В декабре 2019 официально опубликован федеральный закон, вносящий изменения в КоАП РФ относительно штрафов за правонарушения по обработке персональных данных с использованием баз данных, находящихся вне территории РФ. А также Департаментом информационной безопасности ЦБ РФ подготовлен проект изменений к Положению Банка России № 382-П.
Изменения в КоАП РФ
2 декабря опубликован Федеральный закон от 02.12.2019 № 405-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» (далее – ФЗ № 405). В частности, ФЗ № 405 вносит поправки в Кодекс Российской Федерации об административных правонарушениях относительно нарушения законодательства в области персональных данных (далее – ПДн).
Административный штраф будет накладываться в случае, если оператор ПДн при сборе ПДн будет использовать базы данных, расположенные вне территории РФ. Краткая сводка размеров штрафов представлена на рисунке.
Проект Положения Банка России
В декабре 2019 года опубликован Проект положения Банка России «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее – Проект Положения). Комментарии по Проекту Положения в рамках публичного обсуждения принимаются до 26 декабря 2019 года.
Хотя Проекту Положения в явном виде и не присвоен номер, однако понятно, что Проект Положения несет изменения в Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
В Проекте Положения установлены требования по защите информации при осуществлении переводов денежных средств в отношении недавно введенных субъектов национальной платежной системы, в частности платежного агрегатора, поставщика платежного приложения, оператора услуг информационного обмена.
Вместе с тем одной из заявленных целей разработки Проекта Положения является применение единого подхода регулирования в отношении субъектов национальной платежной системы по вопросам защиты информации при осуществлении переводов денежных средств.
Из основных изменений, к примеру, оценка соответствия должна будет проводиться в форме оценки соответствия уровням защиты информации с использованием ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия». Аналогичная форма оценки соответствия ранее уже была введена в Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» и в Положение Банка России от 17.04.2019 № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций».
__________________________________________
Опубликовано в Журнале «InformationSecurity. Информационная безопасность». 2019. № 6.