Обзор изменений в законодательстве за июль 2017 года

Дата: 02.08.2017
Автор: Александра Бурхайло, аналитик

Изменения в КоАП в части обработки и защиты персональных данных

С 1 июля 2017 вступила в силу новая редакция статьи 13.11 КоАП «Нарушение законодательства Российской Федерации в области персональных данных», вводящая семь составов административных правонарушений, предусматривающих соответствующие им штрафы с самым высоким из них — 75 тысяч рублей для юридических лиц.

Для сравнения, отмененная редакция ст. 13.11 КоАП предусматривала за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) наказание в виде предупреждения или наложения административного штрафа: на граждан в размере от 300 до 500 рублей; на должностных лиц — от 500 до 1000 рублей; на юридических лиц — от 5 до 10 тысяч рублей.

Существенным моментом новой версии ст. 13.11 КоАП является то, что протоколы об административных правонарушениях после 01.07.2017 будут составлять должностные лица Роскомнадзора и его территориальных управлений, а не прокуратура, как было раннее. При этом срок привлечения к ответственности сохранился прежний — 3 месяца, но процедура привлечения к ответственности существенно упростилась.

Возможно, изменится и сам порядок наложения штрафов. Раньше, в силу «универсальности» статьи 13.11 КоАП с одним составом правонарушения и штраф был один, независимо от содержания акта проверки и предписания об устранении правонарушения. Теперь каждое из выявленных нарушений можно квалифицировать отдельно, оформлять отдельный протокол и накладывать отдельный штраф.

Из плюсов — теперь в соответствии со ст. 13.11 можно привлечь к ответственности далеко не за каждое выявленное нарушение. Например, не предусмотрен штраф за такое нарушение, как несоответствие типовой формы, предусматривающей внесение в нее персональных данных, требованиям пункта 7 Постановления Правительства № 687.

 

№ части статьи 13.11. КоАП

Состав административного правонарушения

Нарушаемая статья законодательства

Возможность наложения предупреждения

Штраф для граждан

Штраф для должностных лиц

Штраф для ИП

Штраф для юридических лиц

1

Обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями сбора ПДн, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния

Ст.5, ст.6
ФЗ №152

да

1 — 3 тысячи рублей

5 — 10 тысяч рублей

не предусмотрен

30 — 50 тысяч рублей

2

Обработка ПДн без согласия в письменной форме субъекта ПДн на обработку его ПДн в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области ПДн, если эти действия не содержат уголовно наказуемого деяния, либо обработка ПДн с нарушением установленных законодательством Российской Федерации в области ПДн требований к составу сведений, включаемых в согласие в письменной форме субъекта ПДн на обработку его ПДн

Ст.9
ФЗ №152

нет

3 — 5 тысячи рублей

10 — 20 тысяч рублей

не предусмотрен

15 — 75 тысяч рублей

3

Невыполнение оператором предусмотренной законодательством Российской Федерации в области ПДн обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн, или сведениям о реализуемых требованиях к защите ПДн

Ст.18
ФЗ №152

да

700 — 1500 рублей

3 — 6 тысяч рублей

5 — 10 тысяч рублей

15 — 30 тысяч рублей

4

Невыполнение оператором предусмотренной законодательством Российской Федерации в области ПДн обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн

Ст.14, ст.20 ФЗ №152

да

1 — 2 тысячи рублей

4 — 6 тысяч рублей

10 — 15 тысяч рублей

20 — 40 тысяч рублей

5

Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области ПДн, требования субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн об уточнении ПДн, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

Ст.21
ФЗ №152

да

1 — 2 тысячи рублей

4 — 10 тысяч рублей

10 — 20 тысяч рублей

25 — 45 тысяч рублей

6

Невыполнение оператором при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области ПДн сохранность ПДн при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПДн, при отсутствии признаков уголовно наказуемого деяния

ПП №687

нет

700 — 2000 рублей

4 — 10 тысяч рублей

10 — 20 тысяч рублей

25 — 50 тысяч рублей

7

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области ПДн обязанности по обезличиванию ПДн либо несоблюдение установленных требований или методов по обезличиванию ПДн

ПП №211,
приказ РКН №996

да

не предусмотрен

3 — 6 тысяч рублей

не предусмотрен

не предусмотрен

Госдума приняла пакет законопроектов о безопасности критической информационной инфраструктуры

12 июля Госдума приняла в третьем чтении пакет правительственных законопроектов, касающихся обеспечения безопасности критической информационной инфраструктуры (далее — КИИ) РФ.
Подробнее о законопроекте можно узнать в статье Николая Домуховского «Закон о безопасности КИИ: разбираемся в тонкостях».

Суть законопроекта:
Законопроектом устанавливаются основные принципы обеспечения безопасности КИИ и полномочия государственных органов РФ в области обеспечения ее безопасности. Устанавливаются права, обязанности и ответственность лиц, владеющих на праве собственности или ином законном основании объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.

Основные обязанности собственников КИИ:
Предусматривается, что собственники КИИ должны самостоятельно либо с привлечением организаций, имеющих лицензии на осуществление деятельности по технической защите конфиденциальной информации, осуществлять категорирование объектов КИИ, разрабатывать и осуществлять мероприятия по обеспечению безопасности объектов КИИ. В обязательном порядке необходимо будет информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации, обеспечивать возможность восстановления функционирования объекта КИИ за счёт создания и хранения резервных копий информации.

Санкции:
В связи с выпуском законопроекта в УК РФ вводится новая статья 274 «Неправомерное воздействие на критическую информационную инфраструктуру РФ», в которой максимальные санкции за создание вредоносных программ для кибератак на КИИ предусматривают до 10 лет лишения свободы.

 

№ части статьи 274 УК

Состав уголовного правонарушения

Санкция

1

Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на КИИ РФ, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации

Принудительные работы на срок до 5 лет с ограничением свободы на срок до 2 лет или без такового либо лишением свободы на срок от 2 до 5 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 3 лет

2

Неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ РФ, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на КИИ РФ, или иных вредоносных компьютерных программ, если он повлек причинение вреда КИИ РФ

Принудительные работы на срок до 5 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 3 лет и с ограничением свободы на срок до 2 лет или без такового либо лишением свободы на срок от 2 до 6 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 3 лет

3

Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ РФ, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к КИИ РФ, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда КИИ РФ

Принудительные работы на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового либо лишением свободы на срок до 6 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового

4

Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения

Лишение свободы на срок от 3 до 8 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового

5

Деяния, предусмотренные частями первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия

Лишение свободы на срок от 5 до 10 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового

Поправки ФСТЭК России в Приказы №21 и №31

ФСТЭК России опубликовала проект приказа, вносящего поправки в свои 21-й и 31-й приказы по защите информационных систем ПДн и автоматизированных систем управления технологическими процессами (далее — АСУ ТП) соответственно.

Предлагаются схемы применения сертифицированных средств защиты информации, которые по сути мало что меняют. К слову, ФСТЭК России в итоге приводит к единому знаменателю все средства защиты информации, которые должны применяться в информационных системах, а именно:

для АСУ ТП:

Тип СЗИ

3 класс

2 класс

1 класс

СВТ

не ниже 5

Средства защиты

не ниже 6

не ниже 5

не ниже 4

НДВ

Нет требований

не ниже 4


для ПДн:

Тип СЗИ

4 уровень

3 уровень

2 уровень

1 уровень

СВТ

не ниже 6

не ниже 5

Средства защиты

не ниже 6

не ниже 6

не ниже 5

не ниже 4

НДВ

Нет требований

не ниже 4

Информационные письма ФСТЭК России

В июле 2017 года на сайте ФСТЭК России опубликованы следующие информационные письма:

  1. Информационное сообщение от 2 июля 2017 г. № 240/22/3171 «О мерах по защите информации, направленных на нейтрализацию угроз безопасности информации, связанных с проникновением и распространением вредоносного программного обеспечения WANNACRY, PETYA, MISHA и их модификаций», в котором перечислены рекомендации для борьбы с вредоносным программным обеспечением, в частности, указаны конкретные меры, перечисленные в 17/21/31-й приказах, которые необходимо выполнить специалистам по защите информации во избежание повторных компьютерных атак.
  2. Информационное сообщение от 22 июня 2017 г. № 240/22/3031 «О порядке рассмотрения и согласования моделей угроз безопасности информации и технических заданий на создание государственных информационных систем», в котором говорится, что с вступлением в силу Постановления Правительства РФ от 11 мая 2017 г. № 555 необходимо согласовывать модели угроз и технические задания федеральных информационных систем с центральным аппаратом ФСТЭК России, а региональных информационных систем с управлениями ФСТЭК России по федеральным округам. При этом в соответствии с Регламентом ФСТЭК России, утвержденным от 12 мая 2005 г. № 167, срок рассмотрения документов не должен превышать более 30 дней