### Обзор изменений в законодательстве за сентябрь 2022
В обзоре изменений за сентябрь 2022 года рассмотрим: изменения в продолжение «реформы 152-ФЗ»: новые электронные формы уведомления от Роскомнадзора, разъяснения ведомства о порядке отнесения фотографии к категории биометрических персональных данных, проекты постановлений Правительства РФ об исключениях применения требований и порядке принятия решений о запрещении/ограничении трансграничной передачи данных; требования к использованию средств криптографической защиты информации в государственных информационных системах, расширение области действия требований о защите платежной системы, результаты работы ТК 362 и другие изменения.
### Законодательство в сфере персональных данных
#### Вступление в силу реформы 152-ФЗ
 Федеральный закон от 14.07.2022 №266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ), вносящий ряд изменений в Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – 152-ФЗ).

Большинство изменений вступило в силу с 01.09.2022.
Электронные формы уведомлений
На сайте Роскомнадзора представлены электронные формы для подачи операторами персональных данных (далее – ПДн) уведомлений об утечке ПДн и о трансграничной передаче ПДн.
При утечке ПДн необходимо заполнить следующие данные:

дата и время инцидента

предполагаемые причины инцидента

характеристики утекших ПДн

предполагаемый вред, нанесенный субъектам ПДн

принятые меры по устранению последствий инцидента

контакты лица, уполномоченного за дальнейшее взаимодействие.
### Проекты Минцифры России
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) представило для публичного обсуждения ряд проектов Постановления Правительства Российской Федерации.
Согласно изменениям, утвержденным 266-ФЗ и вступающим в силу в 01.03.2023, оператор обязан подать отдельное уведомление об осуществлении трансграничной передачи ПДн. При этом если страны, в которые осуществляется передача ПДн, не являются сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн или не включены в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, Роскомнадзором может быть принято решение о запрете или ограничении трансграничной передачи.

Согласно проекту постановления, эти изменения не применяются в случаях, если государственные и муниципальные органы осуществляют трансграничную передачу во исполнение полномочий и обязанностей, возложенных международным договором и(или) законодательством РФ, в целях:

осуществления международных воздушных и морских перевозок, железнодорожного и автомобильного сообщения;

обеспечения транспортной безопасности;

обеспечения реадмиссии;

осуществления предупреждения и ликвидации чрезвычайных ситуаций;

обеспечения безопасности и противодействия преступности;

обеспечения дипломатических отношений;

обеспечения сотрудничества в рамках Евразийского экономического союза;

обеспечения обороны;

обеспечения консульских отношений;

оказания правовой помощи по гражданским, семейным, административным и уголовным делам.
По результатам рассмотрения уведомления о трансграничной передаче ПДн Роскомнадзор принимает решение о запрещении такой передачи в следующих случаях:

иностранными лицами, которым планируется трансграничная передача ПДн (далее – иностранные лица), не принимаются меры по защите передаваемых данных и(или) не определены условия прекращения их обработки;

иностранное лицо является запрещенной организацией на территории РФ на основании вступившего в законную силу решения суда;

иностранное лицо включено в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ;

трансграничная передача и дальнейшая обработка переданных ПДн не совместима с целями сбора ПДн;

условия обработки ПДн при их трансграничной передаче не соответствуют законным условиям, установленным в ст.6 152-ФЗ.
Правительством РФ опубликовано постановление от 17.09.2022 №1636 «Об утверждении Правил предоставления субсидии из федерального бюджета на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности».

Субсидию на создание данного центра предоставляет Министерство промышленности и торговли Российской Федерации (далее ? Минпромторг). Деятельность создаваемого центра направлена на решение следующих задач:

обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы промышленных предприятий;

проведение мероприятий по оценке степени защищенности информационных ресурсов промышленных предприятий;

проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на информационные ресурсы промышленных предприятий;

сбор и анализ данных о состоянии информационной безопасности информационных ресурсов промышленных предприятий;

формирование и поддержание в актуальном состоянии информации об информационных ресурсах промышленных предприятий;

проведение мероприятий по повышению уровня образования в сфере информационной безопасности в отношение информационных ресурсов промышленных предприятий.
### Об использовании криптографии в ГИС
Федеральная служба безопасности РФ (далее – ФСБ России) представила проект приказа «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».

Согласно проекту защиту информации, содержащейся в государственных информационных системах (далее – ГИС), необходимо осуществлять с использованием средств криптографической защиты информации (далее – СКЗИ) в следующих случаях:

если эта обязанность предусмотрена законодательством РФ;

в ГИС осуществляется передача данных по каналам связи, выходящим за пределы охраняемого периметра (контролируемой зоны);

необходимо обеспечить юридическую значимость и защиту от подделки электронных документов;

в ГИС осуществляется хранение данных на носителях, несанкционированный доступ к которым не может быть предотвращен без использования СКЗИ.
Необходимость использования СКЗИ согласно проекту подлежит обоснованию в модели угроз, техническом проекте и техническом задании на создание (развитие) ГИС.
Класс СКЗИ согласно проекту определяется в зависимости от уровня значимости защищаемой информации и возможностей актуальных нарушителей. В приложении к проекту приказа приведена сводная таблица для определения класса СКЗИ.
Проект также содержит требования к использованию и хранению СКЗИ. Требования предъявляются к физической защите, организации хранения в помещениях и строгих процедур контроля физического доступа к СКЗИ.

Положения проекта не распространяются на ГИС Администрации Президента, Совета безопасности, Федерального собрания и Правительства РФ, Конституционного и Верховного Судов РФ и ФСБ России, а также ГИС, содержащие сведения, составляющие государственную тайну.

Общественное обсуждение приказа завершилось 7 октября.
### О платежной системе
Для общественного обсуждения опубликован проект постановления Правительства РФ «О внесении изменения в Положение о защите информации в платежной системе».

В связи с расширением перечня операторов платежной инфраструктуры в платежной системе, которые обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности (ст.27 Федерального закона от 27.06.2011 г. №161-ФЗ «О национальной платежной системе»), предлагается скорректировать область действия постановления Правительства РФ от 13.06.2012 №584 «Об утверждении Положения о защите информации в платежной системе», дополнив ее операторами услуг информационного обмена, поставщиками платежных приложений и операторами электронных платформ платежной инфраструктуры.

Общественное обсуждение приказа завершится 11 октября.
### Результаты работы ТК 362
В начале сентября опубликована справка-доклад о ходе работ по плану Технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2022 год по состоянию на 29.08.2022.

В соответствии с приказом Росстандарта, с 1 сентября 2022 года отменен ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».

Председателю ТК 362 представлены для рассмотрения и принятия решения об организации публичного обсуждения проекты следующих национальных стандартов:

ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (идентичный на основе ISO/IEC 15408-1:2022);

ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (идентичный на основе ISO/IEC 15408-2:2022);

ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения».
Организациям-членам ТК 362 отправлена на рассмотрение первая редакция проекта национального стандарта ГОСТ Р «Искусственный интеллект. Нейросетевые алгоритмы в защищенном исполнении. Автоматическое обучение нейросетевых моделей на малых выборках в задачах классификации». Рассмотрение планировалось завершить в до конца сентября.
## Изменения ИБ в законодательстве за сентябрь
### Государственные информационные системы
ФСБ России представила для общественного обсуждения проект приказа, в котором регламентируются вопросы защиты информации в ГИС с использованием криптографических средств (СКЗИ), а также правила определения класса СКЗИ.
###Новости в области стандартизации
Технический комитет по стандартизации «Защита информации» (ТК 362) представил проекты национальных стандартов, связанные с кибербезопасностью: 

ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения»;

ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;

ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности».
### Отраслевые изменения
В России появится отраслевой центр компетенций по информационной безопасности в промышленности. Соответствующее решение приняло Правительство РФ своим постановлением № 1636 от 17.09.2022.

Деятельность нового центра будет направлена на решение следующих задач:

обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы промышленных предприятий; 

проведение мероприятий по оценке степени защищённости информационных ресурсов промышленных предприятий;

проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на информационные ресурсы промышленных предприятий;

сбор и анализ данных о состоянии информационной безопасности информационных ресурсов промышленных предприятий;

формирование и поддержание в актуальном состоянии сведений об информационных ресурсах промышленных предприятий; 

проведение мероприятий по повышению уровня образования в сфере информационной безопасности в отношении информационных ресурсов промышленных предприятий. 

Организацию, на базе которой будет создан отраслевой центр, определят путем конкурсного отбора. Победитель конкурса получит субсидию от Минпромторга России.
В сфере информационные системы появились вопросы защиты информации в ГИС и использование криптографических средств,технический комитет по стандартизации, защита информации» (ТК 362) представил проекты национальных стандартов, связанные с кибербезопасностью которые помогут решить множество проблем связанные с вопросом защиты.
Деятельность нового центра решила множество задач,благодаря этому внесении изменений в положения о защите информации поможет в будущем защитить данные и платежные системмы пользователей