Compliance-дайджест: что изменилось в ИБ-законодательстве в апреле

Compliance-дайджест: что изменилось в ИБ-законодательстве в апреле

В сегодняшнем дайджесте — подборка новостей из мира комплаенса ИБ за апрель. Все новости в этом выпуске разбиты на тематические блоки: персональные и биометрические персональные данные, безопасность объектов КИИ, информационные сообщения ФСТЭК России, а также отраслевые изменения. Вы узнаете о ключевых поправках, которые предлагается внести в Федеральный закон «О персональных данных», об изменениях регуляторных требований в области защиты объектов критической информационной инфраструктуры и о других новшествах минувшего месяца.

Персональные данные

1. На рассмотрение в Госдуму внесён законопроект № 101234-8 , предусматривающий изменения в Федеральный закон «О персональных данных».

Проект содержит большое количество новшеств:

  • Вводится понятие «лицо, осуществляющее обработку персональных данных».

  • Оператор и обработчик должны заключать договор на поручение персональных данных (ПДн) и указывать в нем перечень таких сведений.

  • Определение «трансграничная передача данных» расширяется перечнем получателей ПДн.

  • Не допускается передавать ПДн в страны, не обеспечивающие их адекватную защиту, без предварительного разрешения Роскомнадзора, которое будет выдаваться регулятором в 30-дневный срок.

  • Все нормативные правовые акты, касающиеся обработки ПДн, разрабатываемые госорганами, Банком России, органами местного самоуправления, должны обязательно согласовываться с Минцифры России и Роскомнадзором.

  • Добавлен запрет на обработку биометрических ПДн несовершеннолетних.

  • Оператор обязан предоставить услугу, даже в случаях, когда человек отказывается предоставить свои биометрические ПДн, если в соответствии с ФЗ собирать биометрию необязательно.

  • Предусмотрена разработка и утверждение Роскомнадзором требований (методики) в отношении оценки вреда субъектам ПДн.

  • Предусмотрена разработка и утверждение Роскомнадзором требований в отношении факта уничтожения ПДн.

  • Вводится обязанность операторов взаимодействовать с ГосСОПКА. ФСБ России должна будет передавать полученные данные об инцидентах, связанных с ПДн, в Роскомнадзор.

  • Вводится обязанность операторов в течение 24 часов уведомлять Роскомнадзор обо всех инцидентах. Указанная информация должна содержать сведения о причинах, повлекших нарушение прав субъектов ПДн, о предполагаемом вреде, нанесенном правам субъектов ПДн, о лицах, допустивших несанкционированный доступ к данным, а также о принятых мерах по устранению соответствующих последствий.

  • При отправке в Роскомнадзор уведомления о начале обработки ПДн оператор обязан для каждой цели обработки таких сведений указывать категории ПДн, категории субъектов, чьи персональные данные обрабатываются, правовое основание обработки ПДн, перечень действий с ПДн и способы обработки ПДн.

Биометрические персональные данные

2. Минцифры России опубликовало проект Постановления Правительства , определяющий требования к аккредитации государственных органов — владельцев и операторов государственных информационных систем (ГИС), которые используются для идентификации и аутентификации. Согласно проекту, в случаях, когда госорган является только владельцем таких систем, требования документа распространяются в том числе и на организацию, выполняющую функции оператора. Также проект устанавливает детальный порядок прохождения аккредитации, порядок приостановления и прекращения ее действия.

Безопасность объектов КИИ

3. Официально опубликован приказ ФСТЭК России от 10.02.2022 № 26 , который внес изменения в Порядок ведения реестра значимых объектов критической информационной инфраструктуры страны. Согласно документу, в случае изменения сведений субъект КИИ должен направить регулятору уведомление в течение 20 рабочих дней.

4. Опубликован Указ Президента Российской Федерации от 14.04.2022 № 203 «О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации». Одна из основных функций комиссии — выработка предложений и рекомендаций по импортозамещению в КИИ.

Информационные сообщения ФСТЭК России

5. ФСТЭК России информирует об отмене оплаты государственной пошлины за госуслуги по предоставлению лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации. Соответствующее информационное сообщение от 25.03.2022 № 240/13/1561 размещено на сайте ФСТЭК России.

6. ФСТЭК России информирует о порядке предоставления документов по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не составляющей государственную тайну. Соответствующее информационное сообщение ФСТЭК России от 11.04.2022 № 240/24/1950 размещено на сайте регулятора.

Отраслевые изменения

7. Официально опубликован приказ Минцифры России от 25.02.2022 № 142 , утвердивший форму проверочного листа (списка контрольных вопросов), используемого ведомством при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации.

8. Банк России принял Положение от 12.01.2022 №787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг».

9. Банк России принял Положение от 15.11.2021 №779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2022 года №86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности  оказания финансовых услуг».

Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности направления «Solar Интеграция» компании «РТК-Солар»

compliance законодательство защита персональных данных информационная безопасность
Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Compliance-дайджест

Меня зовут Катя, я отвечаю за комплаенс в направлении «Solar Интеграция» компании «Ростелеком-Солар». В блоге я делюсь ключевыми изменениями законодательства в области кибербезопасности. Если вам важно быть в курсе новостей из мира комплаенса ИБ, добро пожаловать в мой блог!