Автор: Татьяна Пермякова, старший аналитик
Проекты нормативно-правовых актов в отношении контроля обработки и защиты ПДн
Правила контроля за выполнением организационных и технических мер по обеспечению безопасности персональных данных для ФСТЭК России и ФСБ России
2 октября опубликовано постановление Правительства Российской Федерации № 1657 «Об утверждении Правил осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями и нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации", организационных и технических мер по обеспечению безопасности персональных данных и использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации"».
Постановление утверждает правила осуществления контроля ФСТЭК России и ФСБ России за выполнением требований по обеспечению безопасности персональных данных (ПДн) при использовании единой биометрической системы операторами ПДн. Постановление фиксирует формы, основания и порядок проведения проверок, содержит указания к формированию комиссии органа государственного контроля, допустимые меры, принимаемые контролирующим органом в отношении фактов нарушения требований, а также признаки, по которым можно считать результаты проверки недействительными.
Внесение изменений в Положение о государственном контроле (надзоре) за обработкой персональных данных (проект)
Минцифры1 опубликовало проект постановления Правительства Российской Федерации «О внесении изменений в положение о федеральном государственном контроле (надзоре) за обработкой персональных данных».
Постановление вводит ключевой показатель федерального контроля – долю контролируемых лиц, в деятельности которых по итогам плановых проверок выявлены нарушения законодательства в области ПДн.
Прогноз оптимистичный: целевое значение доли контролируемых лиц, в деятельности которых планируется выявить нарушения законодательства в области ПДн от общего числа контролируемых лиц к 2026 году (86%) снизится на 4 % относительно 2022 года (90%).
Общественное обсуждение проекта завершилось 18 октября.
Индикативные показатели для контроля за обработкой персональных данных
Минцифры России подготовило проект ведомственного приказа «Об утверждении индикативных показателей для федерального государственного контроля (надзора) за обработкой персональных данных».
Приказ вводит 20 показателей. Они применяются для мониторинга федерального государственного контроля за обработкой ПДн, его анализа, выявления проблем, возникающих при его осуществлении, и определения причин их возникновения. Устанавливаемые показатели формируются с учетом реализуемого риск-ориентированного подхода при осуществлении надзора. Сведения об индикативных показателях используются при подготовке ежегодного доклада Роскомнадзора.
Общественное обсуждение проекта завершается 4 ноября.
Индикаторы риска нарушения требований по надзору за обработкой персональных данных
К обсуждению представлен еще один проект ведомственного приказа Минцифры «Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) за обработкой персональных данных».
Перечень индикаторов риска содержит 2 позиции: риски, связанные с невыполнением требований по уточнению, блокированию или уничтожению данных, а также с распространением, предоставлением ПДн в сети Интернет.
Общественное обсуждение проекта завершается 4 ноября.
Государственный контроль в сфере идентификации и аутентификации
13 октября официально опубликовано постановление Правительства Российской Федерации от 11.10.2021 № 1729 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации».
Документ устанавливает порядок организации и осуществления государственного надзора в отношении аккредитованных организаций, осуществляющих идентификацию и (или) аутентификацию физических лиц с использованием их биометрических персональных данных.
Надзор осуществляется Минцифры. Положение содержит описание порядка проведения плановых проверок, правила сбора свидетельств нарушения требований и оформления результатов контрольных мероприятий. Приложение к Положению содержит критерии отнесения объектов федерального государственного контроля в сфере идентификации и аутентификации к категориям риска причинения вреда (ущерба) охраняемым законом ценностям. Само положение содержит порядок управления рисками причинения такого вреда.
Документ вступает в силу с 1 января 2022 года.
Аккредитация для идентификации и аутентификации с использованием биометрии
Официально опубликовано постановление Правительства Российской Федерации от 20.10.2021 г. № 1799 «Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц».
Аккредитацию проводит Минцифры. Постановление утверждает порядок подачи и приема заявления на аккредитацию, сроки и порядок принятия решения Минцифры об аккредитации или об отказе в аккредитации, а также порядок приостановления и прекращения действия аккредитации. Организации, не прошедшие аккредитацию, обязаны будут прекратить использование биометрии для идентификации и аутентификации физических лиц или заключить договор на использование для этих целей информационных систем других аккредитованных организаций.
Правила вступают в силу с 1 января 2022 года (для иностранных юридических лиц – с 1 марта 2022 года) и действуют до 1 января 2028 года.
Определен также перечень случаев, в которых нужна аккредитация
26 октября опубликовано постановление Правительства Российской Федерации от 23.10.2021 № 1815 «Об утверждении перечня случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также случаев использования организациями, за исключением кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 761 Федерального закона «О Центральном банке Российской Федерации (Банке России)» виды деятельности, субъектами национальной платежной системы, индивидуальными предпринимателями указанных информационных систем для идентификации либо идентификации и аутентификации физического лица, выразившего согласие на их проведение».
-
Перечень включает случаи идентификации и (или) аутентификации:
- водителей такси;
- водителей каршеринга;
- с использованием СКУД (за рядом исключений);
- участников гражданско-правовых сообществ (за рядом исключений).
Документ вступает в силу с 1 марта 2022 года и действует до 1 марта 2028 года.
О порядке обработки биометрии
Официально опубликован приказ Минцифры от 10.09.2021 № 930 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».
Порядок обработки распространяется на данные изображения лица и данные голоса, собранные текстонезависимым методом. Приказ содержит порядок защиты указанных биометрических ПДн, требования к уведомлению об инцидентах ИБ, проведении оценки соответствия, хранению биометрических данных. Закреплены требуемые характеристики создаваемых образцов биометрических данных, подлежащих контролю качества.
Установлены условия и порядок размещения биометрических ПДн в единой биометрической системе, а также условия и сроки обязательного обновления данных.
Приказ вступает в силу с 1 марта 2022 года и действует до 1 марта 2028 года.
Изменения в Положение о контроле в сфере электронной подписи (проект)
Для общественного обсуждения представлен проект постановления Правительства Российской Федерации «О внесении изменений в Положение о государственном контроле (надзоре) в сфере электронной подписи».
Проект предлагает дополнить Положение о государственном контроле (надзоре) в сфере электронной подписи ключевыми показателями федерального государственного контроля (надзора) в сфере электронной подписи и их целевыми значениями.
Еще один оптимистичный прогноз: согласно предлагаемым изменениям, целевой показатель соотношения контролируемых лиц, которые получат повторные предписания, к общему количеству контролируемых лиц, в отношении которых выданы первичные предписания, к 2026 году уменьшится на 25% (по сравнению с целевым показателем 2022 года).
Обсуждение проекта завершено 1 ноября.
Изменения в перечень должностных лиц ФСБ России, уполномоченных составлять протоколы об административных правонарушениях
ФСБ России опубликовала проект приказа «О внесении изменений в приказ ФСБ России от 11 декабря 2013 г. № 747 «Об утверждении Перечня должностных лиц органов федеральной службы безопасности, уполномоченных составлять протоколы об административных правонарушениях, и о реализации отдельных положений Кодекса Российской Федерации об административных правонарушениях в органах федеральной службы безопасности» и утвержденный этим приказом Перечень».
Проект предлагает расширить перечень лиц, уполномоченных составлять протоколы об административных правонарушениях, перечисленных в части 1 статьи 23.91 КоАП РФ.
Независимая антикоррупционная экспертиза проекта завершена 1 ноября.
Изменение требований к средствам удостоверяющего центра (проект)
ФСБ России опубликовала проект приказа «О внесении изменений в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. № 796».
Предлагается изменение изложения мер по обеспечению защиты механизма формирования меток доверенного времени при подключении средств, реализующих его, к сети Интернет, защиты от сетевых атак, вредоносного кода, обнаружения (предотвращения) вторжений, криптографической защите, а также доверенной загрузки средств вычислительной техники.
Публичное обсуждение проекта завершилось 27 октября. Согласно текущей версии проекта, планируемый срок действия приказа – с 1 марта 2022 года до 1 января 2027 года.
Правила обращения со служебной тайной (проект)
Министерство обороны опубликовало проект постановления Правительства Российской Федерации «Об утверждении Правил обращения со сведениями, составляющими служебную тайну в области обороны». Проект предназначен для органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций, участвующих в организации и выполнении мероприятий в области обороны.
Проект содержит описание понятия служебная тайна, порядок отнесения сведений к служебной тайне и перечень информации, которая не может быть к ней отнесена. Правила содержат описание реквизитов документов, содержащих служебную тайну, закрепляет ответственность должностных лиц при допуске к работе с такими сведениями. Также фиксируются порядок приема, отправки, учета и уничтожения документов, содержащих служебную тайну, и проверки наличия таких документов.
Публичное обсуждение проекта завершилось 25 октября.
Изменения в Положении о сертификации средств защиты информации
Официально опубликован Приказ Федеральной службы по техническому и экспортному контролю от 05.08.2021 № 121 «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55».
В соответствии с приказом, серийно производимое средство защиты информации (СрЗИ) считается сертифицированным, если оно произведено в срок действия сертификата, соответствует требованиям по безопасности и изготовитель осуществляет его техническую поддержку. Срок действия сертификата единичного средства (или партии) не устанавливается.
Приказ вносит также ряд изменений и дополнений к описанию порядка подготовки образцов для сертификационных испытаний, их проведения, взаимодействия органа сертификации и производителя СрЗИ.
Дополнительные требования для некоторых объектов КИИ
Вступило в силу постановление Правительства Российской Федерации от 24 июля 2019 г. № 955 «Об утверждении требований к автоматизированной информационной системе оформления воздушных перевозок, к базам данных, входящим в ее состав, к информационно-телекоммуникационной сети, обеспечивающей работу указанной автоматизированной информационной системы, к ее оператору, а также мер по защите информации, содержащейся в ней, и порядка ее функционирования».
Документ закрепляет дополнительные требования обеспечения информационной безопасности для объектов КИИ сферы транспорта, а именно воздушных перевозок. Среди требований – размещение баз данных и серверов на территории Российской Федерации, а также применение сертифицированных средств криптографической защиты информации.
______________________
1 Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации