ГосСОПКА к нам приходит. Ко всем приходит.

ГосСОПКА к нам приходит. Ко всем приходит.

 


   Законопроект № 1070431-7 "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности" выглядит как специализированный и не предвещающий серьезных изменений в жизни всех организаций страны.  https://sozd.duma.gov.ru/bill/1070431-7 name='more'>

   И действительно, в три федеральных закона вносятся правки, направленные на защиту информации о конкретной группы лиц и вполне обоснованно и аргументировано.

   Но ситуация с предлагаемыми изменениями в 152-ФЗ "О персональных данных" совсем другая.

   В пояснительной записке к законопроекту информация о защищаемых лицах упоминается:

Дополнительной гарантией обеспечения безопасности персональных данных защищаемых лиц выступает устанавливаемая законопроектом мера по организации взаимодействия операторов информационных систем персональных данных с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации.

  Смотрим сам законопроект:

Статья 4

Внести в часть 2 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2011, № 31, ст. 4701) следующие изменения:

1) пункт 6 дополнить словами «, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них»;

2) пункт 9 дополнить словами «, включая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации».

    Вот так будут выглядеть требования 152-ФЗ после принятия закона:

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
2. Обеспечение безопасности персональных данных достигается, в частности:

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данныхвключая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации

   Нет никаких исключений. Все операторы ПДн и все операторы ИСПДн будут обязаны выполнять эти меры защиты. Вне зависимости от наличия обработки информации о защищаемых лицах.

Все это ВСЕ, поскольку это не только организации, внесенные в реестр РКН как операторы ПДн.

  РКН недавно уделил значительное время освещению этого вопроса -  https://valerykomarov.blogspot.com/2020/12/2020.html

    Рассмотрение законопроекта в Госдуме запланировано на 15 декабря 2020 года
включить указанный законопроект в проект порядка работы Государственной Думы на 15 декабря 2020 года для рассмотрения в первом чтении.

   И в правовом управлении не видят необходимости запрашивать заключение от Правительства РФ
необходимости получения на данный законопроект заключения Правительства Российской Федерации не усматривается. 

   В настоящий момент времени, ГосСОПКА описана только в законодательстве по обеспечению безопасности критической информационной инфраструктуры. И подзаконные акты к 187-ФЗ определяют деятельность субъектов КИИ, причем в зависимости от категории значимости.
  Что предлагается выполнить законопроектом и какими НПА это будет описано для операторов ПДн не понятно.
   Напомню, что по 152-ФЗ "Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных."
   Какой смысл вкладывал авторский коллектив в "взаимодействие с ГосСОПКА" не понятно, а правовых оснований для разработки новых НПА по разъяснению этих требований в законопроект не заложено. 
   Неуже ли хотят заставить ФСБ подписать с каждым юрлицом и ИП  страны - 
РЕГЛАМЕНТ взаимодействия подразделений Федеральной службы безопасности
Российской Федерации при осуществлении информационного обмена в области обнаружения,
предупреждения и ликвидации последствий компьютерных атак?

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале   t.me/ruporsecurite

***  YouTube - канал блога

**** Яндекс.Дзен  https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал  https://tt.me/blog_ruporsecurite

Alt text

История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.

Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности