Обзор изменений в законодательстве за сентябрь 2023 года

Автор:
Татьяна Кошелева, старший аналитик

В обзоре изменений за сентябрь 2023 года рассмотрим: законопроект о внесении изменений в 152-ФЗ, изменения в положение о единой биометрической системе, изменения в 757-П, требования ИБ для провайдеров хостинга, указ о «цифровом паспорте», обезличивание персональных данных в медицине, новые административные регламенты ФСТЭК России, прекращение применения отдельных средств защиты информации и другое.

Перечень НПА в сфере обработки ПДн, подлежащих оценке применения в 2024 году‎

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (далее ‑ Минцифры России) опубликовало проект Перечня нормативных правовых актов, содержащих обязательные требования, подлежащих оценке применения в 2024 году, в сфере обработки персональных данных.

Перечень содержит следующие нормативные правовые акты:

• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
• Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• Приказ Роскомнадзора от 22.07.2015 № 84 «Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи»;
• Приказ Роскомнадзора от 14.11.2022 № 187 «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных».

Публичное обсуждение проекта завершилось 28 сентября.

Реформа 152-ФЗ: перечень поручений Президента РФ

Утвержден перечень поручений Президента Российской Федерации (далее – РФ) по итогам совещания с членами Правительства Российской Федерации от 19.07.2023, одним из пунктов которого поручено обеспечить принятие федерального закона «О внесении изменений в Федеральный закон «О персональных данных» (проект № 992331–7) в срок до 15.12.2023.

Законопроект предлагает ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», среди которых требования:

1. В письменном согласии субъекта персональных данных (далее – ПДн) вместо фамилии, имени и отчества возможно указание любого другого идентификатора, предусмотренного законодательством или соглашениями между субъектом и оператором, позволяющего однозначно идентифицировать субъект ПДн (п.1 ч.4 ст.9).

2.В согласии можно указать несколько целей обработки данных, но для каждой цели необходимо привести отдельные перечни ПДн и условия их обработки согласно пунктам 5-8 ч.4.ст.9 (п.4 ч.4 ст.9).

3.Дополнить перечень мероприятий, за счет которых обеспечивается безопасность ПДн, процедурами уничтожения ПДн с помощью специального ПО (ч.2 ст.19).

Изменения в Положение о ЕБС

Официально опубликовано Постановление Правительства Российской Федерации от 01.09.2023 № 1429 «О внесении изменений в Положение о единой биометрической системе, в том числе о ее региональных сегментах».

Изменения касаются в том числе дополнительных требований к функционалу оператора единой биометрической системы (далее – ЕБС) по управлению согласиями на обработку биометрических ПДн и отзывами таких согласий. Указанные функции осуществляются посредством специальной подсистемы ЕБС по управлению согласиями.

Постановление вступает в силу с 1 января 2024 года.

Изменения в требования к некредитным финансовым организациям

Для общественного обсуждения опубликован проект указания Центрального Банка РФ «О внесении изменений в Положение Банка России от 20 апреля 2021 года № 757-П».

Проектом предлагается включить в область действия 757-П микрофинансовые организации, а также микрофинансовые организации, осуществляющие деятельность по оказанию услуг онлайн-микрозаймов.

На указанные организации предлагается возложить требования:

• по обеспечению минимального уровня защиты информации согласно ГОСТ Р 57580.1-2017;
• по проведению ежегодного тестирования объектов информационной инфраструктуры на проникновение;
• по сертификации или проведению оценки соответствия по оценочному уровню доверия не ниже, чем ОУД 4, программного обеспечения, распространяемого клиентам для совершения финансовых операций или обрабатывающего защищаемую информацию при приеме электронных сообщений с использованием сети «Интернет»;
• по обеспечению целостности электронных сообщений.

Проект также содержит иные изменения формулировок пунктов 757-П, в том числе связанные с учетом требований к защите биометрических ПДн, утвержденных в Федеральном законе от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

В настоящее время проект приказа не опубликован на сайте Центрального Банка РФ, однако в сети можно найти версию проекта по состоянию на 04.09.2023.

Обсуждение проекта завершилось 18 сентября.

Требования ИБ для провайдеров хостинга

Для общественного обсуждения опубликован проект приказа Минцифры России «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети «Интернет».

Проект содержит следующие требования к провайдерам:

• назначение структурного подразделения или должностного лица, ответственного за защиту информации;
• взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА), включая информирование о компьютерных инцидентах;
• принятие мер по обнаружению и предотвращению вторжений;
• обязательное использование DNS серверов национальной системы доменных имен, а также NTP серверов, расположенных на территории РФ и т.д.

Согласно пояснительной записке к проекту, реализация указанных мер будет способствовать обеспечению защиты информации и инфраструктуры провайдера хостинга от взломов и утечек, а также недопущению компьютерных атак с использованием инфраструктуры провайдера хостинга.

Публичное обсуждение проекта завершилось 4 октября. Согласно тексту проекта, требования вступят в силу с 1 декабря 2023 года.

Указ о «цифровом паспорте»

Официально опубликован указ Президента РФ от 18.09.2023 № 695 «О представлении сведений, содержащихся в документах, удостоверяющих личность гражданина Российской Федерации, с использованием информационных технологий».

Указом установлена возможность предъявления сведений, удостоверяющих личность гражданина, в электронном виде с использованием мобильного приложения федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)» (Госуслуги). Представление сведений с использованием мобильного приложения осуществляется добровольно.

Указ также содержит требования к:

• Минцифры России: ведет реестр, содержащий данные о юридических лицах и видах их деятельности, для осуществления которых используются сведения, представленные с использованием мобильного приложения;
• Правительству РФ: в 3-месячный срок установить и документировать процедуры представления указанных сведений с использованием мобильного приложения, в том числе порядок ведения реестра Минцифры России, состав документов, содержащих указанные сведения, и порядок применения в рамках процедуры мобильного приложения.

Юридические лица вправе осуществлять получение и (или) проверку сведений, представленных с использованием мобильного приложения, с момента внесения соответствующих данных в реестр Минцифры России. Таким образом, использование мобильного приложения для представления сведений, удостоверяющих личность, будет возможно уже в декабре 2023 года.

Обезличивание персональных данных в медицине

Для общественного обсуждения опубликован проект приказа Министерства здравоохранения РФ «Об утверждении требований к обезличиванию информации, содержащейся в системе мониторинга движения лекарственных препаратов для медицинского применения, и методов обезличивания такой информации».

Требования касаются обезличивания ПДн представителей юридических лиц, являющихся субъектами обращения лекарственных средств, а также потребителей лекарственных препаратов в системе мониторинга движения лекарственных препаратов для медицинского применения (система создана в соответствии с постановлением Правительства РФ от 14.12.2018 № 1556 «Об утверждении Положения о системе мониторинга движения лекарственных препаратов ‎для медицинского применения»). Обезличивание предлагается осуществлять до уровня: пол, возраст или год рождения, город осуществления проверки маркировки лекарственных средств. Проект также предлагает описание методов обезличивания данных.

Общественное обсуждение проекта завершится 10 октября. Согласно тексту проекта, приказ вступает в силу с 1 декабря 2023 года.

Административные регламенты ФСТЭК России

Официально опубликован приказ Федеральной службы по техническому и экспортному контролю РФ (далее ‑ ФСТЭК России) от 01.06.2023 № 106 «О признании утратившими силу приказов ФСТЭК России по вопросам контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации», отменяющий административные регламенты по исполнению государственной функции по контролю за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и по разработке и производству средств защиты конфиденциальной информации.

А также официально опубликованы приказы ФСТЭК России:

• от 01.06.2023 № 107 «Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по технической защите конфиденциальной информации»;
• от 01.06.2023 № 108 «Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю и ее территориальными органами лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)».

Напомним, что общественное обсуждение проектов этих приказов состоялось в апреле 2023 года. Положения приказов применяются до конца 2024 года.

Прекращение применения отдельных СрЗИ

На сайте ФСТЭК России опубликовано информационное сообщение от 30.08.2023 № 240/21/4233 «О прекращении применения отдельных средств защиты информации».

В письме сообщается об исключении из государственного реестра сертифицированных средств защиты следующих решений:

•  Система пространственного зашумления SEL SP-21 «Баррикада» (сертификат №1053);
• Система защиты помещений по виброакустическому каналу SEL SP-55 с эквалайзером (сертификат №1082);
• Устройство защиты цепей электропитания и заземления SEL SP-44 (сертификат №1445);
• Устройство защиты информации от утечки по каналу ПЭМИН SEL SP 113 (сертификат №2070);
• Устройство защиты цепей электропитания и заземления SEL SP — 44 (сертификат №3771);
• Система активной защиты информации от утечки по каналам побочных электромагнитных излучений и наводок SEL 111 «ШИФОН» (сертификат №3851).

Профессиональный стандарт «Специалист по ИБ в кредитно-финансовой сфере»

С 01.09.2023 вступил в силу приказ Министерства труда и социальной защиты Российской Федерации от 28.11.2022 № 739н «Об утверждении профессионального стандарта «Специалист по информационной безопасности в кредитно-финансовой сфере», который был опубликован и рассмотрен в обзоре изменений законодательства в декабре 2022 года.

Напомним, что стандарт содержит описание следующих функций:

• обеспечение функционирования средств и систем защиты информации в организациях кредитно-финансовой сферы (далее – КФС);
• управление инцидентами ИБ в организациях КФС;
• аналитическое и организационное сопровождение деятельности по управлению рисками ИБ в организациях КФС;
• методологическое обеспечение процессов ИБ в организациях КФС;
• контроль обеспечения ИБ и обеспечение операционной надежности (киберустойчивости) в организациях КФС;
• организация процессов обеспечения ИБ в организациях КФС.