Дайджест изменений в российское законодательство по ИБ №25

Дайджест изменений в российское законодательство по ИБ №25

Прошлый дайждест я опубликовал 1-го июня и вот новая порция из почти двух с половиной десятков законодательных инициатив и нормативно-правовых актов в области кибербезопасности. И причин такой активности я вижу несколько — возможно спецоперация подтолкнула наших регуляторов пересмотреть многие вопросы, которые в мирное время решались иначе. А может быть просто сейчас занялись тем, до чего руки раньше не доходили. Ну а какие-то темы явно стали требовать большего контроля и внимания, что и заставляет регуляторов усиливать свое влияние на них.

Биометрическая идентификация

    Минцифры подготовило законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который предусматривает налагаемое Роскомнадзором административное наказание:
    • за нарушение порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, в иных государственных информационных системах, владельцами и (или) операторами которых являются государственные органы, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации, — наложение административного штрафа на должностных лиц в размере от сто до трехсот тысяч рублей; на юридических лиц – от трехсот до пятисот тысяч рублей;
    • за обработку биометрических персональных данных для идентификации и (или) аутентификации физических лиц в информационных системах организаций, в том числе организаций финансового рынка, в государственных информационных системах, за исключением единой биометрической системы, владельцами и (или) операторами которых являются государственные органы, без аккредитации, а равно в случае, если аккредитация приостановлена или прекращена, — наложение административного штрафа на должностных лиц ‎в размере от трехсот до шестисот тысяч рублей; на юридических лиц – ‎от шестисот пятисот тысяч до одного миллиона рублей.
  1. Минцифры предлагает дополнить Уголовный кодекс статьей 274.2, предусматривающей уголовную ответственность за внесение в ЕСИА и (или) в ЕБС заведомо недостоверных сведений.
  2. Правительство выпустило Постановление от 15.06.2022 №1066 «О размещении физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».

  3. Правительство выпустило Постановление от 15.06.2022 №1067 «О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».

  4. Правительство выпустило Постановление от 16.06.2022 № 1089 «Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».

  5. Минцифры выпустило приказ, отменяющий до 31 декабря 2022 года взимание платы за использование Единой биометрической системы, которая относится к государственным информационным системам и было бы странно брать деньги за то, что государство требует по закону. По истечение этого срока вопрос будет прорабатываться дополнительно.

Персональные данные

  1. Подготовлен законопроект об отнесении контактных данных (номер телефона, адрес электронной почты или почтовый адрес) к специальной категории персональных данных, что нарушает не только здравый смысл, но и Евроконвенцию №108. Про ужесточение требований, в том числе и по защите ИСПДн с такой информацией, и говорить не приходится.
  2. В законопроект по внесению изменений в ФЗ-152 будет внесен ряд важных изменений, среди которых:
    • исключение слова «непрерывное» в фразе про подключение операторов ПДн к ГосСОПКЕ (не могу сказать, что это как-то сильно повлияет на ситуацию в сторону улучшения — все равно подключение остается),
    • уведомление РКН об утечке в течение 24 часов будет требования не с момента утечки, а с момента ее обнаружения,
    • уведомлять Роскомнадзор о трансграничной передаче ПДн надо будет только при первом взаимодействии оператора ПДн с новой для себя страной.

Подзаконники для 250-го Указа Президента

  1. Минцифры подготовило типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры, упомянутой в 250-м Указе Президента, а также типовую форму отчета и пример заполненной типовой формы отчета.
  2. Дмитрий Чернышенко поручил направить в регионы единые методики работы штабов по кибербезопасности. Вице-премьер отметил, что на данный момент штабы созданы в 78 регионах. Соответствующего штаба или структурного подразделения пока не появилось в 7 субъектах. Что касается федеральных органов власти, то штабы созданы в 61 из 73 ведомств.
  3. Правительство уточнило список крупнейших компаний, которые должны до 1 июля провести оценку уровня защищенности своих информационных систем. В перечень вошли 58 организаций. Мероприятия проводятся в рамках указа президента Владимира Путина от 1 мая, но в самом указе не было отмечено, кто именно должен пройти проверку. В список Минцифры вошли, например, «Почта России», «Газпром-медиа холдинг» (ГПМ), «Росатом», СИБУР, Сбербанк и другие.

Электронная подпись

  1. Комитетом Госдумы по государственному строительству и законодательству согласовал проект федерального закона №952003-7 «О внесении изменений в отдельные законодательные акты Российской Федерации», вносящий в Федеральный закон №63-ФЗ изменения в части передоверия с использованием машинночитаемых доверенностей (МЧД), возможность выдачи МЧД не только физическому лицу, но и ИП или ЮЛ, выдачи сертификатов автоподписи для индивидуальных предпринимателей и др.
  2. Минцифры подготовило проект Постановления Правительства, которое предлагает продлить срок проведения эксперимента по использованию технологии мобильной электронной подписи при получения государственных, муниципальных и коммерческих услуг (мобильного приложения «Госключ») до 31 декабря 2023 г, а также расширить круг участников эксперимента лицами, замещающими государственные должности, а также Удостоверяющим центром Федерального казначейства.

  3. Минэкономики готовит поправки ко второму чтению законопроекта об электронных архивах. В частности, планируется разрешить визирование цифровой версии документа физлицом не только усиленной квалифицированной электронной подписью (УКЭП), но и с помощью ее неквалифицированной версии.

Стандартизация

  1. ФСТЭК России опубликовала отчет о ходе работ по плану технического комитета по стандартизации «Защита информации» (ТК 362) (по состоянию на 31.05.2022). Отчет покрывает следующие направление стандартизации:
    • Интеллектуальные транспортные системы.
    • Защита информации. Идентификация и аутентификация. Уровни доверия идентификации.
    • Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией.
    • Защита информации. Система организации и управления защитой информации. Общие положения.
    • Защита информации. Управление компьютерными инцидентами. Термины и определения.
    • Защита информации. Управление компьютерными инцидентами. Общие положения.
    • Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами.
    • Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты.
  2. ФСТЭК России планирует отменить ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».

Разное

  1. Минцифры опубликовало приказ от 02.03.2022 №156 «Об утверждении Порядка защиты сетей связи и информационных систем операторов связи от несанкционированного доступа к ним и передаваемой по ним информации при функционировании системы обеспечения вызова экстренных оперативных служб по единому номеру «112«.
  2. Минпросвещения подготовило изменения в федеральный государственный образовательный стандарт среднего общего образования (ФГОС для преподавания в 10-11-х классах), уточняющий требования к знаниям выпускников старшей школы. Помимо умения выявлять фальсификацию истории России (не зря же в ФГОС добавили про включение Крыма в состав России и спецоперацию). По нашей с вами тематике ФГОС требует от выпускника старшей школы понимания угроз информационной безопасности, использования методов и средств противодействия этим угрозам, а также соблюдения мер, которые могут предотвратить незаконное распространения персональных данных.
  3. Минфин решил ограничить («засекретить«) распространение бюджетной отчетности из-за западных санкций. В Минфине указали, что это поможет минимизировать риск введения дополнительных санкций.
  4. Минцифры опубликовало проект приказа, которым предлагается внести изменения в порядок сбора данных абонентов, собираемых в соответствии с «законом Яровой», через систему технических средств для обеспечения проведения оперативно-разыскных мероприятий (ОРМ). Проект приказа корректирует требования к параметрам кодирования информации между пультом управления оборудованием, который находится у ФСБ, и техническими средствами, установленными у операторов. Документ также регламентирует параметры сбора и формат хранения информации, взаимную аутентификацию техсредств и пульта управления, резервирование пропускной способности каналов между ними. Первоначальная версия «закона Яровой», по которому велась запись всего трафика пользователей оказалась бесполезной для анализа. Разбивка на категории позволит предварительно обрабатывать информацию перед хранением, чтобы затем ее было проще анализировать.
  5. ФСТЭК выпустила информационное сообщение от 11 апреля 2022 года №240/24/1950 «О порядке представления документов по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не составляющих государственную тайну».
  6. Минцифры по рекомендации ФСБ готовится к разработке единой базы кодов IMEI, присваиваемых мобильным телефонам. Спецслужбы выступают за создание такого реестра для «повышения эффективности оперативно-разыскных мероприятий».
  7. Банк России выпустил новую версию «Условий по защите информации».

Заметка Дайджест изменений в российское законодательство по ИБ №25 была впервые опубликована на Бизнес без опасности .

Alt text

Мир на грани катастрофы и только те, кто подпишется на наш телеграм канал, смогут выжить в Киберапокалипсисе!