|
+
|
|
|
+Объявление о конкурсе должно появиться на сайте Минпромторга в течение 5 рабочих дней со дня принятия решения о проведении конкурсного отбора.
|
|
|
+
|
|
|
+Об использовании криптографии в ГИС
|
|
|
+Федеральная служба безопасности РФ (далее – ФСБ России) представила проект приказа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».
|
|
|
+
|
|
|
+Согласно проекту защиту информации, содержащейся в государственных информационных системах (далее – ГИС), необходимо осуществлять с использованием средств криптографической защиты информации (далее – СКЗИ) в следующих случаях:
|
|
|
+
|
|
|
+если эта обязанность предусмотрена законодательством РФ;
|
|
|
+
|
|
|
+в ГИС осуществляется передача данных по каналам связи, выходящим за пределы охраняемого периметра (контролируемой зоны);
|
|
|
+
|
|
|
+необходимо обеспечить юридическую значимость и защиту от подделки электронных документов;
|
|
|
+
|
|
|
+в ГИС осуществляется хранение данных на носителях, несанкционированный доступ к которым не может быть предотвращен без использования СКЗИ.
|
|
|
+
|
|
|
+Проект также содержит требования к использованию и хранению СКЗИ. Требования предъявляются к физической защите, организации хранения в помещениях и строгих процедур контроля физического доступа к СКЗИ.
|
|
|
+
|
|
|
+Положения проекта не распространяются на ГИС Администрации Президента, Совета безопасности, Федерального собрания и Правительства РФ, Конституционного и Верховного Судов РФ и ФСБ России, а также ГИС, содержащие сведения, составляющие государственную тайну.
|
|
|
+
|
|
|
+Общественное обсуждение приказа завершилось 7 октября.
|
|
|
+
|
|
|
+О платежной системе
|
|
|
+Для общественного обсуждения опубликован проект постановления Правительства РФ «О внесении изменения в Положение о защите информации в платежной системе».
|
|
|
+
|
|
|
+В связи с расширением перечня операторов платежной инфраструктуры в платежной системе, которые обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности (ст.27 Федерального закона от 27.06.2011 г. №161-ФЗ «О национальной платежной системе»), предлагается скорректировать область действия постановления Правительства РФ от 13.06.2012 №584 «Об утверждении Положения о защите информации в платежной системе», дополнив ее операторами услуг информационного обмена, поставщиками платежных приложений и операторами электронных платформ платежной инфраструктуры.
|
|
|
+
|
|
|
+### Персональные данные
|
|
|
+Минцифры России представило для общественного обсуждения ряд проектов постановлений Правительства РФ, регламентирующих трансграничную передачу персональных данных. Документы разработаны в развитие 266-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».
|
|
|
+.png)
|
|
|
+
|
|
|
+К таким случаям относится выполнение функций, полномочий и обязанностей, возложенных на государственные и муниципальные органы международным договором и законодательством РФ в целях:
|
|
|
+
|
|
|
+обеспечения транспортной безопасности;
|
|
|
+
|
|
|
+осуществления предупреждения и ликвидации чрезвычайных ситуаций;
|
|
|
+
|
|
|
+обеспечения безопасности и противодействия преступности;
|
|
|
+
|
|
|
+обеспечения дипломатических сношений;
|
|
|
+
|
|
|
+обеспечения сотрудничества в рамках Евразийского экономического союза;
|
|
|
+
|
|
|
+обеспечения обороны;
|
|
|
+
|
|
|
+оказания правовой помощи по гражданским, семейным, административным и уголовным делам;
|
|
|
+
|
|
|
+реализации физической культуры и спорта;
|
|
|
+
|
|
|
+реализации культуры, науки и образования;
|
|
|
+
|
|
|
+обеспечения платежей с использованием платежных систем и платежной инфраструктуры.
|
|
|
+
|
|
|
+### Отраслевые изменения
|
|
|
+
|
|
|
+В России появится отраслевой центр компетенций по информационной безопасности в промышленности. Соответствующее решение приняло Правительство РФ своим постановлением № 1636 от 17.09.2022.
|
|
|
+Деятельность нового центра будет направлена на решение следующих задач:
|
|
|
+
|
|
|
+обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы промышленных предприятий;
|
|
|
+
|
|
|
+проведение мероприятий по оценке степени защищённости информационных ресурсов промышленных предприятий;
|
|
|
+
|
|
|
+проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на информационные ресурсы промышленных предприятий;
|
|
|
+
|
|
|
+сбор и анализ данных о состоянии информационной безопасности информационных ресурсов промышленных предприятий;
|
|
|
+
|
|
|
+формирование и поддержание в актуальном состоянии сведений об информационных ресурсах промышленных предприятий;
|
|
|
+
|
|
|
+проведение мероприятий по повышению уровня образования в сфере информационной безопасности в отношении информационных ресурсов промышленных предприятий.
|
|
|
+
|
|
|
+Организацию, на базе которой будет создан отраслевой центр, определят путем конкурсного отбора. Победитель конкурса получит субсидию от Минпромторга России
|
|
|
+
|
|
|
+### Вопросы:
|
|
|
+При утечке ПДн необходимо заполнить какие данные?
|
|
|
+
|
|
|
+#### дата и время инцидента
|
|
|
+
|
|
|
+#### предполагаемые причины инцидента
|
|
|
+
|
|
|
+#### характеристики утекших ПДн
|
|
|
+
|
|
|
+#### предполагаемый вред, нанесенный субъектам ПДн
|
|
|
+
|
|
|
+#### принятые меры по устранению последствий инцидента
|
|
|
+
|
|
|
+#### контакты лица, уполномоченного за дальнейшее взаимодействие.
|
|
|
+Какие органы определяют порядок принятия решения о запрещении или ограничении трансграничной передачи ПДн ?
|
|
|
+#### Министерство обороны РФ;
|
|
|
+
|
|
|
+#### Министерство иностранных дел РФ;
|
|
|
+
|
|
|
+#### Федеральная служба безопасности РФ;
|
|
|
+В каких случаях относится выполнение функций, полномочий и обязанностей, возложенных на государственные и муниципальные органы международным договором и законодательством РФ в целях?
|
|
|
+#### обеспечения транспортной безопасности;
|
|
|
+
|
|
|
+#### осуществления предупреждения и ликвидации чрезвычайных ситуаций;
|
|
|
+
|
|
|
+#### обеспечения безопасности и противодействия преступности;
|
|
|
+
|
|
|
+#### обеспечения дипломатических сношений;
|
|
|
+
|
|
|
+#### обеспечения сотрудничества в рамках Евразийского экономического союза;
|
|
|
+
|
|
|
+#### обеспечения обороны;
|
|
|
+
|
|
|
+#### оказания правовой помощи по гражданским, семейным, административным и уголовным делам;
|
|
|
+
|
|
|
+#### реализации физической культуры и спорта;
|
|
|
+
|
|
|
+#### реализации культуры, науки и образования;
|
|
|
+
|
|
|
+#### обеспечения платежей с использованием платежных систем и платежной инфраструктуры.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
