В обзоре изменений за сентябрь 2022 года рассмотрим: изменения в продолжение «реформы 152-ФЗ»: новые электронные формы уведомления от Роскомнадзора, разъяснения ведомства о порядке отнесения фотографии к категории биометрических персональных данных, проекты постановлений Правительства РФ об исключениях применения требований и порядке принятия решений о запрещении/ограничении трансграничной передачи данных; требования к использованию средств криптографической защиты информации в государственных информационных системах, расширение области действия требований о защите платежной системы, результаты работы ТК 362 и другие изменения.
Законодательство в сфере персональных данных
Вступление в силу реформы 152-ФЗ
Напомним, что в июле был официально опубликован «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ), вносящий ряд изменений в Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (далее – 152-ФЗ).
Большинство изменений вступило в силу с 01.09.2022.
Более подробный разбор нововведений приведен в ООО «УЦСБ». Кроме того, в конце сентября Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) был проведен по ключевым вопросам, касающихся вступивших в силу изменений.
Электронные формы уведомлений
На сайте Роскомнадзора представлены для подачи операторами персональных данных (далее – ПДн) уведомлений об утечке ПДн и о трансграничной передаче ПДн.
В случае утечки ПДн соответствующее необходимо подать в течение 24 часов с момента наступления события (и в течение 72 часов сообщить в Роскомнадзор результаты внутреннего расследования инцидента). Для заполнения формы необходимо сначала пройти аутентификацию с помощью Единой системы идентификации и аутентификации (ЕСИА), после чего на сайте Роскомнадзора станет доступна сама форма для заполнения. При утечке ПДн необходимо заполнить следующие данные:
- дата и время инцидента
- предполагаемые причины инцидента
- характеристики утекших ПДн
- предполагаемый вред, нанесенный субъектам ПДн
- принятые меры по устранению последствий инцидента
- контакты лица, уполномоченного за дальнейшее взаимодействие.
К форме можно приложить какие-либо свидетельства (файлы) и указать дополнительную информацию.
Форма о результатах внутреннего расследования содержит поля для указания следующей информации:
- результаты внутреннего расследования (в свободной форме: причины инцидента, нанесенный субъектам ПДн вред, описание системы, в которой произошел инцидент, принятые меры по устранению последствий инцидента и предотвращению повторных инцидентов);
- сведения о лицах, «виновных» в наступлении инцидента (если инцидент произошел по вине сотрудника оператора, необходимо указать фамилию, имя, отчество и должность, если по вине внешних лиц, то всю доступную информацию о нем, например, фамилию, имя, отчество, наименование, IP-адрес, предполагаемое местонахождение и т.д.).
Форма уведомления данных содержит следующие сведения:
- цель трансграничной передачи;
- правовое обоснование (необходимо выбрать из списка);
- категории передаваемых ПДн (необходимо выбрать из списка);
- категории субъектов ПДн (необходимо выбрать из списка);
- перечень иностранных государств, на территорию которых осуществляется передача (необходимо выбрать из списка);
- дата окончания проведения оценки (необходимо указать дату окончания проведения оператором оценки требований конфиденциальности обработки ПДн операторами иностранных государств, которым осуществляется или планируется осуществляться передача ПДн).
Фотография: биометрия или нет?
Роскомнадзором опубликовано «О рассмотрении обращения» с разъяснениями по вопросу определения категории ПДн при обработке фотографического изображения.
Позиция ведомства состоит в следующем: возможность отнесения тех или иных данных к категории биометрических регулируется отдельными законодательными и иными нормативными правовыми актами.
Например, согласно п.6 «О перечне персональных данных, записываемых на электронные носители информации, содержащиеся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию» цветная фотография в загранпаспорте используется для установления личности и относится к биометрическим ПДн.
Требования к формату изображения лица, предназначенного для записи биометрических данных, установлены Национальным стандартом Российской Федерации , утвержденным Федеральным агентством по техническому регулированию и метрологии (далее – Росстандарт).
Таким образом, если на законодательном или ином нормативном уровне не установлены требования по обработке фотографических изображений как биометрических данных – фотография не является биометрическими ПДн.
Проекты Минцифры России
Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее – Минцифры России) представило для публичного обсуждения ряд проектов Постановления Правительства Российской Федерации.
«Об утверждении перечня случаев, при которых к операторам, осуществляющим трансграничную передачу персональных данных, не применяются требования частей 3-6, 8-11 статьи 12 Федерального закона «О персональных данных».
Согласно изменениям, утвержденным 266-ФЗ и вступающим в силу в 01.03.2023, оператор обязан подать отдельное уведомление об осуществлении трансграничной передачи ПДн. При этом если страны, в которые осуществляется передача ПДн, не являются сторонами или не включены в иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, Роскомнадзором может быть принято решение о запрете или ограничении трансграничной передачи.
Согласно проекту постановления, эти изменения не применяются в случаях, если государственные и муниципальные органы осуществляют трансграничную передачу во исполнение полномочий и обязанностей, возложенных международным договором и(или) законодательством РФ, в целях:
- осуществления международных воздушных и морских перевозок, железнодорожного и автомобильного сообщения;
- обеспечения транспортной безопасности;
- обеспечения реадмиссии;
- осуществления предупреждения и ликвидации чрезвычайных ситуаций;
- обеспечения безопасности и противодействия преступности;
- обеспечения дипломатических отношений;
- обеспечения сотрудничества в рамках Евразийского экономического союза;
- обеспечения обороны;
- обеспечения консульских отношений;
- оказания правовой помощи по гражданским, семейным, административным и уголовным делам.
Изменения, касающиеся возможности запрета или ограничения Роскомнадзором трансграничной передачи, также не применимы в описанных ранее случаях, при передаче ПДн в целях:
- реализации физической культуры и спорта;
- реализации культуры, науки и образования;
- обеспечения платежей с использованием платежных систем и платежной инфраструктуры.
Однако в данных случаях требования к подаче уведомления о трансграничной передаче применимы.
«Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан».
Проект содержит порядок рассмотрения Роскомнадзором уведомлений операторов ПДн о трансграничной передаче данных и принятия решения о запрещении или ограничении трансграничной передачи.
Рассмотрение Роскомнадзором уведомления о трансграничной передаче ПДн осуществляется в течение 10 рабочих дней. В случае, если уведомление содержит неполные или некорректные сведения, рассмотрение приостанавливается до получения от оператора недостающих данных (по запросу ведомства). Недостающие сведения необходимо предоставить в течение 5 рабочих дней, после чего рассмотрение уведомления возобновляется. Срок предоставления оператором дополнительных сведений может быть продлен (при наличии мотивированного обоснования оператора). Если сведения в установленный срок не предоставлены – рассмотрение уведомления Роскомнадзором прекращается.
По результатам рассмотрения уведомления о трансграничной передаче ПДн Роскомнадзор принимает решение о запрещении такой передачи в следующих случаях:
- иностранными лицами, которым планируется трансграничная передача ПДн (далее – иностранные лица), не принимаются меры по защите передаваемых данных и(или) не определены условия прекращения их обработки;
- иностранное лицо является запрещенной организацией на территории РФ на основании вступившего в законную силу решения суда;
- иностранное лицо включено в перечень иностранных и международных неправительственных организаций, деятельность которых признана нежелательной на территории РФ;
- трансграничная передача и дальнейшая обработка переданных ПДн не совместима с целями сбора ПДн;
- условия обработки ПДн при их трансграничной передаче не соответствуют законным условиям, установленным в .
Решение о запрещении трансграничной передачи ПДн распространяется на всю деятельность по трансграничной передаче ПДн, указанную в уведомлении.
Решение об ограничении трансграничной передачи ПДн в свою очередь может быть принято в следующих случаях:
- содержание и объем ПДн, планируемых к трансграничной передаче, не соответствуют цели трансграничной передачи;
- категории субъектов ПДн, данные которых планируются к трансграничной передаче, не соответствуют цели трансграничной передачи ПДн.
Решение об ограничении трансграничной передачи действует только в части трансграничной передачи ПДн, не соответствующей ее целям.
Проект содержит требования к содержанию решения о запрещении или ограничении трансграничной передачи ПДн. Решение по трансграничной передаче принимается руководителем Роскомнадзора, вступает в силу с момента его подписания и направляется оператору любым доступным способом.
Оператор, получивший решение о запрещении или ограничении трансграничной передачи данных, вправе направить повторное уведомление о намерении осуществлять такую передачу после устранения причин, повлекших запрещение или ограничение ведомства. Решение также может быть обжаловано оператором в предусмотренном проектом порядке.
«Об утверждении Порядка принятия решений о запрещении или об ограничении трансграничной передачи персональных данных по представлению уполномоченного органа».
Проект определяет порядок принятия решения о запрещении или ограничении трансграничной передачи ПДн по представлению следующих уполномоченных органов:
- Министерство обороны РФ;
- Министерство иностранных дел РФ;
- Федеральная служба безопасности РФ;
- иные федеральные органы исполнительной власти, уполномоченные Президентом или Правительством РФ на обеспечение защиты экономических и финансовых интересов РФ.
Представление может быть направлено как в целях запрещения/ограничения передачи на территорию определенного иностранного государства, так и в отношении конкретного оператора ПДн, передающего данные.
Процедура подачи и рассмотрения представления аналогична процедуре рассмотрения уведомлений операторов (за исключением требований к срокам рассмотрения или предоставления дополнительных сведений). Решение о запрещении или ограничении трансграничной передачи ПДн, принятое по представлению уполномоченных органов, направляется как в адрес самих органов, так и в адрес операторов, осуществляющих такую передачу данных. Решение также может подлежать пересмотру по факту устранения выявленных нарушений трансграничной передачи ПДн (по направлению повторного представления уполномоченным органом).
Общественное обсуждение проектов завершилось 4 октября 2022 года. Положения постановлений вступят в силу после утверждения проектов с 1 марта 2023 года.
Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн
Официально опубликован «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных».
Как обсуждалось в , в перечень вошли иностранные государства, являющиеся сторонами (далее – Конвенция), а также иностранные государства, не являющиеся сторонами Конвенции, но действующие нормы права и применяемые меры обеспечения безопасности ПДн которых соответствуют положениям Конвенции.
В обновленный перечень включены 11 иностранных государств, включая Республику Беларусь и Федеративную Республику Бразилия. С учетом внесенных изменений количество стран, обеспечивающих адекватную защиту прав субъектов ПДн, увеличилось до 29.
Из перечня исключены:
- Аргентинская Республика;
- Королевство Марокко;
- Тунисская Республика.
Приказ вступает в силу с 1 марта 2023 года.
Об отраслевом центре ГосСОПКА
Опубликовано «О признании утратившими силу некоторых актов Правительства Российской Федерации».
Постановление отменяет иное постановление Правительства РФ от 07.10.2019 №1285 «Об утверждении Правил предоставления субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах» и ряд иных постановлений, ранее вводящих изменения в порядок предоставления таких субсидий.
Отраслевой центр компетенций промбезопасности
Правительством РФ опубликовано «Об утверждении Правил предоставления субсидии из федерального бюджета на создание и обеспечение деятельности отраслевого центра компетенций по информационной безопасности в промышленности».
Субсидию на создание данного центра предоставляет Министерство промышленности и торговли Российской Федерации (далее ‑ Минпромторг). Деятельность создаваемого центра направлена на решение следующих задач:
- обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы промышленных предприятий;
- проведение мероприятий по оценке степени защищенности информационных ресурсов промышленных предприятий;
- проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на информационные ресурсы промышленных предприятий;
- сбор и анализ данных о состоянии информационной безопасности информационных ресурсов промышленных предприятий;
- формирование и поддержание в актуальном состоянии информации об информационных ресурсах промышленных предприятий;
- проведение мероприятий по повышению уровня образования в сфере информационной безопасности в отношение информационных ресурсов промышленных предприятий.
Постановление утверждает порядок проведения конкурса среди российских организаций на создание такого центра, а также правила расчета размера субсидии, порядок ее предоставления и формирования отчетности о ее расходовании.
Объявление о конкурсе должно появиться на Минпромторга в течение 5 рабочих дней со дня принятия решения о проведении конкурсного отбора.
Об использовании криптографии в ГИС
Федеральная служба безопасности РФ (далее – ФСБ России) представила «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств».
Согласно проекту защиту информации, содержащейся в государственных информационных системах (далее – ГИС), необходимо осуществлять с использованием средств криптографической защиты информации (далее – СКЗИ) в следующих случаях:
- если эта обязанность предусмотрена законодательством РФ;
- в ГИС осуществляется передача данных по каналам связи, выходящим за пределы охраняемого периметра (контролируемой зоны);
- необходимо обеспечить юридическую значимость и защиту от подделки электронных документов;
- в ГИС осуществляется хранение данных на носителях, несанкционированный доступ к которым не может быть предотвращен без использования СКЗИ.
Необходимость использования СКЗИ согласно проекту подлежит обоснованию в модели угроз, техническом проекте и техническом задании на создание (развитие) ГИС. При наличии такой необходимости требуется использование СКЗИ соответствующего класса, сертифицированных ФСБ России. Класс СКЗИ согласно проекту определяется в зависимости от уровня значимости защищаемой информации и возможностей актуальных нарушителей. В приложении к проекту приказа приведена сводная таблица для определения класса СКЗИ. Напомним, что ранее класс СКЗИ определялся исключительно для СКЗИ, применяемых в ИСПДн, на основании (утверждены руководством 8 Центра ФСБ России 31.03.2015 №149/7/2/6-423).
Проект также содержит требования к использованию и хранению СКЗИ. Требования предъявляются к физической защите, организации хранения в помещениях и строгих процедур контроля физического доступа к СКЗИ.
Положения проекта не распространяются на ГИС Администрации Президента, Совета безопасности, Федерального собрания и Правительства РФ, Конституционного и Верховного Судов РФ и ФСБ России, а также ГИС, содержащие сведения, составляющие государственную тайну.
Общественное обсуждение приказа завершилось 7 октября.
О платежной системе
Для общественного обсуждения опубликован «О внесении изменения в Положение о защите информации в платежной системе».
В связи с расширением перечня операторов платежной инфраструктуры в платежной системе, которые обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности ( «О национальной платежной системе»), предлагается скорректировать область действия «Об утверждении Положения о защите информации в платежной системе», дополнив ее операторами услуг информационного обмена, поставщиками платежных приложений и операторами электронных платформ платежной инфраструктуры.
Общественное обсуждение приказа завершится 11 октября.
Результаты работы ТК 362
В начале сентября опубликована о ходе работ по плану Технического комитета по стандартизации «Защита информации» (далее – ТК 362) на 2022 год по состоянию на 29.08.2022.
В соответствии с Росстандарта, с 1 сентября 2022 года отменен ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».
Председателю ТК 362 представлены для рассмотрения и принятия решения об организации публичного обсуждения проекты следующих национальных стандартов:
- ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (идентичный на основе ISO/IEC 15408-1:2022);
- ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (идентичный на основе ISO/IEC 15408-2:2022);
- ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения».
Организовано публичное обсуждение «Защита информации. Разработка безопасного программного обеспечения. Руководство по оценке безопасности разработки программного обеспечения». Публичное обсуждение было завершено 22 сентября.
Организациям-членам ТК 362 отправлена на рассмотрение первая редакция проекта национального стандарта ГОСТ Р «Искусственный интеллект. Нейросетевые алгоритмы в защищенном исполнении. Автоматическое обучение нейросетевых моделей на малых выборках в задачах классификации». Рассмотрение планировалось завершить в до конца сентября.
Автор: Татьяна Пермякова, старший аналитик УЦСБ
