Обзор изменений в законодательстве за сентябрь 2019

8 октября 2019

Новости

Автор: Анастасия Заведенская, аналитик

Первый осенний месяц оказался богатым на нормотворческую деятельность в области защиты и обработки персональных данных (ПДн). В том числе Госдумой рассмотрен большой пакет изменений административных штрафов за нарушение требований обработки ПДн. А также официально опубликованы изменения в требования по защите информации в государственных информационных системах (ГИС).

Персональные данные

На официальный государственный портал 17 сентября 2019 г. выложен законопроект о ратификации Протокола о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Протокол).

Основная цель законопроекта — это придание юридической силы Протоколу, который был подписан Россией 10 октября 2018 г. Изменения, вносимые Протоколом в Конвенцию Совета Европы, содержат иные правила, чем предусмотренные законодательством Российской Федерации. Исполнение Протокола Российской Федерацией потребует внесения изменений в Федеральный закон «О персональных данных» и Кодекс Российской Федерации об административных правонарушениях (КоАП).

Из основных моментов, на которые стоит обратить внимание уже сейчас:

Модернизированной конвенцией вводятся новые определения «контролер» (что соответствует понятию «оператор», закрепленному в Федеральном законе «О персональных данных»), «лицо, осуществляющее обработку персональных данных» и «получатель». Как следствие понятийный аппарат нормативно-правовой базы РФ в области обработки и защиты ПДн необходимо будет также под них подстроить.
Модернизированная конвенция обязует контролера своевременно уведомлять компетентный надзорный орган (в РФ – Роскомнадзор) об утечках данных. В связи с чем за невыполнение оператором обязанности по уведомлению уполномоченного органа устанавливается административная ответственность. А это значит, что рано или поздно операторов ПДн в РФ обязуют информировать Роскомнадзор об утечках ПДн и введут соответствующие штрафы за невыполнение данной обязанности.
В модернизированной конвенции содержится требование учредить один или несколько надзорных органов, ответственных за ее выполнение, с четким описанием их полномочий. Законопроектом данные полномочия возлагаются на Роскомнадзор.

18 сентября 2019 года Минкомсвязь России опубликовало проект Федерального закона о внесении изменений в Федеральный закон «О персональных данных».

Законопроект предлагает к рассмотрению новые понятия: «обезличенные ПДн» и «обезличенные данные». Обезличенными ПДн считается такой набор данных, который при дополнении любой иной информацией позволит определить субъекта ПДн. Обезличенные данные – данные, которые при любых проделанных с ними действиях, не приведут к определению субъекта ПДн. В проекте описаны следующие положения по работе с «обезличенными ПДн» и «обезличенными данными»:

обезличивание ПДн должно осуществляться с согласия субъекта ПДн, за исключением случаев, установленных федеральными законами (напр. обезличивание в исследовательских, статистических и (или) аналитических целях допускается без согласия);
действия, приводящие обезличенные ПДн к виду, который позволяет определить субъекта ПДн, должны осуществляться по согласию субъекта ПДн;
допускается передача обезличенных ПДн третьему лицу по согласию субъекта ПДн, но при условии, что иная информация, позволяющая определить субъекта, не будет передана оператором третьему лицу;
если третьим лицом были получены обезличенные ПДн, то оно может использовать их в предпринимательской деятельности, но не допускается совершать любые действия, позволяющие установить субъекта ПДн;
получение, обработка и любое использование обезличенных данных осуществляется свободно, без согласия субъекта ПДн;
требования и методы обезличивания ПДн должны быть разработаны Роскомнадзором и распространяться на всех операторов ПДн;
требования и методы обезличивания, обеспечивающие невозможность отнесения информации к конкретному субъекту ПДн, устанавливаются Правительством РФ.

Разработчики изменений предлагают отказаться от основного принципа получения согласия субъекта ПДн: «одна цель – одно согласие». Законопроектом предлагается возможность дачи согласия на обработку ПДн одновременно на несколько целей. При этом, субъектам ПДн гарантируется право отказаться от дачи согласия на обработку ПДн или внести в него изменения.

Предлагается возможность получения подтверждения дачи согласия субъектом на обработку его ПДн в электронной форме (по СМС, электронной почте, путем заполнения формы на сайте оператора или лица, действующего по поручению оператора, иными способами).

Если согласие даётся в электронной форме, законопроектом предусмотрена возможность указания лиц, осуществляющих обработку ПДн по поручению оператора, путем включения в согласие адреса сайта оператора в сети «Интернет», содержащего информацию об этих лицах. При этом оператор обязан информировать субъекта ПДн о внесении изменений в сведения о лицах, осуществляющих обработку по поручению. Следует обратить внимание, что указанная норма позволяет корректировать именно сведения о тех лицах, на передачу которым уже дано согласие субъектом, а не добавлять новых.

Законопроект № 729516-7 О внесении изменений в КоАП (об установлении административной ответственности за невыполнение оператором при сборе ПДн граждан Российской Федерации обязанности по обеспечению их хранения с использованием баз данных, находящихся на территории Российской Федерации) 10 сентября принят в первом чтении и к октябрю в него должны будут быть внесены необходимые правки.

На данный момент штрафы, предлагаемые проектом закона, доходят до 18 млн. руб. для юридических лиц в случае повторного невыполнения обязанности по сбору ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.

Постановлением Правительства РФ от 13 сентября 2019 года № 1197 внесены изменения в состав «Сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных», утвержденных постановлением Правительства РФ от 30 июня 2018 г. № 772.

Таким образом в состав сведений Единой биометрической системы (ЕБС) добавлены: «контактные данные физического лица (номер мобильного телефона, адрес электронной почты)». Ранее в ЕБС были включены только:

биометрические ПДн (фото и запись голоса);
идентификаторы того, кто разместил в ЕБС данные о физическом лице;
сведения о регистрации физического лица в ЕСИА (Единая система идентификации и аутентификации).

Государственные информационные системы

Приказ Федеральной службы по техническому и экспортному контролю от 28.05.2019 г. № 106 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. №. 17» (Приказ) официально опубликован 16 сентября 2019 года и вступил в силу с 27 сентября 2019 года.

Приказ вносит изменения в правила проектирования, ввода в эксплуатацию и эксплуатации государственных информационных систем (ГИС). Большой блок уточнений привносится для ГИС, функционирующих на базе центров обработки данных (ЦОД), но также затрагивается и непосредственное обеспечение информационной безопасности в ходе эксплуатации ГИС.

ГИС и ЦОД

Если оператором ГИС планируется перенос инфраструктуры полностью или даже частично на мощности ЦОД, то необходимо обратить внимание на следующие требования:

Класс защищенности ГИС не может быть выше класса защищенности ЦОД. Как следствие необходимо понимать, что для потенциального ЦОД должен быть определён класс защищенности, и ЦОД должен быть аттестован.
При моделировании угроз безопасности информации, обрабатываемой в ГИС, в модели угроз должны быть учтены и угрозы, актуальные для ЦОД.
В случае создания ГИС, функционирование которой предполагается на базе ЦОД, дополнительно необходимо определить требования по защите информации для ЦОД.
Для блокирования угроз безопасности информации, обрабатываемой в ГИС, можно использовать меры защиты, уже реализованные в ЦОД (если такие имеются).
Средства защиты информации (СрЗИ), устанавливаемы в ГИС, должны быть совместимы между собой и со СрЗИ, установленными в ЦОД.

Аттестация

Аттестационные испытания могут быть совмещены с проведением приемочных испытаний ГИС.
Аттестат соответствия выдается на весь срок эксплуатации ГИС, но оператор должен поддерживать соответствие системы защиты аттестату в рамках реализации мероприятий по обеспечению защиты в ходе эксплуатации. При этом актуальной становится проблема с тем, что иные нормативные документы устанавливают конкретный срок действия аттестата. В Приказе № 17 есть указание о применении для проведения аттестации национальных стандартов, а также методических документов, разработанных и утвержденных ФСТЭК России. К таким документам относятся ГОСТ РО 0043-003-2012 «Аттестация объектов информатизации. Общие положения», ГОСТ РО 0043-004-2013 «Программа и методики аттестационных испытаний», в которых установлен конкретный срок, исчисляемый в годах. К методическим документам можно также отнести «Положение по аттестации объектов информатизации по требованиям безопасности информации» Гостехкомиссия, 25.11.1994 (актуален до сих пор), в котором прописано, что аттестат соответствия выдается на срок не более 3-х лет.

Обеспечение защиты в ходе эксплуатации

К обязательным мероприятиям по защите информации в ГИС в ходе эксплуатации добавились:

планирование мероприятий по защите информации в ГИС;
анализ угроз безопасности информации в ГИС;
информирование и обучение персонала ГИС по вопросам обеспечения информационной безопасности (ИБ).

Планирование мероприятий включает определение лиц, ответственных за планирование и контроль, выявление инцидентов ИБ и реагирование на них. План мероприятий должен быть утвержден вместе с правовым актом о вводе в эксплуатацию ГИС и содержать сроки по проведению контроля выполнения утвержденных мероприятий.

Выявление, анализ и устранение уязвимостей, анализ изменения угроз для ГИС должны проводится в течение всего времени её эксплуатации. Периодичность указанных работ определяется оператором самостоятельно.

Информирование и обучение персонала заключается в:

информировании персонала о появлении актуальной угрозы безопасности информации, о правилах безопасной эксплуатации;
доведении до персонала требований по защите информации, а также положений организационно-распорядительной документации;
обучении персонала правилам эксплуатации отдельных средств защиты информации;
проведении практических занятий и тренировок с персоналом по блокированию угроз безопасности информации и реагированию на инциденты;
контроле осведомленности персонала об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения защиты информации.

Периодичность проведения практических занятий и тренировок, обучения и контроля осведомлённости устанавливается оператором, но не реже 1 раза в два года.

Также для контроля за обеспечением уровня защищенности добавлены требования по периодичности его проведения: для 1 класса защищённости – не реже 1 раза в год, для 2 и 3 классов защищенности – не реже 1 раза в два года. При этом, контроль за обеспечением уровня защищенности может осуществляться оператором ГИС самостоятельно или с привлечением лицензиата по технической защите конфиденциальной информации.

Средства защиты информации

Ввиду отмены процедуры сертификации СрЗИ по уровню контроля недекларированных возможностей, требования к СрЗИ ГИС скорректированы на обязательную сертификацию по уровням доверия¹. А при проектировании вновь создаваемых или модернизируемых ГИС, имеющих подключение к Интернету, должны выбираться маршрутизаторы, сертифицированные на соответствие требованиям информационной безопасности (в части реализованных функций безопасности).

______________________________________________
¹ Подробнее о сертификации по требованиям доверия можно прочитать в нашем обзоре за март 2019.

Назад к списку