popravko.md 22 KB
### Обзор изменений в законодательстве за сентябрь 2022 В обзоре изменений за сентябрь 2022 года рассмотрим: изменения в продолжение «реформы 152-ФЗ»: новые электронные формы уведомления от Роскомнадзора, разъяснения ведомства о порядке отнесения фотографии к категории биометрических персональных данных, проекты постановлений Правительства РФ об исключениях применения требований и порядке принятия решений о запрещении/ограничении трансграничной передачи данных; требования к использованию средств криптографической защиты информации в государственных информационных системах, расширение области действия требований о защите платежной системы, результаты работы ТК 362 и другие изменения.
Законодательство в сфере персональных данных
Вступление в силу реформы 152-ФЗ
Федеральный закон от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ), вносящий ряд изменений в Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – 152-ФЗ).
Большинство изменений вступило в силу с 01.09.2022. Электронные формы уведомлений На сайте Роскомнадзора представлены электронные формы для подачи операторами персональных данных (далее – ПДн) уведомлений об утечке ПДн и о трансграничной передаче ПДн. При утечке ПДн необходимо заполнить следующие данные:
дата и время инцидента
предполагаемые причины инцидента
характеристики утекших ПДн
предполагаемый вред, нанесенный субъектам ПДн
принятые меры по устранению последствий инцидента
контакты лица, уполномоченного за дальнейшее взаимодействие.
Проекты Минцифры России
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) представило для публичного обсуждения ряд проектов Постановления Правительства Российской Федерации. Согласно изменениям, утвержденным 266-ФЗ и вступающим в силу в 01.03.2023, оператор обязан подать отдельное уведомление об осуществлении трансграничной передачи ПДн. При этом если страны, в которые осуществляется передача ПДн, не являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн или не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, Роскомнадзором может быть принято решение о запрете или ограничении трансграничной передачи.
Согласно проекту постановления, эти изменения не применяются в случаях, если государственные и муниципальные органы осуществляют трансграничную передачу во исполнение полномочий и обязанностей, возложенных международным договором и(или) законодательством РФ, в целях:
осуществления международных воздушных и морских перевозок, железнодорожного и автомобильного сообщения;
обеспечения транспортной безопасности;
обеспечения реадмиссии;
осуществления предупреждения и ликвидации чрезвычайных ситуаций;
обеспечения безопасности и противодействия преступности;
обеспечения дипломатических отношений;
обеспечения сотрудничества в рамках Евразийского экономического союза;
обеспечения обороны;
обеспечения консульских отношений;
оказания правовой помощи по гражданским, семейным, административным и уголовным делам. По результатам рассмотрения уведомления о трансграничной передаче ПДн Роскомнадзор принимает решение о запрещении такой передачи в следующих случаях:
иностранными лицами, которым планируется трансграничная передача ПДн (далее – иностранные лица), не принимаются меры по защите передаваемых данных и(или) не определены условия прекращения их обработки;
иностранное лицо является запрещенной организацией на территории РФ на основании вступившего в законную силу решения суда;
иностранное лицо включено в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ;
трансграничная передача и дальнейшая обработка переданных ПДн не совместима с целями сбора ПДн;
условия обработки ПДн при их трансграничной передаче не соответствуют законным условиям, установленным в ст.6 152-ФЗ. Правительством РФ опубликовано постановление от 17.09.2022 №1636 «Об утверждении Правил предоставления субсидии из федерального бюджета на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности».
Субсидию на создание данного центра предоставляет Министерство промышленности и торговли Российской Федерации (далее ? Минпромторг). Деятельность создаваемого центра направлена на решение следующих задач:
обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы промышленных предприятий;
проведение мероприятий по оценке степени защищенности информационных ресурсов промышленных предприятий;
проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на информационные ресурсы промышленных предприятий;
сбор и анализ данных о состоянии информационной безопасности информационных ресурсов промышленных предприятий;
формирование и поддержание в актуальном состоянии информации об информационных ресурсах промышленных предприятий;
проведение мероприятий по повышению уровня образования в сфере информационной безопасности в отношение информационных ресурсов промышленных предприятий.
Об использовании криптографии в ГИС
Федеральная служба безопасности РФ (далее – ФСБ России) представила проект приказа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».
Согласно проекту защиту информации, содержащейся в государственных информационных системах (далее – ГИС), необходимо осуществлять с использованием средств криптографической защиты информации (далее – СКЗИ) в следующих случаях:
если эта обязанность предусмотрена законодательством РФ;
в ГИС осуществляется передача данных по каналам связи, выходящим за пределы охраняемого периметра (контролируемой зоны);
необходимо обеспечить юридическую значимость и защиту от подделки электронных документов;
в ГИС осуществляется хранение данных на носителях, несанкционированный доступ к которым не может быть предотвращен без использования СКЗИ. Необходимость использования СКЗИ согласно проекту подлежит обоснованию в модели угроз, техническом проекте и техническом задании на создание (развитие) ГИС. Класс СКЗИ согласно проекту определяется в зависимости от уровня значимости защищаемой информации и возможностей актуальных нарушителей. В приложении к проекту приказа приведена сводная таблица для определения класса СКЗИ. Проект также содержит требования к использованию и хранению СКЗИ. Требования предъявляются к физической защите, организации хранения в помещениях и строгих процедур контроля физического доступа к СКЗИ.
Положения проекта не распространяются на ГИС Администрации Президента, Совета безопасности, Федерального собрания и Правительства РФ, Конституционного и Верховного Судов РФ и ФСБ России, а также ГИС, содержащие сведения, составляющие государственную тайну.
Общественное обсуждение приказа завершилось 7 октября.
О платежной системе
Для общественного обсуждения опубликован проект постановления Правительства РФ «О внесении изменения в Положение о защите информации в платежной системе».
В связи с расширением перечня операторов платежной инфраструктуры в платежной системе, которые обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности (ст.27 Федерального закона от 27.06.2011 г. №161-ФЗ «О национальной платежной системе»), предлагается скорректировать область действия постановления Правительства РФ от 13.06.2012 №584 «Об утверждении Положения о защите информации в платежной системе», дополнив ее операторами услуг информационного обмена, поставщиками платежных приложений и операторами электронных платформ платежной инфраструктуры.
Общественное обсуждение приказа завершится 11 октября.
Результаты работы ТК 362
В начале сентября опубликована справка-доклад о ходе работ по плану Технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2022 год по состоянию на 29.08.2022.
В соответствии с приказом Росстандарта, с 1 сентября 2022 года отменен ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».
Председателю ТК 362 представлены для рассмотрения и принятия решения об организации публичного обсуждения проекты следующих национальных стандартов:
ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (идентичный на основе ISO/IEC 15408-1:2022);
ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (идентичный на основе ISO/IEC 15408-2:2022);
ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения». Организациям-членам ТК 362 отправлена на рассмотрение первая редакция проекта национального стандарта ГОСТ Р «Искусственный интеллект. Нейросетевые алгоритмы в защищенном исполнении. Автоматическое обучение нейросетевых моделей на малых выборках в задачах классификации». Рассмотрение планировалось завершить в до конца сентября.
Изменения ИБ в законодательстве за сентябрь
Государственные информационные системы
ФСБ России представила для общественного обсуждения проект приказа, в котором регламентируются вопросы защиты информации в ГИС с использованием криптографических средств (СКЗИ), а также правила определения класса СКЗИ. ###Новости в области стандартизации Технический комитет по стандартизации «Защита информации» (ТК 362) представил проекты национальных стандартов, связанные с кибербезопасностью:
ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения»;
ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;
ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности».
Отраслевые изменения
В России появится отраслевой центр компетенций по информационной безопасности в промышленности. Соответствующее решение приняло Правительство РФ своим постановлением № 1636 от 17.09.2022.
Деятельность нового центра будет направлена на решение следующих задач:
обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы промышленных предприятий;
проведение мероприятий по оценке степени защищённости информационных ресурсов промышленных предприятий;
проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на информационные ресурсы промышленных предприятий;
сбор и анализ данных о состоянии информационной безопасности информационных ресурсов промышленных предприятий;
формирование и поддержание в актуальном состоянии сведений об информационных ресурсах промышленных предприятий;
проведение мероприятий по повышению уровня образования в сфере информационной безопасности в отношении информационных ресурсов промышленных предприятий.
Организацию, на базе которой будет создан отраслевой центр, определят путем конкурсного отбора. Победитель конкурса получит субсидию от Минпромторга России. В сфере информационные системы появились вопросы защиты информации в ГИС и использование криптографических средств,технический комитет по стандартизации, защита информации» (ТК 362) представил проекты национальных стандартов, связанные с кибербезопасностью которые помогут решить множество проблем связанные с вопросом защиты. Деятельность нового центра решила множество задач,благодаря этому внесении изменений в положения о защите информации поможет в будущем защитить данные и платежные системмы пользователей