Обзор изменений в законодательстве за сентябрь 2021

Внесение изменений в Положения о лицензировании отдельных видов деятельности

ФСБ России 27 сентября 2021 г. повторно выступила с инициативой проекта постановления Правительства Российской Федерации «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности» (далее – Проект ПП РФ). Первую версию данного проекта мы рассматривали в июльском обзоре изменений законодательства этого года . Вступление Проекта ПП РФ в силу предполагается с 1 марта 2022 г.

К изменениям Проектом ПП РФ предлагаются:
• Положение о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, утвержденное постановлением Правительства Российской Федерации от 12 апреля 2012 г. № 287;
• Положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, утвержденное постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 313;
• Положении о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), утвержденное постановлением Правительства Российской Федерации от 16 апреля 2012 г. № 314.

Основным предлагаемым изменением остается запрет на осуществление лицензируемой деятельности иностранными юридическими лицами. Также Проектом ПП РФ уточняется, что оценка соответствия лицензионным требованиям соискателя лицензии проводится в форме документарной и выездной оценок. Предоставление же соискателем лицензии заявления и документов, необходимых для получения лицензии, осуществляются в форме электронных документов (пакета электронных документов) или на бумажном носителе.

Государственный контроль (надзор) за обработкой персональных данных (далее – ПДн)

На официальном интернет-портале правовой информации 21 сентября 2021 г. был опубликован Приказ Минцифры России № 686 «О признании утратившими силу приказа Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» и внесенных в него изменений» и внесенных в него изменений» (далее – Приказ № 686). Приказ № 686 вступил в силу 2 октября 2021 г.

Приказом № 686 признаются утратившими силу:
• Приказ Минцифры России от 14 ноября 2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»;
• Приказ Минцифры России от 8 октября 2014 г. № 403 «О внесении изменений в Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. № 312».

Стоит отметить, что теперь государственный контроль (надзор) будет осуществляться в соответствии с постановлением Правительства Российской Федерации от 29 июня 2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных» . Данное постановление мы рассматривали в июньском обзоре за 2021 г.

Требования по обработке биометрических ПДн

Приказ Минцифры России от 27 августа 2021 г. № 896 «Об утверждении требований к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа организации, владеющей информационной системой, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающей услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц» (далее – Приказ № 896) официально опубликован 17 сентября 2021 г.

Приказ № 896 устанавливает часть требований для прохождения организациями аккредитации для допуска к сбору и обработке используемых для аутентификации биометрических ПДн в информационных системах (далее – ИС) организаций, в том числе организаций финансового рынка, осуществляющих такую идентификацию и (или) аутентификацию. Требования к таким ИС установлены статьей 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации информационных технологиях и о защите информации» (далее – ФЗ № 149). Большая часть указанных требований, как и Приказ № 869 вступают в силу с 1 марта 2022 г. и будут действовать до 1 марта 2028 г.

Приказ Минцифры России от 6 августа 2021 г. № 816 «Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных, а также об определении степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения идентификации, предусмотренной Федеральным законом от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации "» (далее – Приказ № 816) официально опубликован 8 сентября 2021 г.

Приказом № 816 отменяется действующая ранее методика, определенная приказом Минцифры России от 21 июня 2018 г. № 307 «Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также об определении степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения идентификации, предусмотренной Федеральным законом от 27 июля 2006 года № 149-Ф3 "Об информации, информационных технологиях и о защите информации"».

Приказом № 816 установлено, что в отношении биометрических ПДн, используемых в соответствии с частями 18 и 18.14 статьи 14.1 ФЗ № 149 для идентификации, степень взаимного соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в ИС, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических ПДн, достаточная для проведения идентификации физического лица, составляет не менее 0,9999.

Также 3 сентября 2021 г. официально опубликован приказ Минцифры России от 7 июля 2021 г. № 685 «Об определении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, требованиям, определенным в соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-Ф3 "Об информации, информационных технологиях и о защите информации"» (далее – Приказ № 685). Приказ № 685 замещает ранее действующий приказ Минцифры России от 25 июня 2018 г. № 323 № «Об утверждении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации, требованиям к информационным технологиям и техническим средствам, предназначенным для указанных целей».

Порядок уничтожения обезличенных ПДн субъектами экспериментального правового режима

Минцифры России 2 сентября 2021 г. опубликовало проект Приказа «Об утверждении порядка уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима» (далее – Проект Приказа).

Требования Проекта Приказа будут распространяться на субъектов экспериментального правового режима в сфере цифровых инноваций в случае прекращения такого статуса в соответствии с Федеральным законом от 31 июля 2020 г. № 258-ФЗ ‎«Об экспериментальных правовых режимах в сфере цифровых инноваций ‎в Российской Федерации».

Планируемый порядок уничтожения ПДн, полученных ‎в результате обезличивания (далее – обезличенные данные), включает в себя следующее действия:

• субъект экспериментального правового режима не позднее окончания рабочего дня, следующего за днем прекращения статуса, осуществляет блокирование обезличенных данных и, в срок, не превышающий 7 рабочих дней с даты наступления такого случая, уничтожает обезличенные данные;
• факт уничтожения обезличенных данных фиксируется субъектом экспериментального правового режима в акте об их уничтожении (далее – акт), который составляется и подписывается субъектом экспериментального правового режима;
• в акт необходимо включить следующую информацию: о дате, времени и месте составления акта; о носителях обезличенных данных, позволяющая однозначным образом идентифицировать их; о перечне и объеме уничтоженной информации; о средствах защиты информации, посредством которых осуществлено уничтожение.
• акт составляется в четырех экземплярах;
• субъект экспериментального правового режима в течение 3 рабочих дней со дня уничтожения обезличенных данных направляет в контрольно-надзорные органы (Роскомнадзор, ФСБ России, Минцифры России) подписанный акт с приложением документов, материалов и иной информации, подтверждающей факт уничтожения обезличенных данных (далее – документы). В случае не предоставления, несвоевременного предоставления или не полного предоставления документов в отношении субъекта экспериментального правового режима может быть принято решение о проведении контрольных (надзорных) мероприятий.

Для уничтожения обезличенных данных должны применятся прошедшие процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.

Соглашение о взаимной правовой помощи по административным вопросам в сфере обмена ПДн

В Государственную Думу Федерального Собрания Российской Федерации 28 сентября 2021 г. был внесен законопроект «О ратификации Соглашения о взаимной правовой помощи по административным вопросам в сфере обмена персональными данным».

Соглашение о взаимной правовой помощи по административным вопросам в сфере обмена персональными данными (далее – Соглашение) было подписано в Москве 18 декабря 2020 г. Сторонами Соглашения являются государства- участники Содружества Независимых Государств.

Ратифицируемое Соглашение предлагает следующее определение термина ПДн – любая информация, прямо или косвенно относящаяся к физическому лицу, либо идентифицированному, либо которое может быть идентифицировано.

Перечень индикаторов риска нарушения обязательных требований в сфере электронной подписи

Минцифры России 15 сентября 2021 г. опубликовало проект Приказа «Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи».

В перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, в частности, планируется включить:

• Ненаправление аккредитованным удостоверяющим центром в течение квартала с момента получения аккредитации сведений о выданных квалифицированных сертификатах ключей проверки электронной подписи (далее – квалифицированный сертификат) в единую систему идентификации и аутентификации (ЕСИА).
• Ненаправление аккредитованным удостоверяющим центром в течение квартала с момента последнего направления сведений о выданных квалифицированных сертификатах в ЕСИА.
• Наделение удостоверяющим центром третьих лиц (доверенных лиц) полномочиями по приему заявлений на выдачу сертификатов ключей проверки электронной подписи, а также вручению сертификатов.

Отчетность по защите информации для Банка России

Центральным Банком России 30 сентября 2021 г. опубликован проект указания «О внесении изменений в Указание Банка России от 8 октября 2018 года № 4927-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации"» (далее – Проект Указания).

Проектом Указания предлагается дополнить формы отчетности кредитных организаций формой 0409071 «Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации». Предполагаются следующие сроки представления формы 0409071 кредитными организациями в Банк России:

• не реже одного раза в год не позднее тридцати рабочих дней со дня завершения проведения оценки соответствия, согласно требованию, установленному подпунктом 1.5.3 пункта 1.5 Положения Банка России от 20 апреля 2021 года № 757-П, при совмещении деятельности с деятельностью некредитной финансовой организации, указанной в подпункте 1.4.2 пункта 1.4 Положения Банка России от 20 апреля 2021 года № 757-П;
• не реже одного раза в два года не позднее тридцати рабочих дней со дня завершения проведения оценки соответствия согласно требованиям, установленным пунктом 9 Положения Банка России от 17 апреля 2019 г. № 683-П при осуществлении банковской деятельности, пунктом 2.3 и 6.7 Положения Банка России от 4 июня 2020 г. № 719-П при осуществлении деятельности оператора по переводу денежных средств, оператора услуг платежной инфраструктуры при осуществлении деятельности расчетного центра, пунктом 19 Положения Банка России от 23 декабря 2020 г. № 747-П при осуществлении деятельности участника платежной системы Банка России;
• не реже одного раза в три года не позднее тридцати рабочих дней со дня завершения проведения оценки соответствия, согласно требованию, установленному подпунктом 1.5.3 пункта 1.5 Положения Банка России от 20 апреля 2021 г. № 757-П, при совмещении деятельности с деятельностью некредитной финансовой организации, указанной в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года № 757-П.

В форму 0409071 включены следующие сведения:
• Сведения об оценке выполнения требований по направлению «Технологические меры».
• Сведения об оценке выполнения требований по направлению «Безопасность программного обеспечения».
• Сведения об оценке выполнения требований по направлению «Безопасность информационной инфраструктуры».
• Сведения о проверяющей организации.

В рамках направления «Безопасность информационной инфраструктуры» проводится оценка применения организационных и технических мер процесса системы защиты информации, указанных в национальном стандарте Российской Федерации ГОСТ Р 57580.1-2017. В том числе по этому направлению указываются значения оценки по результатам оценки соответствия защиты информации в соответствии с ГОСТ Р 57580.2-2018. В сведениях о проверяющей организации в том числе указывается стоимость оценки соответствия, проведенной в соответствии с ГОСТ Р 57580.2-2018.

Также Банком России 9 сентября 2021 года опубликован проект указания «О формах, сроках и методиках составления и представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности о защите информации при осуществлении переводов денежных средств ». Данным проектом предлагается обновление форм отчетности 0403202 «Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра» и 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств».

Новый порядок аттестации объектов информатизации

ФСТЭК России 2 сентября 2021 г. опубликовала информационное сообщение «Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну».

Информационным сообщением ФСТЭК России напоминает о вступлении в силу с 1 сентября 2021 г. нового порядка аттестации. Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержден приказом ФСТЭК России от 29 апреля 2021 г. № 77 и доступен на сайте ФСТЭК России. Подробнее о новом порядке аттестации мы говорили в обзоре за август текущего года.

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения

Также напомним, что с 1 сентября 2021 г. вступил в силу приказ Роскомнадзора от 24 февраля 2021 г. № 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения». Указанные требования были опубликованы в апреле 2021 г.