Изменения законодательства в области ИБ за октябрь 2021 года

Октябрь закончился, а значит настало время резюмировать самые интересные новости и основные изменения законодательства Российской Федерации в этом месяце в сфере IT и ИБ.

Изменения в области защиты ПДн:

1. Опубликовано Постановление Правительства Российской Федерации от 30.09.2021 № 1657 «Об утверждении Правил осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями и нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона «Об информации, информационных технологиях и о защите информации», организационных и технических мер по обеспечению безопасности персональных данных и использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона «Об информации, информационных технологиях и о защите информации»

Согласно утвержденным правилам, органами-регуляторами будут проводиться плановые и внеплановые проверки операторов ПДн, использующих единую биометрическую систему.

  1. Опубликовано Постановление Правительства Российской Федерации от 11.10.2021 № 1729 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации».

Утвержденным Положением определены предмет и объекты федерального государственного контроля, а также установлено, что полномочия по его осуществлению возложены на Минцифры России.

Объекты государственного надзора необходимо относить к категориям высокого, среднего и низкого риска причинения вреда. В связи с отнесением объекта к одной из указанных категорий риска установлена периодичность проведения в отношении него таких плановых контрольных мероприятий, как инспекционный визит, документарная проверка и выездная проверка.

Постановлением также закрепляются особенности организации проведения профилактических мероприятий, к которым относятся информирование, обобщение правоприменительной практики, объявление предостережения, консультирование и профилактический визит.

Настоящее Постановление вступает в силу с 1 января 2022 года.

  1. Опубликовано Постановление Правительства Российской Федерации от 20.10.2021 № 1798 «Об утверждении Правил осуществления Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и Федеральной службой безопасности Российской Федерации контроля и надзора за соблюдением многофункциональными центрами предоставления государственных и муниципальных услуг порядка размещения и обновления биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».

В соответствии с утвержденными Правилами РКН и ФСБ России теперь будут осуществлять контроль и надзор за соблюдением МФЦ порядка размещения и обновления биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица. Контроль будет осуществляться путем проведения совместных плановых и внеплановых выездных проверок сроком не более 20 рабочих дней для плановых проверок и не более 10 дней для внеплановых проверок.

  1. Опубликовано Постановление Правительства Российской Федерации от 20.10.2021 № 1799 «Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц».

Согласно утвержденному постановлению, с марта 2022 года иностранные юридические лица, владеющие информационными системами (ИС), обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных (ПД) физических лиц и (или) оказывающие соответствующие услуги, будут обязаны пройти аккредитацию.

  1. Опубликовано Постановление Правительства Российской Федерации от 23.10.2021 № 1815 «Об утверждении перечня случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также случаев использования организациями, за исключением кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 761 Федерального закона «О Центральном банке Российской Федерации (Банке России)» виды деятельности, субъектами национальной платежной системы, индивидуальными предпринимателями указанных информационных систем для идентификации либо идентификации и аутентификации физического лица, выразившего согласие на их проведение».

Согласно утвержденному перечню, случаями обработки биометрических ПДн (в целях идентификации и (или) аутентификации), когда нужна аккредитация являются:

  • идентификация и (или) аутентификация водителей такси;
  • идентификация и (или) аутентификации пользователей каршеринга; 
  • идентификация и (или) аутентификация с использованием СКУД (но с оговоркой, о которой ниже);
  • идентификация и (или) аккредитация участников гражданско-правовых сообщества (с оговоркой).

Исключения делаются для владельцев СКУДов (т.е. кому аккредитация не нужна):

— организации ОПК;

— организации атомного энергопромышленного комплекса;

— организации ядерного оружейного комплекса;

— организации химического комплекса;

— организации ТЭК;

— организации — субъекты КИИ;

— организации — объекты транспортной инфраструктуры;

— организации — объекты, совершение террористического акта, на территории которых может привести к возникновению ЧС с опасными социально-экономическими последствиями согласно установленному категориррванию.

Изменение в области эксплуатации СЗИ (СКЗИ):

  1. Опубликован Приказ Федеральной службы по техническому и экспортному контролю от 05.08.2021 № 121 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55», согласно которому сертификации не подлежат СрЗИ иностранного производства, в отношение которых установлены ограничения или запреты на их использование в РФ; серийно производимое СрЗИ считается сертифицированным, если оно произведено в период срока действия сертификата и осуществляется его техническая поддержка производителем; срок действия сертификата соответствия не устанавливается (для единичного изделия и партии).

Новости из сферы IT и ИБ:

  1. Согласно исследованиям«Ростелекома», основными мишенями у киберпреступников стали финансовые организации, государственный сектор и онлайн-торговля.

В 2,5 раза увеличилось количество DDoS-атак по сравнению с прошлым годом. При этом число атак на банки увеличилось на 350%, в сфере онлайн-торговли — на 20%, в государственном сегменте — 17%. Средняя мощность DDoS также подросла — на 26%, а самая долгая атака длилась 4,5 дня.

  1. Mail.ru Group провела ребрендинг – сейчас она именуется VK Group. Вместе с ребрендингом произошло и изменение правил пользовательских соглашений.

В настоящее время каждый пользователь «Вконтакте», зарегистрированный в VK Connect/VK ID автоматически передает свои персональные данные только что созданной «Экосистеме VK» и согласно пункту 4 автоматически соглашается со всеми пользовательскими соглашениями всех сервисов «Экосистемы».

Mail.ru Group не просто сделала ребрендинг и стала одним большим «Вконтакте», она забрала себе данные всех пользователей «Вконтакте» для собственных нужд, чтобы продвигать и наполнять свои сервисы (от «Почты Mail.ru» и «Ситимобила» до «Одноклассников», голосового помощника «Маруся» и всех трех сервисов знакомств) за счет пользовательской базы «Вконтакте», используя любые данные, какие захочет (например, сведения о поведении пользователя: просмотр пабликов, постов сообществ, просмотр видео и прослушивание музыки).






Заказать обратный звонок

Вы можете заказать обратный звонок или позвонить
по телефону 8-800-200-7932






Я даю свое согласие ГК ИСА (далее – isoit.ru) на обработку, с использованием средств автоматизации или без использования таких средств, моих персональных данных, представленных в настоящем обращении, включая сбор, запись, систематизацию, накопление, хранение, извлечение, использование, обезличивание, удаление и уничтожение персональных данных, в целях обработки настоящего электронного обращения, предоставления информации о результатах его рассмотрения и опросах сайта isoit.ru о качестве обслуживания.

Я согласен на предоставление мне информации посредством электронной почты, телефонных обращений, sms-сообщений, направления почтовой корреспонденции.

Согласие предоставляется с момента оформления настоящего обращения и действует в течение 5 (пяти) лет. Согласие может быть отозвано путем подачи в isoit.ru заявления об отзыве согласия.






Заказать обратный звонок

Вы можете заказать обратный звонок или позвонить
по телефону 8-800-200-7932