Дайджест изменений в российском законодательстве по ИБ №27

Дайджест изменений в российском законодательстве по ИБ №27

 Август месяц, время отпусков, но законодатели не спят и готовят нам новые нормотворческие инициативы, которых набралось с момента публикации 26-го дайджеста аж целых полтора десятка, преимущественно сфокусированных вокруг трех тем — персданные, КИИ и биометрия.

Персональные данные

  1. Роскомнадзор подготовил проект ведомственного приказа «Об утверждении Требований по оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», который должен вступить в силу с 1 марта 2023 года сроком на 6,5 лет и который вводит качественную градацию вреда (светофор). Три степени вреда привязываются к нарушению конкретных статей ФЗ-152 и никак не учитывают ни природу ПДн, ни их содержание или объем, ни право самого субъекта ПДн определять масштаб ущерба для себя.
  2. Роскомнадзор подготовил проект ведомственного приказа «Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, о внесении изменений в ранее представленные сведения, о прекращении обработки персональных данных», суть которого понятна из названия НПА.
  3. Роскомнадзор подготовил проект ведомственного приказа «Об утверждении требований к подтверждению уничтожения персональных данных«, который по сути определяет только необходимость составления акта об уничтожении, что и является подтверждением оного.
  4. Минцифры надеется доработать законопроект об оборотных штрафах за утечку ПДн в августе этого года, чтобы внести его осенью в Госдуму. Задача у регулятора непростая — найти баланс между жестким наказанием (а то 60 тысяч рублей уже стали притчей воязыцех) и необходимостью отрасли ИТ развиваться, что невозможно без широкой обработки данных разных типов, включая и персональные.

Аутентификация, включая биометрию

  1. Минцифры подготовило проект постановления Правительства «О проведении эксперимента по организации допуска пассажиров в зону транспортной безопасности аэропорта при входе в пункт предполетного досмотра и воздушного судна гражданской авиации с использованием единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица», согласно которому при контроле посадки пассажира в самолет в аэропорту Шереметьево (именно он выбран в качестве эксперимента) служба пассажирских перевозок должна будет по электронной базе данных проверить информацию о прохождении им досмотра.
  2. Минцифры предложило использовать Единую биометрическую систему (ЕБС) при входе на территорию промышленных, оборонных, атомных, ядерных, оружейных, химических предприятий, а также в организации транспортной инфраструктуры, на субъекты критической информационной инфраструктуры, объекты, «совершение террористического акта на территории которых может привести к чрезвычайным ситуациям с опасными социально-экономическими последствиями». Такая норма содержится в разрабатываемом законопроекте о ГИС ЕБС, который министерство намерено представить этой осенью. Не мытьем так катаньем, но ЕБС пытаются вкрячить везде, где только можно. Скоро в городские туалеты проходить надо будет по биометрии (хорошо, что лица, а не других частей тела).
  3. Минцифры подготовило проект постановления Правительства «О внесении изменений в пункт 3.1 Требований к федеральной государственной информационной системе «Единая система идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме», согласно которому физические лица с использованием личного кабинета в федеральной государственной информационной системе «Единый портал государственных и муниципальных услуг (функций)» получают право устанавливать возможность получения санкционированного доступа к информации, содержащейся в государственных, муниципальных и иных информационных системах, посредством дополнительной аутентификации с использованием информационной системы кредитной организации.
  4. Минцифры опубликовало свой приказ от 5 августа №582 «Об отмене приказа Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 6 июня 2022 г. №455 «О внесении изменений в приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 19 мая 2021 г. № 474 «Об утверждении методики расчета взимания платы за использование единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия представленным биометрическим персональным данным физического лица». Похоже министерство само не знает, что оно делает. Сначала устанавливает плату за использование ЕБС, потом отменяет, спустя пару месяцев отменяет свою отмену. Вы уж там определитесь…
  5. Минцифры предлагает предлагает отрегулировать процессы импорта ранее собранных биометрических данных, хранящихся в коммерческих системах, в основном в банках, в государственную единую биометрическую систему. Данные поправки не подразумевают сбора биометрических ПДн без согласия, смешения БПДн из разных систем не будет (будут брать только самую свежую версию), требования к загружаемым в ЕБС БПДН уточнены.
  6. Минцифры подготовило проект Постановления Правительства «О внесении изменений в постановление Правительства Российской Федерации от 2 марта 2021 года №301», согласно которому предполагается в целях обеспечения возможности идентификации обучающегося в процессе проведения промежуточной и итоговой аттестации по образовательным программам высшего образования — программам бакалавриата, программам специалитета, программам магистратуры в дистанционном формате использовать ЕБС.

Критическая инфраструктура

  1. Минпромторг подготовил проект постановления Правительства «О порядке перехода субъектов критической информационной инфраструктуры на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры», который разъясняет соответствующий порядок, упомянутый в 166-м Указе Президента России. Как обычно «принятие проекта постановления не повлечет за собой дополнительных расходов средств бюджетов бюджетной системы Российской Федерации, социально-экономических, финансовых и иных последствий, в том числе для субъектов предпринимательской и иной экономической деятельности«. Вообще эта формулировка в случае с данным проектом выглядит не просто странно, а смешно ????
  2. В Госдуму внесен законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», который предлагает внести поправки в статью 19.7.15 КоАП «Непредставление сведений, предусмотренных законодательством в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации». Согласно законопроекту наказывать хотят не только за непредоставление сведений, но и за предоставление недостоверных сведений о результатах категорирования объектов КИИ, а также за совершение повторного подобного правонарушения.
  3. Официально опубликован приказ ФСБ России от 07.07.2022 № 348 «О внесении изменений в Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденный приказом ФСБ России от 19 июня 2019 г. № 282». Изменений не так уж и много — план реагирования должен разрабатываться при методическом обеспечении НКЦКИ, план должен быть утвержден руководством субъекта КИИ, а копия утвержденного плана должна быть направлена в НКЦКИ в течение 7 дней с момента утверждения.
  4. Официально опубликовано Постановление Правительства от 19.08.2022 № 1463 «О внесении изменения в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации», которое уточняет правила оценки актуальности и достоверности сведений об объектах критической информационной инфраструктуры (КИИ) в рамках отраслевого мониторинга с привлечением специализированных организаций.

Электронная подпись и удостоверяющие центры

  1. Минцифры России опубликовало проект Административного регламента по предоставлению государственной услуги «Аккредитация удостоверяющих центров«, предполагающего аккредитацию обычных и облачных УЦ.

Разное

Госдума приняла в первом чтении законопроект «О внесении изменений в отдельные законодательные акты Российской Федерации» об информационном обмене между Банком России и МВД о случаях и попытках мошеннических переводов. Механизм предусматривает , что МВД будет передавать ЦБ (ФинЦЕРТу) данные о действиях, связанных с попытками перевода денег без согласия клиента. Банк России, в свою очередь, будет передавать МВД сведения из базы данных о попытках совершения противоправных операций. Это касается в том числе информации о всей цепочке транзакций, которая станет основой для проведения оперативно-розыскных мероприятий.

аутентификация Банк России биометрия импортозамещение КИИ МВД Минпромторг Минцифры персональные данные Роскомнадзор управление инцидентами ФСБ ЭЦП
Alt text

Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!