Автор: Любовь Лобачева, аналитик
В обзоре изменений за декабрь 2022 года рассмотрим: новые формы уведомлений в Роскомнадзор, ответственность за нарушение правил предоставления сведений о категорировании, порядок взаимодействия операторов персональных данных с ГосСОПКА, закон о единой биометрической системе, перечень субъектов, на которых распространяются требования о защите информации в платежной системе, изменения в списке контрольных вопросов для проверок в области обработки персональных данных, запрет на передачу персональных данных через иностранные мессенджеры, порядок взаимодействия с Роскомнадзором по поводу инцидентов ИБ с ПДн, проекты приказов ФСТЭК России по лицензированию видов деятельности, нормотворческие планы ФСТЭК России на 2023 год, результаты работы ТК 362 и другие новости.
Критическая информационная инфраструктура
Изменения в правила категорирования
Официально опубликовано постановление Правительства Российской Федерации от 20.12.2022 №2360 «О внесении изменений в постановление Правительства Российской Федерации от 8 февраля 2018 г. № 127».
Аналитический центр УЦСБ в конце 2022 года уже опубликовал подробные комментарии к этим изменениям. Из основного:
- с 20.12.2022 вступили в силу изменения в перечень показателей критериев значимости , субъектам критической информационной инфраструктуры (далее – КИИ) необходимо в ближайшее время провести повторное категорирование принадлежащих им объектов КИИ в соответствии с обновленными значениями и вновь введенными показателями критериев значимости;
- актуальные сведения об объектах КИИ в случае их изменений необходимо подавать в Федеральную службу по техническому и экспортному контролю Российской Федерации (далее – ФСТЭК России) в течение 20 рабочих дней с момента возникновения изменений (в т.ч. при изменении данных о присвоенной категории значимости);
- сведения об объектах КИИ теперь подлежат строгому мониторингу на предмет полноты и актуальности;
- с 21.03.2023 отраслевые ведомства вправе формировать перечень типовых отраслевых объектов КИИ, которые обязательно должны входить в перечень объектов КИИ, подлежащих категорированию.
Более подробно об этих изменениях в комментариях аналитического центра УЦСБ.
Центры ГосСОПКА: переходный период в рамках исполнения Указа Президента № 250
Официально опубликованприказ Федеральной службы безопасности Российской Федерации (далее ФСБ России) от 01.11.2022 № 543 «Об определении переходного периода, предусмотренного подпунктом «б» пункта 5 Указа Президента Российской Федерации от 1 мая 2022 г. № 250», устанавливающий трехлетний переходный период, в течение которого центрам государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (далее – ГосСОПКА) допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах субъектов КИИ на основании заключенных с Национальным координационным центром по компьютерным инцидентам (далее – НКЦКИ) соглашений о сотрудничестве.
По истечении этого трехлетнего периода, согласно Указу Президента Российской Федерации (далее – РФ) от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», для проведения таких работ организации смогут подключать только аккредитованные центры ГосСОПКА.
Предполагается, что за время переходного периода ФСБ России разработает необходимую нормативную правовую базу и проведет аккредитацию центров ГосСОПКА.
Штраф за нарушение правил предоставления сведений о категорировании
Официально опубликован Федеральный закон от 19.12.2022 № 518-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», который вносит поправки в статьи 19.7.15 и 23.90 Кодекса Российской Федерации об административных правонарушениях (далее – КоАП РФ), устанавливающие административную ответственность за предоставление недостоверных сведений о результатах категорирования объектов КИИ во ФСТЭК России.
Размер штрафов аналогичен наказанию за непредставление или несвоевременную подачу данных в регулирующий орган:
- для должностных лиц он составляет от 10 тысяч до 50 тысяч рублей;
- для юридических лиц — от 50 тысяч до 100 тысяч рублей.
Также введены административные штрафы за повторные нарушения. Должностным лицам в этом случае придется заплатить от 50 тысяч до 100 тысяч рублей, юридическим лицам — от 100 тысяч до 200 тысяч рублей.
Такие изменения продиктованы практическим опытом проведения мероприятий в рамках государственного контроля ФСТЭК России, в результате которых обнаружены случаи представления недостоверных сведений о результатах категорирования объектов КИИ, а также случаи непредставления актуализированных сведений.
Федеральный закон вступил в силу с 19 декабря 2022 года.
Президента РАН включили в состав комиссии по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ
В соответствии с данным Указом в Межведомственную комиссию Совета Безопасности РФ по вопросам обеспечения технологического суверенитета государства в сфере развития КИИ, в состав которой входят заместитель Председателя Совета Безопасности РФ, заместители Председателя Правительства РФ, министры некоторых ведомств, директора Росгвардии, ФСБ России, ФСТЭК России, гендиректора Госкорпораций «Росатом», «Роскосмос», «Ростех» и другие участники, внесен Президент Российской академии наук.
Указ вступил в силу с 26 декабря 2022 года.
Изменения в области регулирования персональных данных
Формы уведомления в Роскомнадзор
Напомним, что с 1 сентября 2022 года изменились требования к обработке персональных данных (далее – ПДн), в том числе была закреплена обязательность уведомления о начале и прекращении обработки ПДн, а также об изменении ранее представленных в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) сведений.
Приказ содержит формы уведомлений:
- О намерении осуществлять обработку ПДн:
- предполагает указание категорий ПДн, субъектов ПДн и способов и правового основания обработки ПДн для каждой цели отдельно;
- содержит сведения о лицах, имеющих доступ к ПДн или осуществляющих их обработку по договору;
- О внесении изменений в ранее представленные сведения. Форма содержит поля уведомления о намерении осуществлять обработку ПДн (заполнять необходимо только те поля, в которых изменились данные), а также поле для указания оснований внесения изменений.
- О прекращении обработки ПДн. Содержит основную информацию об операторе ПДн, основания исключения его из реестра и дату прекращения обработки ПДн.
На сайте Роскомнадзора размещены примеры заполнения уведомлений и электронные формы.
Реестр инцидентов Роскомнадзора: порядок взаимодействия
Приказом утвержден порядок направления операторами ПДн уведомления об инцидентах в области ПДн и содержание первичного (о наступлении инцидента) и дополнительного (о результатах расследования и ликвидации последствий) уведомлений.
В первичном уведомлении указываются сведения:
- о произошедшем инциденте (дата и время выявления, характеристики ПДн, которые стали доступны третьим лицам, количество записей в скомпрометированной базе данных);
- о предполагаемых причинах инцидента;
- о предполагаемом вреде, нанесенном правам субъектов ПДн;
- о принятых мерах по устранению последствий инцидента;
- о лице, уполномоченном оператором ПДн на взаимодействие с Роскомнадзором;
- иные сведения (источник получения информации об инциденте, подтверждение принятия мер по устранению последствий инцидента).
Кроме того, в уведомлении приводятся данные оператора, направившего уведомление. Если на момент направления первичного уведомления оператор располагает сведениями о результатах внутреннего расследования выявленного инцидента, он вправе указать такие сведения в первичном уведомлении.
В дополнительном уведомлении указываются сведения:
- о результатах внутреннего расследования выявленного инцидента (о причинах инцидента, нанесенном вреде субъектам ПДн, дополнительно принятых мерах по устранению последствий инцидента, решении о проведении внутреннего расследования);
- о лицах, действия которых стали причиной инцидента (фамилия, имя, отчество или наименование юридического лица, IP-адрес компьютера или устройства, предполагаемое местонахождение лиц и устройств, иные сведения).
Уведомления можно направить на бумажном носителе по адресу Роскомнадзора или в электронном виде путем заполнения формы на портале ПДн Роскомнадзора.
Приказ вступает в силу с 1 марта 2023 года.
Порядок взаимодействия операторов ПДн с ГосСОПКА
ФСБ России представила для общественного обсуждения проект приказа ФСБ России «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных».
Проект постановления определяет порядок информирования о компьютерных инцидентах, которые привели к утечке ПДн, и взаимодействия операторов ПДн с ГосСОПКА через НКЦКИ.
Согласно проекту, выделяются две группы операторов:
- операторы, взаимодействие с которыми организовано в соответствии с подпунктом 4.8 пункта 4 Положения о НКЦКИ (субъекты КИИ и ФСТЭК России);
- иные операторы ПДн.
ФСТЭК России, а также операторы, являющиеся субъектами КИИ, должны будут направлять информацию о компьютерных инцидентах в течение 24 часов с момента их обнаружения в соответствии с Перечнем информации, представляемой в ГосСОПКА и Порядком представления информации в ГосСОПКА, утвержденными приказом ФСБ России от 24.07.2018 № 367.
Остальные операторы должны будут направлять соответствующую информацию в порядке, описанном ранее:
- в течение 24 часов с момента обнаружения инцидента направить уведомление о произошедшем инциденте на сайте Роскомнадзора;
- в течение 72 часов направить уведомление о результатах внутреннего расследования.
Согласно проекту, в НКЦКИ будет предусмотрено подтверждение передачи операторами информации о компьютерных инцидентах путем присвоения им идентификаторов. Также для операторов планируется предусмотреть возможность обратиться в НКЦКИ для оказания содействия в реагировании на выявленный компьютерный инцидент и привлечения сил ГосСОПКА.
В случае необходимости проверки сведений о компьютерном инциденте, НКЦКИ может направлять запросы о ее проведении. Операторы должны будут проинформировать НКЦКИ о результатах проверки в течение 24 часов с момента получения указанных запросов.
Документ планируется принять к 1 марта 2023 года. Общественное обсуждение завершилось 13 января 2023 года.
Внеплановые проверки организации обработки ПДн
Опубликован проект постановления Правительства «О внесении изменений в некоторые акты Правительства Российской Федерации», который подготовлен в целях предотвращения проблем, связанных с массовыми утечками ПДн.
Проект постановления позволяет Роскомнадзору, при условии согласования с органами прокуратуры, осуществлять внеплановые проверки порядка обработки ПДн. Проверки могут осуществляться в отношении операторов ПДн, в том числе являющихся аккредитованными компаниями в области информационных технологий, если будет установлен факт утечки баз ПДн, имеющих признаки принадлежности данному оператору ПДн.
Общественное обсуждение проекта завершилось 28 декабря 2022 года.
Перечень случаев осуществления трансграничной передачи ПДн, при которых не применяются отдельные положения 152-ФЗ
В постановлении определен перечень случаев, когда к операторам, осуществляющим трансграничную передачу ПДн, не применяются требования:
- по уведомлению Роскомнадзора о намерении осуществлять трансграничную передачу;
- по получению и предоставлению определенного перечня сведений от иностранных лиц, которым планируется трансграничная передача ПДн;
- о запрещении или об ограничении трансграничной передачи в целях защиты нравственности, здоровья, прав и законных интересов граждан.
В частности, к таким случаям относятся:
- осуществление и обеспечение международных воздушных и морских перевозок, железнодорожного и автомобильного сообщения;
- обеспечение транспортной безопасности;
- осуществление предупреждения и ликвидации чрезвычайных ситуаций;
- обеспечение безопасности государства и противодействие преступности;
- обеспечение обороны страны;
- оказание правовой помощи по гражданским, семейным, административным и уголовным делам;
- обеспечение предоставления государственных и муниципальных услуг;
- оказание услуг почтовой связи назначенным оператором почтовой связи РФ;
- осуществление международного автоматического обмена финансовой информацией с компетентными органами иностранных государств (территорий);
- осуществление военно-технического сотрудничества РФ с иностранными государствами.
- реализация мероприятий в сфере физической культуры, спорта, культуры, науки и образования;
- обеспечение платежей с использованием платежных систем и платежной инфраструктуры;
- оказание услуг международной телефонной связи, услуг подвижной радиотелефонной связи абонентам, находящимся за пределами территории РФ, услуг спутниковой связи, услуг телеграфной связи и услуг по пропуску трафика.
Постановление вступает в силу с 1 марта 2023 года.
Запрет на передачу ПДн через иностранные мессенджеры
Опубликован Федеральный закон от 29.12.2022 № 584-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации», который запрещает при оказании государственных и муниципальных услуг организациям с государственными участием, а также финансовым организациям использовать иностранное программное обеспечение (далее – ПО) обмена электронными сообщениями (мессенджеры, социальные сети и т.д.) для:
- передачи платежных документов;
- предоставления информации, содержащей ПДн граждан РФ;
- предоставления данных о переводах и иных сведений, необходимых для осуществления платежей;
- предоставления сведения о счетах граждан РФ.
Также Федеральный закон накладывает запрет на подключение платежных систем к иностранным мессенджерам. Перечень запрещенного ПО будет определен Роскомнадзором.
Поправки вступают в силу с 1 марта 2023 года.
Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических персональных данных
Согласно Постановлению будет образован Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрических ПДн (далее – Координационный совет), в состав которого войдут представители Администрации Президента РФ, Министерства цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры РФ), ФСБ России, Роскомнадзора, Центрального банка РФ, ПАО «Ростелеком» и АО «Центр Биометрических Технологий». Также на заседания Координационного совета для участия в обсуждении вопросов могут быть приглашены эксперты из числа представителей федеральных органов исполнительной власти, органов государственной власти субъектов РФ, органов местного самоуправления, представителей общественных, некоммерческих и иных организаций.
Координационный совет будет определять стратегические направления развития биометрических технологий и ЕБС, а также готовить предложения по внедрению ЕБС в различные сферы правоотношений. Также в полномочия Координационного совета будет входить разработка предложений по совершенствованию биометрических технологий, унификации требований к инфраструктуре обработки ПДн с применением биометрических технологий в целях предоставления государственных и муниципальных услуг, а также иных услуг, в том числе в дистанционном формате.
Постановлением также утверждается ролевой состав, структура Координационного совета и порядок организации работы.
Закон о ЕБС
Согласно закону, единая биометрическая система (далее – ЕБС) предназначена для идентификации и (или) аутентификации физических лиц государственными органами, органами местного самоуправления, Центральным банком РФ, банками, иными кредитными организациями, а также некредитными финансовыми организациями, субъектами национальной платежной системы, лицами, оказывающими профессиональные услуги на финансовом рынке, а также в иных в случаях, установленных законодательством.
Закон предусматривает широкий спектр применения ЕБС. Так идентификация и (или) аутентификация физического лица с использованием ЕБС (за исключением региональных сегментов) и единой системы идентификации и аутентификации является действием, равнозначным предъявлению документов, удостоверяющих личность.
С 1 июня 2023 года ЕБС может использоваться при проходе на территории организаций, в том числе организаций оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры или к субъектам КИИ, совершение террористического акта на которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями согласно категорированию. Также предусмотрена возможность использования регионального сегмента ЕБС при проходе на территории ряда других организаций.
До 1 сентября 2024 года действие настоящего Федерального закона будет распространяться на виды биометрических ПДн, соответствующие всем или только одному из видов, размещаемых в ЕБС:
- изображение лица человека, полученное с помощью фотовидеоустройств;
- запись голоса человека, полученная с помощью звукозаписывающих устройств.
С 1 сентября 2024 года действие закона будет распространяться на виды биометрических ПДн, которые будут определены Правительством РФ по согласованию с ФСБ России и Координационным советом.
Помимо этого возможна обработка биометрических ПДн с целью идентификации физических лиц без использования ЕБС при:
- оперативно-разыскной, контрразведывательной или разведывательной деятельности;
- обороне страны, обеспечении безопасности государства и охране правопорядка, реализации внешней политики;
- функционировании государственной системы миграционного и регистрационного учета, а также изготовлении, оформлении и контроле обращения документов, удостоверяющих личность;
- обеспечении санитарно-эпидемиологического благополучия;
- условии, если при осуществлении идентификации и (или) аутентификации проверка соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в информационной системе государственного органа, органа местного самоуправления, Центрального банка РФ, организации, индивидуального предпринимателя, нотариуса, не осуществляется автоматизированным способом, а осуществляется с участием уполномоченного должностного лица.
Законом определен порядок взаимодействия физического лица с ЕБС – закреплена возможность физического лица предоставить согласие на обработку данных в ЕБС, ознакомиться с ранее предоставленными согласиями, отозвать согласия, направить оператору ЕБС требование о блокировании, об удалении, уничтожении биометрических ПДн или векторов ЕБС.
Предоставление физическими лицами своих биометрических ПДн в ЕБС не может быть обязательным, а отказ от предоставления ПДн в ЕБС не может служить основанием для отказа в оказании государственной, муниципальной или иной услуги, выполнении государственных, муниципальных функций, продаже товаров, выполнении работ или отказа в приеме на обслуживание.
Определен порядок действий для аккредитации организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц. Для прохождения аккредитации необходимо обеспечить:
- подключение к ГосСОПКА;
- ограничение доли участия иностранных юридических лиц в уставном капитале не более 49 процентов;
- применение организационных и технических мер по обеспечению безопасности ПДн, предусмотренных в соответствии с частью 4 статьи 19 152-ФЗ;
- наличие лицензии на деятельность, связанную с шифровальными (криптографическими) средствами, и использование шифровальных (криптографических) средств, позволяющих обеспечить безопасность ПДн;
- наличие в штате организации не менее двух работников, осуществляющих деятельность по аутентификации на основе биометрических ПДн, имеющих высшее образование в области информационных технологий или ИБ;
- использование для обработки и хранения биометрических ПДн и векторов ЕБС баз данных, находящихся исключительно на территории РФ;
- выполнение иных требований законодательства.
Законом запрещается идентификация и аутентификация физических лиц с использованием биометрических ПДн, если для этого необходима трансграничная передача этих ПДн, за исключением аутентификации, осуществляемой аккредитованными госорганами или Центральным банком РФ (в случае прохождения им аккредитации).
Закон предусматривает создание, развитие, модернизацию и эксплуатацию региональных сегментов ЕБС, операторами которых могут стать органы исполнительной власти субъекта РФ, а также подведомственные им госучреждения или государственные унитарные предприятия, являющиеся владельцами технических средств и программ, предназначенных для обработки биометрических ПДн и векторов ЕБС, используемых в региональном сегменте ЕБС.
Государственный контроль в сфере идентификации и аутентификации осуществляет Минцифры РФ в соответствии с постановлением Правительства Российской Федерации от 11.10.2021 № 1729 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации» путем осуществления учета объектов контроля, управления рисками, проведения инспекционных визитов, документарных и выездных проверок.
Запрещена обработка биометрических ПДн вне ЕБС в информационных системах организаций, осуществляющих аутентификацию на основе биометрических ПДн физических лиц, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов, за исключением обработки данных для размещения в ЕБС в соответствии с требованиями федеральных законов.
Обработка биометрических ПДн в информационных системах организации допускается с использованием векторов ЕБС при:
- применении организационных и технических мер по обеспечению безопасности ПДн;
- использовании шифровальных (криптографических) средств, позволяющих обеспечить безопасность ПДн от угроз;
- выполнении требований к обработке биометрических ПДн и требований Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
- наличии согласия физического лица на обработку биометрических ПДн в целях проведения его аутентификации;
- прохождении организацией аккредитации.
Обработка ПДн в ГИИС ДМДК
Министерство финансов РФ (далее – Минфин России) представило для общественного обсуждения проект Условий и порядка обработки персональных данных субъектов персональных данных в связи с осуществлением Минфином России функций оператора государственной интегрированной информационной системы в сфере контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них (ГИИС ДМДК) на всех этапах этого оборота.
Согласно проекту в связи с осуществлением Минфином России функций оператора ГИИС ДМДК к субъектам ПДн, чьи данные обрабатываются в ГИИС ДМДК, относятся следующие субъекты, осуществляющие операции с драгоценными металлами и драгоценными камнями и состоящие на специальном учете:
- индивидуальные предприниматели;
- лица, имеющие право без доверенности действовать от имени юридического лица, а также учредители и бенефициарные владельцы юридического лица;
- физические лица (в определенных случаях, установленных документом).
В рамках деятельности по учету драгоценных металлов, камней и изделий из них могут обрабатываться следующие ПДн граждан РФ, иностранных граждан и лиц без гражданства:
- фамилия, имя, отчество (при наличии);
- гражданство;
- число, месяц и год рождения, а также место рождения;
- адрес регистрации;
- документ, удостоверяющий личность (тип, серия, номер, дата выдачи, кем выдан);
- и другие.
Обработку ПДн, необходимых в связи с внесением в ГИИС ДМДК сведений о ювелирных и других изделиях из драгоценных металлов или камней, предлагается осуществлять без согласия субъектов ПДн.
Общественное обсуждение документа завершилось 26 декабря 2022 года.
Изменения в списке контрольных вопросов для проверок в области обработки ПДн
Согласно проекту приказа изменения в перечне контрольных вопросов связаны с вступлением ряда изменений в Федеральный закон от 27.07.2006 № 152 «О персональных данных» (далее – 152-ФЗ) на основании Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», в частности изменения затронут вопросы о:
- поручении обработки ПДн, в части соблюдения требований по определению перечня ПДн, действий с ПДн, целей обработки, а также по предоставлению информации о соблюдении условий обработки ПДн;
- соблюдении требований по обработке биометрических ПДн и предоставлении соответствующего согласия на их обработку;
- уведомлении о трансграничной передаче ПДн;
- разъяснении субъекту последствий отказа от предоставления ПДн или согласия на их обработку;
- и иные.
Также список дополнится вопросами, которые касаются соблюдения требований по:
- организации трансграничной передачи ПДн: направлению уведомления в Роскомнадзор и предоставлению необходимых для этого данных;
- уведомлению Роскомнадзора об инцидентах с ПДн;
- уведомлению надзорного органа об изменениях в ранее поданном уведомлении об обработке ПДн;
- соблюдению сроков работы с обращениями субъектов ПДн.
Общественное обсуждение завершилось 27 декабря 2022 года.
Новые полномочия Роскомнадзора по привлечению к ответственности без проверок
29 декабря вступил в силу Федеральный закон от 29.12.2022 № 625-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», согласно которому Роскомнадзор сможет на основании результатов мониторинга информационных ресурсов, средств массовой информации и других источников привлекать к ответственности за нарушения законодательства.
Принятие мер о привлечении к ответственности по итогам мониторинга будет проводиться при обнаружении нарушений без проведения проверок и непосредственного взаимодействия с владельцем объекта проверки.
В частности, к ответственности за нарушения в области ПДн могут привлечь по следующим статьям КоАП РФ:
Статья КоАП РФ |
Нарушение |
Ответственность |
Кого могут привлечь без проведения проверки |
13.11 (ч. 1, 1.1) |
Обработка ПДн в случаях, не предусмотренных законодательством, или обработка, несовместимая с целями сбора ПДн (за исключением обработки ПДн без согласия субъекта ПДн или незаконного распространения сведений о защищаемых лицах), если эти действия не содержат уголовно наказуемого деяния | При первичном нарушении штраф: - до 6 тысяч руб. (для граждан) - до 20 тысяч руб. (для должностных лиц) - до 100 тысяч руб. (для юридических лиц) |
Физическое лицо, юридическое лицо |
13.11 (ч. 2, 2.1) |
Обработка ПДн субъекта, если требуемое согласие не было получено в письменной форме или нарушены требования к составу сведений, включаемых в согласие, если эти действия не содержат уголовно наказуемого деяния | При первичном нарушении штраф: - до 10 тысяч руб. (для граждан) - до 40 тысяч руб. (для должностных лиц) - до 150 тысяч руб. (для юридических лиц) |
Физическое лицо, юридическое лицо |
13.11 (ч. 3) |
Невыполнение оператором ПДн обязанности по опубликованию или обеспечению неограниченного доступа к политике оператора в отношении обработки ПДн или сведениям о реализуемых требованиях к защите ПДн | Штраф: - до 3 тысяч руб. (для граждан) - до 12 тысяч руб. (для должностных лиц) - до 20 тысяч руб. (для индивидуальных предпринимателей) - до 60 тысяч руб. (для юридических лиц) |
Средства массовой информации |
13.11 (ч. 4) |
Невыполнение оператором ПДн обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн | Штраф: - до 4 тысяч руб. (для граждан) - до 12 тысяч руб. (для должностных лиц) - до 30 тысяч руб. (для индивидуальных предпринимателей) - до 80 тысяч руб. (для юридических лиц) |
Физическое лицо, юридическое лицо |
13.11 (ч. 5, 5.1) |
Невыполнение оператором ПДн в установленные сроки требований об уточнении ПДн, их блокировании или уничтожении в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки | Штраф: - до 4 тысяч руб. (для граждан) - до 20 тысяч руб. (для должностных лиц) - до 40 тысяч руб. (для индивидуальных предпринимателей) - до 90 тысяч руб. (для юридических лиц) |
Средства массовой информации |
13.11 (ч. 6) |
Невыполнение оператором при обработке ПДн без использования средств автоматизации обязанности по сохранности ПДн при хранении материальных носителей ПДн и исключении НСД к ним, если это повлекло к инциденту ПДн (при отсутствии признаков уголовно наказуемого деяния) | Штраф: - до 4 тысяч руб. (для граждан) - до 20 тысяч руб. (для должностных лиц) - до 40 тысяч руб. (для индивидуальных предпринимателей) - до 100 тысяч руб. (для юридических лиц) |
Средства массовой информации, вещатели или издатели информации |
Также в законе упоминается ряд других статей КоАП РФ, по которым Роскомнадзор может привлечь физических и юридических лиц, средства массовой информации, вещателей или издателей информации к административной ответственности без проведения проверок.
Также изменениями предусмотрен штраф за непредоставление операторами связи Роскомнадзору информации, необходимой для осуществления мониторинга.
Отраслевые изменения
Расширен перечень субъектов, на которых возлагаются требования о защите информации в платежной системе
Официально опубликовано постановление Правительства Российской Федерации от 08.12.2022 № 2250 «О внесении изменения в Положение о защите информации в платежной системе».
Изменениями расширен перечень операторов, на которых распространяются требования по защите информации в платежной системе. Перечень в новой редакции включает:
- операторов по переводу денежных средств;
- банковских платежных агентов (субагентов);
- операторов услуг информационного обмена;
- поставщиков платежных приложений;
- операторов платежных систем;
- операторов услуг платежной инфраструктуры;
- операторов электронных платформ в платежной системе.
Профессиональная тайна в ведении Главного управления специальных программ Президента РФ и ее защита
Приказом определен перечень сведений о пунктах управления государством и Вооруженными Силами РФ, иных специальных объектах мобилизационного назначения и объектах их инфраструктуры, составляющих профессиональную тайну. Среди них есть сведения о мероприятиях в сфере информационной безопасности (далее – ИБ), например:
- сведения, раскрывающие вопросы организации, совершенствования и развития системы защиты информации ограниченного доступа;
- сведения, раскрывающие перечни режимных помещений, с указанием номеров печатей, которыми опечатываются режимные помещения, и сведения о сотрудниках, имеющих право на вскрытие режимных помещений;
- сведения, раскрывающие требования к защите информации, предъявляемые к создаваемым (модернизируемым) объектам информатизации или СрЗИ, предназначенных для работы с информацией ограниченного доступа;
- и иные.
Также приказом устанавливаются требования к защите таких сведений, в частности, лица, имеющие допуск к указанным сведениям, должны выполнять ряд мероприятий по их защите, в том числе своевременно обнаруживать факты несанкционированного доступа к информации. Помимо этого на документах, отнесенных к указанному перечню, необходимо проставлять пометку «Для служебного пользования».
Культура информационной безопасности граждан
Официально опубликовано распоряжение Правительства Российской Федерации от 22.12.2022 № 4088-р, которым утверждается Концепция формирования и развития культуры ИБ граждан РФ (далее – Концепция).
Концепция содержит описание двух основных типов угроз безопасности – с технической точки зрения и психологической.
С технической точки зрения угрозы подразумевают под собой утечки ПДн, нарушение работоспособности информационных систем и иные, с психологической – травлю в сети «Интернет», распространение «фейков» и вредоносного контента.
В Концепции также определены основные задачи, направленные на формирование культуры ИБ и противодействие угрозам ИБ:
- повышение доверия к государственным цифровым сервисам;
- проведение мониторинга уровня грамотности граждан;
- обучение населения новым образцам поведения, основанным на личных правилах сетевой безопасности;
- повышение уровня осведомленности об интернет-угрозах.
Особое внимание предлагается уделить людям в возрасте до 18 лет и после 45, как наиболее уязвимым категориям граждан.
Проекты ФСТЭК России по лицензированию видов деятельности
Порядок лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации
Для общественного обсуждения представлен проект Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации.
Данный проект приказа отменяет действующий приказ ФСТЭК России от 17.07.2017 № 133 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации» и излагает процедуры осуществления лицензирования деятельности в новой редакции. Порядок подачи сведений для получения лицензии и перечень сведений не претерпели серьезных изменений, однако, в самом регламенте были исключены все положения, в которых получение лицензии представлено как процесс предоставления государственной услуги. Основанием для таких изменений является вступление в силу с 03.02.2023 пункта 7 части 2.3 статьи 1 Федерального закона от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (далее – 210-ФЗ), в соответствии с которым устанавливается, что виды деятельности, осуществляемые ФСТЭК России, не являются предоставлением государственных и муниципальных услуг.
Также в проекте приказа утверждаются формы, необходимые для подачи заявления о предоставлении лицензии, иных документов, используемых при лицензировании деятельности. Утверждаемые формы также не претерпели серьезных изменений, лишь некоторые формулировки были раскрыты с целью уточнения требований.
Общественное обсуждение проекта завершилось 27 декабря 2022 года.
Порядок лицензирования деятельности по технической защите конфиденциальной информации
Руководствуясь изменениями в 210-ФЗ, описанными выше, ФСТЭК России для общественного обсуждения представлен проект Порядка осуществления Федеральной службой по техническому и экспортному контролю лицензирования деятельности по технической защите конфиденциальной информации.
Проект приказа ФСТЭК России отменяет действующий приказ ФСТЭК России от 17.07.2017 № 134 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации». В проекте изложены процедуры осуществления лицензирования деятельности в новой редакции с небольшими корректировками и уточнениями, а также исключены положения, касающиеся описания процесса получения лицензии как предоставления государственной услуги.
Общественное обсуждение завершилось 27 декабря 2022 года.
Регламенты лицензионной деятельности ФСТЭК России
С учетом указанных ранее оснований были представлены на обсуждение проекты приказов ФСТЭК России по обновлению регламентов осуществления функции по лицензированию деятельности:
- Об утверждении Регламента осуществления Федеральной службой по техническому и экспортному контролю функции по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации.
- Об утверждении Регламента осуществления Федеральной службой по техническому и экспортному контролю функции по лицензированию деятельности по технической защите конфиденциальной информации.
Оба проекта включают образцы некоторых прежних документов:
- формы заявлений о предоставлении лицензии и внесении изменений;
- описание технологического процесса обработки информации в автоматизированных системах (далее – АС);
- перечень защищаемых в АС ресурсов и иные.
В проектах исключена Форма Сведений о наличии аттестованных по требованиям безопасности информации АС, предназначенных для хранения и обработки конфиденциальной информации и добавлена новая форма для указания Перечня производственного, контрольно-измерительного, испытательного оборудования, средств защиты информации, средств контроля защищенности информации, средств контроля (анализа) исходных текстов ПО.
В проекты были добавлены формы ряда уведомлений, например, о необходимости устранения в тридцатидневный срок выявленных нарушений и (или) представления документов, которые отсутствуют, о внесении изменений в реестр лицензий и другие, а также форма Акта оценки соответствия лицензионным требованиям.
Общественное обсуждение завершилось 28 декабря 2022 года.
Требования по безопасности информации к средствам контейнеризации
ФСТЭК России в информационном письме «Об утверждении Требований по безопасности информации к средствам контейнеризации» сообщает, что указанный документ предназначен для организаций, осуществляющих разработку средств контейнеризации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации.
Для дифференциации требований по безопасности информации к средствам контейнеризации устанавливается 6 классов защиты. Самый низкий класс – шестой, самый высокий – первый.
Документ определяет минимально необходимые требования по безопасности информации, предъявляемые к:
- уровню доверия средства контейнеризации и хостовой операционной системе;
- составу функций безопасности средства контейнеризации;
- изоляции контейнеров;
- выявлению уязвимостей в образах контейнеров;
- проверке корректности конфигурации контейнеров;
- контролю целостности контейнеров и их образов;
- регистрации событий безопасности;
- управлению доступом;
- идентификации и аутентификации пользователей;
- централизованному управлению образами контейнеров и контейнерами в средстве контейнеризации.
Сертификация средств контейнеризации осуществляется на соответствии Требованиями с 29 сентября 2022 года.
Также ранее была опубликована соответствующая выписка из Требований по безопасности информации к средствам контейнеризации, утвержденных приказом ФСТЭК России от 04.07.2022 № 118.
Стандарты
ГОСТы по управлению компьютерными инцидентами
Представлены официальные тексты ГОСТов по управлению компьютерными инцидентами:
- ГОСТ Р 59709-2022 «Защита информации. Управление компьютерными инцидентами. Термины и определения»;
- ГОСТ Р 59710-2022 «Защита информации. Управление компьютерными инцидентами. Общие положения»;
- ГОСТ Р 59711-2022 «Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами».
- ГОСТ Р 59712-2022 «Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты».
Разработанные стандарты регламентируют процессы управления компьютерными инцидентами и предназначены для участников информационного обмена с ГосСОПКА.
ГОСТы введены в действие с 1 февраля 2023 года.
ГОСТ Р МЭК 63096 «Атомные электростанции. Системы контроля и управления и электроэнергетические системы. Меры информационной безопасности»
На сайте ФСТЭК России можно ознакомиться с проектом (первой редакцией) ГОСТ Р МЭК 63096 «Атомные электростанции. Системы контроля и управления и электроэнергетические системы. Меры информационной безопасности», разработанным техническим комитетом по стандартизации «Атомная техника», разработанным техническим комитетом по стандартизации «Атомная техника».
Стандарт идентичен стандарту международной электротехнической комиссии (далее – МЭК) 63096:2020 «Атомные электростанции. Системы контроля и управления и электроэнергетические системы. Меры обеспечения информационной безопасности» и предназначен для использования при проектировании систем контроля и управления для новых атомных электростанций (далее – АЭС) и при их модернизации и модификации для существующих АЭС. Также он может применяться и к другим типам ядерных объектов.
Стандарт разрабатывается в связи с отсутствием отечественных стандартов на основе стандартов МЭК, а также с целью унификации требований к системам контроля и управления.
Также в стандарте рассматриваются датчики, исполнительные механизмы и электрические системы, относящиеся к контуру систем контроля и управления. В стандарте определяются меры обеспечения ИБ для управления доступом и физической защиты систем контроля и управления атомных электростанций и электрических систем от кибератак.
Рассмотрение первой редакции стандарта руководителями организаций-членов ТК 362 завершилось 20 января 2023 года.
Профессиональный стандарт «Специалист по ИБ в кредитно-финансовой сфере»
Официально опубликован приказ Министерства труда и социальной защиты Российской Федерации от 28.11.2022 № 739н «Об утверждении профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере», содержащих описание трудовых функций специалистов:
- обеспечение функционирования средств и систем защиты информации в организациях кредитно-финансовой сферы (далее – КФС);
- управление инцидентами ИБ в организациях КФС;
- аналитическое и организационное сопровождение деятельности по управлению рисками ИБ в организациях КФС;
- методологическое обеспечение процессов ИБ в организациях КФС;
- контроль обеспечения ИБ и обеспечение операционной надежности (киберустойчивости) в организациях КФС;
- организация процессов обеспечения ИБ в организациях КФС.
Стандарт описывает необходимые знания и умения, возможные наименования должностей, профессий, а также требования к условиям работы, допуску, образованию и иное.
Приказ вступает в силу с 1 сентября 2023 года.
Результаты работы ТК 362
О ходе работ на 26.12.2022
На сайте ФСТЭК России опубликована Справка-доклад о ходе работ по плану технического комитета по стандартизации «Защита информации» (ТК 362) на 2022 год (по состоянию на 26.12.2022).
Согласно справке:
- Разработана и представлена на рассмотрение заместителю председателя технического комитета по стандартизации «Защита информации» (далее – ТК 362) первая редакция проекта стандарта ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества». В феврале 2023 года планируется представить ее председателю ТК 362 для принятия решения об организации публичного обсуждения.
- ООО «ЦБИ» проводит работы по разработке окончательной редакции проектов следующих национальных стандартов:
- ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения»;
- ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (идентичный на основе ISO/IEC 15408-1:2022);
- ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (идентичный на основе ISO/IEC 15408-2:2022).
- АО «НПО «Эшелон» проводятся работы по разработке окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по оценке безопасности разработки программного обеспечения».
- АО «Аладдин Р.Д.» проводятся работы по разработке окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации».
Для утверждения председателю ТК 362 представлен план работы ТК 362 на 2023 год, а также укрупненный план-график работы ТК 362 на 2023 год.
Отчет ТК 362 за 2022 год
Председателю ТК 362 и в Федеральное агентство по техническому регулированию и метрологии (далее – Росстандарт) представлен отчет о результатах деятельности ТК 362 за 2022 год.
За 2022 год:
- 6 стандартов разработаны и представлены в Росстандарт;
- в Росстандарт направлен протокол заседания ТК 362 об отмене действующего национального стандарта ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации»;
- проведены работы по разработке 17 проектов национальных стандартов;
- проведено 4 заседания рабочих групп;
- проведена экспертиза 18 проектов документов по стандартизации, разработанных смежными техническими комитетами по стандартизации;
- направлено председателю ТК 228 соглашение о взаимодействии между техническими комитетами по стандартизации ТК 228 «Средства надежного хранения и безопасности» ТК 362;
- в состав ТК 362 были включены 10 организаций, из состава исключена 1 организация;
- и т. д.
Нормотворческие планы ФСТЭК России на 2023 год
Представлен План разработки ФСТЭК России нормативных правовых актов на 2023 год. Многие проекты относятся к лицензированию деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации, которые уже упоминались выше. Также представлен проект указа Президента РФ «Об утверждении Положения о государственной системе защиты информации в Российской Федерации» и ряд проектов приказов ФСТЭК России:
- Об утверждении Порядка аттестации экспертов органов по сертификации и специалистов испытательных лабораторий;
- О внесении изменений в Правила выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности, утвержденные приказом ФСТЭК России от 10 апреля 2015 г. № 33;
- Об утверждении Порядка проведения проверки соблюдения лицензионных требований лицензиатами, осуществляющими деятельность по технической защите конфиденциальной информации и о признании утратившим силу приказа ФСТЭК России от 20 июля 2012 г. № 89 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации»;
- Об утверждении Порядка проведения проверки соблюдения лицензионных требований лицензиатами, осуществляющими деятельность по разработке и производству средств защиты конфиденциальной информации и о признании утратившим силу приказа ФСТЭК России от 20 июля 2012 г. № 90 «Об утверждении Административного регламента Федеральной службы по техническому и экспортному контролю по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по разработке и производству средств защиты конфиденциальной информации»;
- Об утверждении Порядка организации и осуществления Федеральной службой по техническому и экспортному контролю федерального государственного контроля за обеспечением защиты государственной тайны;
- Об утверждении Порядка проведения сертификации процессов безопасной разработки программного обеспечения средств защиты информации.