ГосСОПКА к нам приходит. Ко всем приходит.
Законопроект № 1070431-7 "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности" выглядит как специализированный и не предвещающий серьезных изменений в жизни всех организаций страны. https://sozd.duma.gov.ru/bill/1070431-7 name='more'> И действительно, в три федеральных закона вносятся правки, направленные на защиту информации о конкретной группы лиц и вполне обоснованно и аргументировано.
Но ситуация с предлагаемыми изменениями в 152-ФЗ "О персональных данных" совсем другая.
В пояснительной записке к законопроекту информация о защищаемых лицах упоминается:
Дополнительной гарантией обеспечения безопасности персональных данных защищаемых лиц выступает устанавливаемая законопроектом мера по организации взаимодействия операторов информационных систем персональных данных с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации.
Смотрим сам законопроект:
Статья 4
Внести в часть 2 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2011, № 31, ст. 4701) следующие изменения:
1) пункт 6 дополнить словами «, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них»;
2) пункт 9 дополнить словами «, включая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации».
Вот так будут выглядеть требования 152-ФЗ после принятия закона:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
2. Обеспечение безопасности персональных данных достигается, в частности:
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных, включая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации
Нет никаких исключений. Все операторы ПДн и все операторы ИСПДн будут обязаны выполнять эти меры защиты. Вне зависимости от наличия обработки информации о защищаемых лицах.
Все это ВСЕ, поскольку это не только организации, внесенные в реестр РКН как операторы ПДн.
Рассмотрение законопроекта в Госдуме запланировано на 15 декабря 2020 года
включить указанный законопроект в проект порядка работы Государственной Думы на 15 декабря 2020 года для рассмотрения в первом чтении.
И в правовом управлении не видят необходимости запрашивать заключение от Правительства РФ
необходимости получения на данный законопроект заключения Правительства Российской Федерации не усматривается.
В настоящий момент времени, ГосСОПКА описана только в законодательстве по обеспечению безопасности критической информационной инфраструктуры. И подзаконные акты к 187-ФЗ определяют деятельность субъектов КИИ, причем в зависимости от категории значимости.
Что предлагается выполнить законопроектом и какими НПА это будет описано для операторов ПДн не понятно.
Напомню, что по 152-ФЗ "Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных."
Какой смысл вкладывал авторский коллектив в "взаимодействие с ГосСОПКА" не понятно, а правовых оснований для разработки новых НПА по разъяснению этих требований в законопроект не заложено.
Неуже ли хотят заставить ФСБ подписать с каждым юрлицом и ИП страны -
РЕГЛАМЕНТ взаимодействия подразделений Федеральной службы безопасности
Российской Федерации при осуществлении информационного обмена в области обнаружения,
предупреждения и ликвидации последствий компьютерных атак?
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.