Обзор изменений в законодательстве за февраль 2019

Изменения в области защиты персональных данных

5 февраля 2019 г. официально опубликован Приказ Роскомнадзора от 14.01.2019 г. № 1 «О внесении изменений в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных, утверждённый приложением № 1 к приказу Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 15 марта 2013 г. № 274». Приказ вступил в силу с 16 февраля 2019 года.

Согласно Приказу из перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, исключены Мексиканские Соединённые Штаты, Республика Кабо-Вербе и включена Япония.

Оператор может осуществлять передачу персональных данных (ПДн) без получения согласия субъекта ПДн на трансграничную передачу в государства, являющиеся сторонами Конвенции Совета Европы, или в государства, включенные в упомянутый ранее перечень. Т.е. изменения, внесенные приказом Роскомнадзора от 14.01.2019 г. №1, позволяют операторам передавать ПДн на территорию Японии без согласия субъекта на трансграничную передачу, а в случае если передача осуществляется в Мексику или Кабо-Вербе, то необходимо выполнение условий п.4, ст.12 Федерального закона от 27.07.2006 №1 52-ФЗ «О персональных данных».

Опубликованное 15 февраля Постановление Правительства Российской Федерации от 13.02.2019 № 146 «Об утверждении Правил организации и осуществления государственного контроля и надзора за обработкой персональных данных» устанавливает правила проведения проверок операторов персональных данных (ПДн). Контролирующим и надзорным органом указывается Роскомнадзор. Ранее проверки Роскомнадзора регламентировались только Административным регламентом, утвержденным Приказом Министерства связи и массовых коммуникаций РФ от 14 ноября 2011 г. № 312.

По временному интервалу проверки могут быть как плановыми, так и внеплановыми. План проведения плановых проверок можно найти на сайте Роскомнадзора. Оператор ПДн может быть включен в план по проведению проверок либо по истечении 3 лет со дня официальной регистрации в качестве юридического лица или индивидуального предпринимателя, либо по прошествии 3 лет с прошлой проверки. По правилам проведения проверок если оператор осуществляет сбор биометрических и специальных категорий ПДн или трансграничную передачу в государство, не обеспечивающего адекватную защиту прав субъектов ПДн, или обработку ПДн по поручению иностранного государственного органа, иностранного юридического или физического лица, которые не зарегистрированы на территории РФ, то плановые проверки будут проводиться не чаще одного раза в 2 года со дня последней проверки.

Внеплановые проверки согласно Правилам организации и осуществления государственного контроля и надзора за обработкой ПДн будут проводиться в случае:

• неисполнения или частичного исполнения оператором предписания об устранении выявленного нарушения;
• обращения граждан, при условии наличия в обращении фактов нарушения оператором прав субъекта ПДн, установленных гл. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
• поручения Президента РФ, Правительства РФ;
• требований прокурора об осуществлении внеплановой проверки;
• решения руководителя Роскомнадзора по итогам рассмотрения докладной записки, содержащей выводы о наличии нарушений требований, выявленных по результатам проведения мероприятий по контролю без взаимодействия с оператором.

Стоит отметить, что согласно Правилам организации и осуществления государственного контроля и надзора за обработкой ПДн внеплановые проверки больше не могут носить документарный характер. Также Правилами устанавливается порядок проведения проверок, права и обязанности должностных лиц при осуществлении государственного контроля, порядок проведения документарных и выездных проверок, порядок оформления результатов проверок, меры, принимаемые в отношении фактов нарушения требований и т.д.

Рекомендации Центрального банка РФ по обеспечению информационной безопасности биометрических персональных данных

Центральным банком Российской Федерации разработаны рекомендации по обеспечению информационной безопасности биометрических персональных данных.

«Методические рекомендации по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации» (утв. Банком России 14.02.2019 № 4-МР) применимы при использовании единой биометрической системы (ЕБС).

Банкам рекомендовано использование средств криптографической защиты информации, имеющих подтверждение требованиям ФСБ России, и средств защиты информации, сертифицированных ФСТЭК России. В целях усиления информационной безопасности рекомендуется обеспечить для уполномоченных сотрудников возможность использования персонального квалифицированного сертификата ключа проверки электронной подписи для подписания электронных сообщений, содержащих биометрические персональные данные.

Отдельная глава выделена под рекомендации по информированию Банка России об инцидентах при использовании ЕБС. Банк России рекомендует передавать информацию об инцидентах в максимально короткие сроки, по возможности, не превышающие одного рабочего дня.

Информационная безопасность в электроэнергетике

На официальном интернет-портале правовой информации 18 февраля 2019 года был опубликован Приказ Министерства энергетики Российской Федерации от 06.11.2018 № 1015 «Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования» (Зарегистрирован 15.02.2019 № 53815) (далее – Приказ Минэнерго). Приказ вступает в силу по истечении шести месяцев со дня его официального опубликования, т. е. с 19 августа 2019 года.

Системы удаленного мониторинга и диагностики (СУМиД) – это программно-аппаратный комплекс, обеспечивающий процесс удаленного наблюдения и контроля за состоянием основного технологического оборудования объекта, диагностирование и прогнозирование изменения технического состояния основного технологического оборудования на основе собранных данных, получаемых от систем сбора данных, установленных на технологическом оборудовании, и не влияющего на штатный режим оборудования/объекта.

Требования Приказа Минэнерго устанавливаются в отношении базовых функций СУМиД и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации СУМиД на территории Российской Федерации. Можно сделать вывод, что требования, установленные для субъектов электроэнергетики, которые эксплуатируют на объектах электроэнергетики СУМиД, также касаются и компаний, создающих эти системы.

Из основных требований к обеспечению информационной безопасности СУМиД можно выделить следующие:

Правительство Российской Федерации 13 февраля 2019 г. выпустило Постановление №136 «О Центре мониторинга и управления сетью связи общего пользования».

Целью создания Центра мониторинга и управления сетью связи общего пользования (далее – Центра мониторинга) озвучивается намерение обеспечения целостности, устойчивости функционирования и безопасности сети связи общего пользования. Центр мониторинга призван обрабатывать данные об общей работе сетей связи, а также об аварийных случаях.

Центр мониторинга – внутренняя структура Роскомнадзора, который отвечает за её создание и функционирование. Роскомнадзор должен создать Центр мониторинга до 1 июля 2019 г., а саму систему мониторинга и управления сетью связи ввести в эксплуатацию до 1 января 2020г. При этом Минкомсвязи до 1 мая 2019 г. должна разработать проект федерального закона, определяющего информацию, которая будет предоставляться в систему мониторинга и управления. А до 1 января 2020 г. совместно с ФСБ России регламентировать взаимодействие системы с другими государственными информационными системами, в том числе с ГосСОПКА.

Проект изменений в форму сведений о результатах категорирования

28 февраля 2019 г. на официальном портале проектов нормативных правовых актов был опубликован Проект приказа ФСТЭК России «О внесении изменений в форму направления сведений о результатах присвоения объекту критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий, утвержденную приказом Федеральной службы по техническому и экспортному контролю от 22 декабря 2017 г. № 236» (далее – Проект приказа).

Проект приказа предлагает изменения к форме сведений, направляемых во ФСТЭК России субъектом критической информационной инфраструктуры (КИИ) по результатам категорирования. Проект приказа четко оговаривает, что сведения должны быть предоставлены в бумажном виде с приложением электронной копией в формате .ods.

Краткая сводка основных предложений по изменению формы сведений о результатах категорирования: