Сентябрь подошел к концу и пришло время подвести итоги основных изменений требований регуляторов, а также вспомнить самые яркие новости в сфере IT и ИБ.
Изменения в области защиты ПДн:
1. Официально опубликован приказ Минцифры от 27.08.2021 № 896 «Об утверждении требований к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа организации, владеющей информационной системой, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающей услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц», который устанавливает запрет (с 01.01.2022 (дата может быть перенесена)) на обработку в информационных системах биометрических персональных данных в целях идентификации и (или) аутентификации без выполнения нововведённых в 149-ФЗ требований.
Ключевым требованием, выполнение которого позволит осуществлять обработку в информационных системах биометрических персональных данных, является наличие аккредитации (порядок получения аккредитации будет установлен в будущем Правительством Российской Федерации).
2. Минцифры разработало порядок уничтожения обезличенных персональных данных участником экспериментального правового режима, когда действие такого статуса прекращается. Соответствующий проект приказа министерства опубликован на портале проектов нормативных актов.
Факт уничтожения обезличенных данных фиксируется субъектом экспериментального правового режима в акте об их уничтожении, …. в нем в том числе отражается информация о дате составления акта, носителях данных, перечне и объеме уничтоженной информации, а также о средствах защиты информации, посредством которых осуществлено уничтожение.»
«К акту прилагаются копии документов, материалы и прочая информация, которая подтверждает факт уничтожения обезличенных данных. В случае непредоставления необходимых документов, контролирующий орган может принять решение о проведении в отношении субъекта экспериментального правового режима контрольных мероприятий.»
Факт уничтожения обезличенных данных фиксируется субъектом экспериментального правового режима в акте об их уничтожении, …. в нем в том числе отражается информация о дате составления акта, носителях данных, перечне и объеме уничтоженной информации, а также о средствах защиты информации, посредством которых осуществлено уничтожение.»
«К акту прилагаются копии документов, материалы и прочая информация, которая подтверждает факт уничтожения обезличенных данных. В случае непредоставления необходимых документов, контролирующий орган может принять решение о проведении в отношении субъекта экспериментального правового режима контрольных мероприятий.»
3. С 01.09.2021 вступил в силу приказ ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну». Для поддержания безопасности объекта информатизации (ОИ) необходимо:
Обеспечить проведение периодического контроля уровня защиты информации на аттестованном ОИ. Периодичность такого контроля в общем случае должна быть не реже одного раза в два года, а для ОИ, являющихся ГИС 1 класса защищённости, — не реже одного раз в год.
Обеспечить проведение периодического контроля уровня защиты информации на аттестованном ОИ. Периодичность такого контроля в общем случае должна быть не реже одного раза в два года, а для ОИ, являющихся ГИС 1 класса защищённости, — не реже одного раз в год.
Обеспечить своевременное представление протоколов по результатам периодического контроля уровня защиты информации на аттестованном ОИ в ФСТЭК России.
Изменение в области эксплуатации СКЗИ:
1. ФСБ России перезапустила инициативу запрета осуществления иностранными юридическими лицами деятельности по в сфере шифровальных (криптографических) средств.
Проект направлен на приведение положений о лицензировании видов деятельности, отнесенных к компетенции ФСБ России, в соответствие с Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» в части замены процедуры переоформления лицензий на процедуру внесения изменений в реестр лицензий, а также исключения возможности осуществления лицензируемых видов деятельности иностранными юридическими лицами.
Предполагается, что это позволит предотвратить возникающие угрозы безопасности государства, связанные с возможностью осуществления лицензируемых видов деятельности, отнесенных к компетенции ФСБ России, иностранными юридическими лицами.
1. ФСБ России перезапустила инициативу запрета осуществления иностранными юридическими лицами деятельности по в сфере шифровальных (криптографических) средств.
Проект направлен на приведение положений о лицензировании видов деятельности, отнесенных к компетенции ФСБ России, в соответствие с Федеральным законом от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» в части замены процедуры переоформления лицензий на процедуру внесения изменений в реестр лицензий, а также исключения возможности осуществления лицензируемых видов деятельности иностранными юридическими лицами.
Предполагается, что это позволит предотвратить возникающие угрозы безопасности государства, связанные с возможностью осуществления лицензируемых видов деятельности, отнесенных к компетенции ФСБ России, иностранными юридическими лицами.
Отраслевые изменения:
1. Банк России планирует совместно с кредитными организациями создание платформы согласие на использование коммерческих данных. Такой реестр должен дать возможность бизнесу и участникам финансового рынка отслеживать, кто из клиентов и на что дает или отзывает те или иные согласия, а самим гражданам — возможность управлять своими согласиями.
Пользователь через единую платформу сможет отслеживать все организации, которым он давал согласия на обработку данных, а при необходимости клиент сможет их отозвать дистанционно.
Основная сложность, которая возникает это противоречие требованиям ФЗ “О персональных данных”, который не допускает сбор, хранение, обработку и передачу третьим лицам такой информации без согласия субъекта, то есть лица, к которому данные относятся и которого определяют.
1. Банк России планирует совместно с кредитными организациями создание платформы согласие на использование коммерческих данных. Такой реестр должен дать возможность бизнесу и участникам финансового рынка отслеживать, кто из клиентов и на что дает или отзывает те или иные согласия, а самим гражданам — возможность управлять своими согласиями.
Пользователь через единую платформу сможет отслеживать все организации, которым он давал согласия на обработку данных, а при необходимости клиент сможет их отозвать дистанционно.
Основная сложность, которая возникает это противоречие требованиям ФЗ “О персональных данных”, который не допускает сбор, хранение, обработку и передачу третьим лицам такой информации без согласия субъекта, то есть лица, к которому данные относятся и которого определяют.
2. Правительство РФ планирует принятие закона, запрещающего закупки иностранного софта и техники, а также услуг по их поддержке в случае наличия российских аналогов.
Минцифры, Минмпромторг, ФСБ и Федеральная службу по техническому и экспортному контролю (ФСТЭК) готовят проекты указа президента и постановление правительства о преимущественном использовании Российского ПО на объектах критической информационной инфраструктуры.
Под действие документов попадут сети и информационные системы госорганов, предприятий оборонной промышленности, а также энергетики, топливной и атомной промышленности, транспорта, кредитно-финансовой сферы — они относятся к объектам КИИ.
Помимо отечественного софта правительственным учреждениям, банкам и нефтегазовым корпорациям будет предписано использовать произведенные в РФ программно-аппаратные комплексы (ПАК), а также компьютерное и телекоммуникационное оборудование.
Цель — повышение спроса на ПО, обеспечение «ускоренного импортозамещения» и «технологической независимости» экономики, говорится в документе.
Чтобы стимулировать отказ от импорта, правительство предлагает налоговые льготы: расходы на российский софт и технику будут включать в инвестиционный вычет по налогу на прибыль.
Под действие документов попадут сети и информационные системы госорганов, предприятий оборонной промышленности, а также энергетики, топливной и атомной промышленности, транспорта, кредитно-финансовой сферы — они относятся к объектам КИИ.
Помимо отечественного софта правительственным учреждениям, банкам и нефтегазовым корпорациям будет предписано использовать произведенные в РФ программно-аппаратные комплексы (ПАК), а также компьютерное и телекоммуникационное оборудование.
Цель — повышение спроса на ПО, обеспечение «ускоренного импортозамещения» и «технологической независимости» экономики, говорится в документе.
Чтобы стимулировать отказ от импорта, правительство предлагает налоговые льготы: расходы на российский софт и технику будут включать в инвестиционный вычет по налогу на прибыль.
3. Роскомнадзор утвердил маркировку, которая должна сопровождать в поисковых сервисах ссылки на иностранные компании, нарушающие российское законодательство.
Текст маркировки, которая должна будет появляться в выдаче поисковиков, будет следующим: «Иностранное лицо, владеющее информационным ресурсом, является нарушителем законодательства Российской Федерации»
Таким образом, ведомство рассчитывает заставить Google, Facebook и других зарубежных интернет-гигантов открыть свои представительства в России.
Поскольку у интернет-компаний не всегда есть юридическое лицо в России, они могут формально оставаться вне российской юрисдикции, указывали авторы законопроекта в пояснительной записке.
В случае, если у зарубежных компаний будут открыты свои филиалы в России или российские юрлица, к ним можно будет предъявлять претензии и судебные иски, а они должны будут выполнять решения российских судов.
Текст маркировки, которая должна будет появляться в выдаче поисковиков, будет следующим: «Иностранное лицо, владеющее информационным ресурсом, является нарушителем законодательства Российской Федерации»
Таким образом, ведомство рассчитывает заставить Google, Facebook и других зарубежных интернет-гигантов открыть свои представительства в России.
Поскольку у интернет-компаний не всегда есть юридическое лицо в России, они могут формально оставаться вне российской юрисдикции, указывали авторы законопроекта в пояснительной записке.
В случае, если у зарубежных компаний будут открыты свои филиалы в России или российские юрлица, к ним можно будет предъявлять претензии и судебные иски, а они должны будут выполнять решения российских судов.
4. Согласно заявлению Минцифры, в России работают всего 24 удостоверяющих центра (УЦ), аккредитованные в соответствии с новыми требованиями закона об электронной подписи (63-й ФЗ). До вступления в силу норм обновленного 63-го ФЗ в России в обороте находилось ориентировочно 15 млн квалифицированных сертификатов, из которых порядка 90% использовались организациями, предпринимателями, чиновниками.
С сентября 2020 года министерство проверило деятельность 143 организаций и в некоторых выявило недостатки в части присоединения информационной системы удостоверяющего центра к инфраструктуре электронного правительства и предоставления в ЕСИА сведений о выданных квалифицированных сертификатах. Аккредитация таких удостоверяющих центров была приостановлена до устранения нарушений.
Директор правового департамента Минцифры России также анонсировал, что министерство работает надпоправками в законодательство, которые предусматривают возможность использования обезличенной (без указания на должностное лицо) квалифицированной подписи не только юридическими лицами, но и индивидуальными предпринимателями, а также для использования в электронном документообороте доверенностей, полученных в результате передоверия. Законопроект, содержащий такие предложения, проходит сейчас межведомственные согласования.
С сентября 2020 года министерство проверило деятельность 143 организаций и в некоторых выявило недостатки в части присоединения информационной системы удостоверяющего центра к инфраструктуре электронного правительства и предоставления в ЕСИА сведений о выданных квалифицированных сертификатах. Аккредитация таких удостоверяющих центров была приостановлена до устранения нарушений.
Директор правового департамента Минцифры России также анонсировал, что министерство работает надпоправками в законодательство, которые предусматривают возможность использования обезличенной (без указания на должностное лицо) квалифицированной подписи не только юридическими лицами, но и индивидуальными предпринимателями, а также для использования в электронном документообороте доверенностей, полученных в результате передоверия. Законопроект, содержащий такие предложения, проходит сейчас межведомственные согласования.
5. С 01.09.2021 вступают в силу поправки в Кодекс Российской Федерации об административных правонарушениях, которыми устанавливается административная ответственность за нарушение требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования либо требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, если такие действия (бездействие) не содержат признаков уголовно наказуемого деяния.
Размеры штрафов составляют от 10 до 50 тыс. руб для должностных лиц и от 50 до 500 тыс. руб. для юридических лиц.
