Автор: Анастасия Заведенская, аналитик
В августе 2019 года нормативно-правовая база в области информационной безопасности не претерпела крупномасштабных изменений. В обзоре рассмотрим:
- защиту информации в системах оформления авиаперевозок;
- какой крайний срок аттестации ГИС для федеральных органов исполнительной власти;
- к появлению каких новых требований к обработке персональных данных стоит готовиться операторам.
Проект Постановления с требованиями к автоматизированным информационным системам оформления воздушных перевозок (далее – АИС ОВП) был опубликован Минтрансом России ещё в июле 2018 года, но по результатам рассмотрения получил отрицательную оценку. В ходе оценки были получены консультации от субъектов предпринимательской деятельности, непосредственно попадающих под регулирующее воздействие. А именно: АО «Авиакомпания Конверс Авиа», Комиссия РСПП по транспорту и транспортной инфраструктуре, ЗАО «Группа компаний С7», Государственное предприятие Чукотского автономного округа «Чукотавиа». К примеру, в заключении об оценке говорится, что АИС ОВП относятся к объектам критической информационной инфраструктуры (далее – КИИ) и требования по обеспечению информационной безопасности (далее – ИБ) уже в большей степени урегулированы Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». В итоге официально опубликованная версия Постановления значительно отличается от конечной версии Проекта Постановления, представленного к рассмотрению.
Основной акцент в контексте ИБ Постановление делает на защите обрабатываемых персональных данных (далее – ПДн) пассажиров и персонала (экипажа) транспортных средств:
- При оформлении внутренних воздушных перевозок базы данных (далее – БД) и сервера, входящие в состав АИС ОВП, должны располагаться на территории РФ. Хотя допускается использование БД и серверов, расположенных вне территории РФ, но только при условии исключения обработки в них ПДн пассажиров, осуществляющих внутренний перелет.
- Организациям операторам и пользователями АИС ОВП необходимо контролировать соответствие трансграничной передачи ПДн пассажиров требованиям законодательства РФ и порядку, установленному договором между операторами и пользователями.
- При передаче данных по общедоступным каналам связи обязательно применения сертифицированных средств криптографической защиты информации.
Постановление позволяет федеральным органам исполнительной власти осуществлять эксплуатацию государственных информационных систем (далее – ГИС) без аттестата соответствия безопасности информации до 1 июля 2020 г.
Уничтожение ПДн
1 августа 2019 Минкомсвязь России разместило на официальном портале проект федерального закона о внесении изменения в Федеральный закон «О персональных данных» в части уточнения требований к уничтожению персональных данных.
Законопроект нацелен на определение единых подходов при уничтожении ПДн. При этом, предполагается, что требования к уничтожению ПДн будут разработаны Роскомнадзором.
Банк России и значимые объекты КИИ
Согласно опубликованному 2 августа 2019 г. Федеральному закону от 02.08.2019 № 264-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе» и Федеральный закон «Центральном банке Российской Федерации (Банке России)» требованиям по обеспечению безопасности значимых объектов КИИ должны соответствовать:
- информационные системы (далее – ИС) операторов по переводу денежных средств, с использованием которых осуществляется прием электронных средств платежа и обмен информацией с иностранными поставщиками платежных услуг;
- ИС операторов услуг информационного обмена, с использованием которых осуществляется взаимодействие с иностранными поставщиками платежных услуг