Автор: Анастасия Заведенская, помощник аналитика
В июньском обзоре изменений законодательства рассмотрим проект Федерального закона, нацеленного на решение правовых пробелов законодательства касательно обеспечения безопасности персональных данных, изменения в области обеспечения безопасности значимых объектов КИИ, защиту информации в информационных системах со стороны Минздрава России.
Проект изменений в законы «О связи» и «О персональных данных»
19 июня был опубликован Проект Федерального закона, вносящего изменения в отдельные законодательные акты касательно обеспечения безопасности персональных данных (ПДн). Изменения предполагается внести в Федеральные законы «О связи» и «О персональных данных» (далее по тексту - 126-ФЗ и 152-ФЗ соответственно).
В действующей редакции 126-ФЗ установлено, что предоставление третьим лицам сведений об абонентах оператором связи может осуществляться только с их согласия. При этом оператор связи может на платной основе предоставлять сведения об абонентах организациям, заинтересованным в создании своих систем информационно-справочного обслуживания. С целью устранения коллизии с требованиями 152-ФЗ законопроектом предусмотрена обязанность оператора связи получить согласие абонента в письменной форме или в форме электронного документа, подписанного электронной подписью, на такую передачу.
Изменения в 152-ФЗ касаются обезличивания ПДн. Так, на данный момент приказом Роскомнадзора от 5 сентября 2013 г. № 996 утверждены требования и методы по обезличиванию ПДн, распространяющиеся только на операторов, являющихся государственными или муниципальными органами. При этом обезличивание ПДн может также осуществляться операторами, не являющимися государственными и муниципальными органами в законодательно установленных случаях.
Проектом Федерального закона предлагается наделить Роскомнадзор полномочиями по утверждению требований и методов обезличивания ПДн всеми операторами.
Значимые объекты КИИ
Приказ ФСТЭК России от 27.03.2019 № 64 «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235» (Зарегистрирован 13.06.2019 № 54920). Приказ вступил в силу 24 июня 2019 г.
Изменения в приказе ФСТЭК России № 235 ожидались еще с марта 2019 г., но в отличие от изменений приказов ФСТЭК России № 236 и №239, вступивших в силу в апреле 2019 г., были официально опубликованы 14 июня 2019 г.
В целом, текст Приказа ФСТЭК России от 27.03.2019 № 64 не отличается от версии, опубликованной после общественных обсуждений. Изменения в требованиях были рассмотрены в Обзоре изменений законодательства за март 2019 г.
11 июня 2019 года опубликовано Постановление Правительства Российской Федерации от 08.06.2019 № 743 «Об утверждении Правил подготовки и использования ресурсов единой сети электросвязи Российской Федерации для обеспечения функционирования значимых объектов критической информационной инфраструктуры». Постановление вступает в силу с 1 января 2020 года.
Для понимая уточним, что сети электросвязи подразделяются на несколько категорий:
- сети связи общего пользования;
- выделенные сети связи;
- технологические сети связи, присоединенные к сети связи общего пользования;
- сети связи специального назначения и др. сети связи для передачи информации при помощи электромагнитных систем.
Согласно рассматриваемому Постановлению Правительства для функционирования значимых объектов КИИ в приоритете использование сетей связи 2 и 4 категории. Использование ресурсов сети связи общего пользования, т.е., например, подключение к сети Интернет, допускается только по согласованию со ФСТЭК России в части достаточности применяемых средств обеспечения безопасности.
При подключении значимых объектов КИИ к сети связи общего пользования на операторов связи также возлагается ряд требований, которые должны устанавливаться Минкомсвязи по согласованию с ФСБ России и ФСТЭК России.
Информационные системы в сфере здравоохранения
19 июня 2019 г. был официально опубликован приказ Минздрава России от 24 декабря 2018 г. № 911н «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций». Приказ вступит в силу с 1 января 2020 г.
В контексте Приказа к информационным системам (ИС) относятся государственные ИС в сфере здравоохранения субъектов РФ, медицинские ИС медицинских организаций и ИС фармацевтических организаций. Приказом устанавливаются в том числе требования к защите информации, содержащейся в ИС, и к программно-техническим средствам ИС.
Из основных требований к защите информации в ИС:
- применяемые средства защиты информации должны быть сертифицированы ФСБ России или ФСТЭК России;
- информация подлежит защите в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и 152-ФЗ.