Обзор изменений в законодательстве за август 2018

Август принимает эстафету от июля по части развития законодательства в сфере персональных данных. Также изменения коснулись автоматизированных систем управления и сведений, составляющих государственную тайну.

В связи с многочисленными вопросами от организаций и физических лиц, ФСТЭК России сообщает: обработка персональных данных (ПДн) не является лицензируемым видом деятельности. Это означает, что оператору не требуется получать лицензию на деятельность по технической защите конфиденциальной информации при обработке ПДн в информационной системе ПДн для собственных нужд.

Однако оператору все же потребуется данная лицензия при оказании другому оператору услуг по обработке ПДн по его поручению в собственной информационной системе ПДн, если в заключенном между ними договоре присутствует хотя бы одна из следующих услуг:

1. Услуги по контролю защищенности конфиденциальной информации от утечки по техническим каналам.
2. Услуги по контролю защищенности конфиденциальной информации от несанкционированного доступа и ее модификации в средствах и системах информатизации.
3. Услуги по мониторингу информационной безопасности средств и систем информатизации.
4. Услуги по аттестационным испытаниям, аттестации на соответствие требованиям по защите информации, а также по проектированию в защищенном исполнении:
   • средств и систем информатизации;
   • помещений со средствами (системами) информатизации, подлежащими защите;
   • защищаемых помещений.
5. Услуги по установке, монтажу, наладке, испытаниям, ремонту средств защиты информации.

В силу того, что закон о критической информационной инфраструктуры (КИИ) относительно новый, остается довольно много вопросов и нюансов касательно категорирования объектов КИИ. В новом Информационном сообщении ФСТЭК России поясняет процедуру представления перечня объектов КИИ, подлежащих категорированию.

В целях соблюдения единообразия рекомендуется вместе с перечнем объектов КИИ, составленному по форме, прилагаемой к Информационному сообщению, направлять электронные копии этого перечня и сведений о присвоении объектам КИИ категории значимости. При этом сведения об отсутствии в организации объектов КИИ предоставлять не требуется.

Данные рекомендации, по мнению ФСТЭК России, сократят сроки оценки перечня объектов КИИ, а также облегчат формирование и ведение Реестра значимых объектов КИИ.

А теперь к основным новостям...

Банк России назвал перечень угроз безопасности, актуальных при обработке биометрических ПДн, их проверке и передаче информации о степени их соответствия предоставленным данным.

В самом документе список выглядит довольно внушительным, но по сути выделяется всего несколько типов:

• угроза нарушения целостности (подмены, удаления) биометрических ПДн;
• угроза нарушения конфиденциальности (компрометации) биометрических ПДн;
• угроза нарушения целостности (подмены, удаления) информации о степени соответствия биометрических ПДн гражданина РФ предоставленным им биометрическим ПДн в единой биометрической системе в целях передачи биометрических персональных данных в банки или единую биометрическую систему.

Центр компетенций по нормативному регулированию цифровой экономики Фонда «Сколково» опубликовал текст существующего 152-ФЗ с предлагаемыми поправками. Основная идея изменений – предоставить оператору ПДн возможность передавать третьему лицу обрабатываемые данные гражданина без его согласия на передачу данных.

Такая ситуация может возникнуть, например, если обработка ПДн необходима для исполнения договора, одной стороной которого является субъект ПДн, а также «в целях осуществления прав и законных интересов оператора и третьих лиц». По сути, такая расплывчатая формулировка дает довольно большой простор для действий оператора, а также позволяет обеспечить долгое путешествие ПДн от компании к компании.

Тем не менее, оператор все равно должен будет опубликовать список тех, кому передаются данные. Однако использовать предоставленную информацию организации могут в любых выгодных для себя целях.

С одной стороны, такие поправки упрощают жизнь компаниям в части обработки ПДн, особенно если это касается «больших данных». С другой – изменения в корне противоречат существующим принципам обработки ПДн: цели обработки данных определены заранее, а субъект ПДн, давая согласие на обработку данных, понимает, кто и как обрабатывает ПДн.

На данный момент проект направлен на одобрение в Рабочую группу по нормативному регулированию АНО «Цифровая экономика». Затем документ должен быть вынесен на рассмотрение в приоритетном порядке Правительственной комиссией по ИТ*.

По итогам общественного обсуждения приказ № 31 претерпевает следующие изменения:

1. Актуализирована область действия приказа в связи с введением понятия «значимый объект КИИ». Теперь четко определено, что приказ № 31 распространяется на информацию в автоматизированных системах управления (АСУ) производственными и технологическими процессами, а приказы № 235 и 239 обеспечивают безопасность самих АСУ.

2. Закреплено требование по использованию Банка данных угроз ФСТЭК России для моделирования угроз безопасности. При этом разрешается использовать и иные источники сведений об угрозах. Какой-никакой, а шаг навстречу единообразию.

3. Мера защиты ЗИС.7 об использовании «песочницы» сделана базовой для 1 и 2 класса АСУ. Теперь жесткость требований по приказам №31 и 239 одинаковая.

Постановлением Правительства РФ установлена процедура подтверждения степени секретности сведений, составляющих государственную тайну, с которыми организации предполагают проводить работы.

Такое подтверждение потребуется при получении лицензии на работу с гостайной и выдается:

• для государственной (муниципальной) организации – государственным органом (органом местного самоуправления), в ведении (подчинении) которого находится эта организация;
• для организации государственной корпорации – соответствующей государственной корпорацией;
• для организации Банка России – Банком России;
• для негосударственной организации, участвующей на основании заключенного контракта в проведении совместных и других работ, связанных с использованием сведений, составляющих гостайну, с федеральным органом исполнительной власти (его территориальным органом), органом исполнительной власти субъекта РФ, иным государственным органом, являющимся заказчиком этих работ, в ходе которых возникает необходимость в использовании сведений, составляющих гостайну, – федеральным органом исполнительной власти (его территориальным органом), органом исполнительной власти субъекта РФ или иным государственным органом.

Предоставление неполной или недостоверной информации является основанием для отказа в выдаче подтверждения.

На этом наш обзор завершен, до встречи в следующем месяце!