Изменения в КоАП в части обработки и защиты персональных данных
С 1 июля 2017 вступила в силу новая редакция статьи 13.11 КоАП «Нарушение законодательства Российской Федерации в области персональных данных», вводящая семь составов административных правонарушений, предусматривающих соответствующие им штрафы с самым высоким из них — 75 тысяч рублей для юридических лиц.
Для сравнения, отмененная редакция ст. 13.11 КоАП предусматривала за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) наказание в виде предупреждения или наложения административного штрафа: на граждан в размере от 300 до 500 рублей; на должностных лиц — от 500 до 1000 рублей; на юридических лиц — от 5 до 10 тысяч рублей.
Существенным моментом новой версии ст. 13.11 КоАП является то, что протоколы об административных правонарушениях после 01.07.2017 будут составлять должностные лица Роскомнадзора и его территориальных управлений, а не прокуратура, как было раннее. При этом срок привлечения к ответственности сохранился прежний — 3 месяца, но процедура привлечения к ответственности существенно упростилась.
Возможно, изменится и сам порядок наложения штрафов. Раньше, в силу «универсальности» статьи 13.11 КоАП с одним составом правонарушения и штраф был один, независимо от содержания акта проверки и предписания об устранении правонарушения. Теперь каждое из выявленных нарушений можно квалифицировать отдельно, оформлять отдельный протокол и накладывать отдельный штраф.
Из плюсов — теперь в соответствии со ст. 13.11 можно привлечь к ответственности далеко не за каждое выявленное нарушение. Например, не предусмотрен штраф за такое нарушение, как несоответствие типовой формы, предусматривающей внесение в нее персональных данных, требованиям пункта 7 Постановления Правительства № 687.
|
№ части статьи 13.11. КоАП |
Состав административного правонарушения |
Нарушаемая статья законодательства |
Возможность наложения предупреждения |
Штраф для граждан |
Штраф для должностных лиц |
Штраф для ИП |
Штраф для юридических лиц |
|
1 |
Обработка ПДн в случаях, не предусмотренных законодательством РФ в области ПДн, либо обработка ПДн, несовместимая с целями сбора ПДн, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния |
Ст.5, ст.6 |
да |
1 — 3 тысячи рублей |
5 — 10 тысяч рублей |
не предусмотрен |
30 — 50 тысяч рублей |
|
2 |
Обработка ПДн без согласия в письменной форме субъекта ПДн на обработку его ПДн в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области ПДн, если эти действия не содержат уголовно наказуемого деяния, либо обработка ПДн с нарушением установленных законодательством Российской Федерации в области ПДн требований к составу сведений, включаемых в согласие в письменной форме субъекта ПДн на обработку его ПДн |
Ст.9 |
нет |
3 — 5 тысячи рублей |
10 — 20 тысяч рублей |
не предусмотрен |
15 — 75 тысяч рублей |
|
3 |
Невыполнение оператором предусмотренной законодательством Российской Федерации в области ПДн обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн, или сведениям о реализуемых требованиях к защите ПДн |
Ст.18 |
да |
700 — 1500 рублей |
3 — 6 тысяч рублей |
5 — 10 тысяч рублей |
15 — 30 тысяч рублей |
|
4 |
Невыполнение оператором предусмотренной законодательством Российской Федерации в области ПДн обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн |
Ст.14, ст.20 ФЗ №152 |
да |
1 — 2 тысячи рублей |
4 — 6 тысяч рублей |
10 — 15 тысяч рублей |
20 — 40 тысяч рублей |
|
5 |
Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области ПДн, требования субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн об уточнении ПДн, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки |
Ст.21 |
да |
1 — 2 тысячи рублей |
4 — 10 тысяч рублей |
10 — 20 тысяч рублей |
25 — 45 тысяч рублей |
|
6 |
Невыполнение оператором при обработке ПДн без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области ПДн сохранность ПДн при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении ПДн, при отсутствии признаков уголовно наказуемого деяния |
ПП №687 |
нет |
700 — 2000 рублей |
4 — 10 тысяч рублей |
10 — 20 тысяч рублей |
25 — 50 тысяч рублей |
|
7 |
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области ПДн обязанности по обезличиванию ПДн либо несоблюдение установленных требований или методов по обезличиванию ПДн |
ПП №211, |
да |
не предусмотрен |
3 — 6 тысяч рублей |
не предусмотрен |
не предусмотрен |
Госдума приняла пакет законопроектов о безопасности критической информационной инфраструктуры
12 июля Госдума приняла в третьем чтении пакет правительственных законопроектов, касающихся обеспечения безопасности критической информационной инфраструктуры (далее — КИИ) РФ.
Подробнее о законопроекте можно узнать в статье Николая Домуховского «Закон о безопасности КИИ: разбираемся в тонкостях».
Суть законопроекта:
Законопроектом устанавливаются основные принципы обеспечения безопасности КИИ и полномочия государственных органов РФ в области обеспечения ее безопасности. Устанавливаются права, обязанности и ответственность лиц, владеющих на праве собственности или ином законном основании объектами КИИ, операторов связи и информационных систем, обеспечивающих взаимодействие этих объектов.
Основные обязанности собственников КИИ:
Предусматривается, что собственники КИИ должны самостоятельно либо с привлечением организаций, имеющих лицензии на осуществление деятельности по технической защите конфиденциальной информации, осуществлять категорирование объектов КИИ, разрабатывать и осуществлять мероприятия по обеспечению безопасности объектов КИИ. В обязательном порядке необходимо будет информировать власти о компьютерных инцидентах, предотвращать неправомерные попытки доступа к информации, обеспечивать возможность восстановления функционирования объекта КИИ за счёт создания и хранения резервных копий информации.
Санкции:
В связи с выпуском законопроекта в УК РФ вводится новая статья 274 «Неправомерное воздействие на критическую информационную инфраструктуру РФ», в которой максимальные санкции за создание вредоносных программ для кибератак на КИИ предусматривают до 10 лет лишения свободы.
|
№ части статьи 274 УК |
Состав уголовного правонарушения |
Санкция |
|
1 |
Создание, распространение и (или) использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для неправомерного воздействия на КИИ РФ, в том числе для уничтожения, блокирования, модификации, копирования информации, содержащейся в ней, или нейтрализации средств защиты указанной информации |
Принудительные работы на срок до 5 лет с ограничением свободы на срок до 2 лет или без такового либо лишением свободы на срок от 2 до 5 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 3 лет |
|
2 |
Неправомерный доступ к охраняемой компьютерной информации, содержащейся в КИИ РФ, в том числе с использованием компьютерных программ либо иной компьютерной информации, которые заведомо предназначены для неправомерного воздействия на КИИ РФ, или иных вредоносных компьютерных программ, если он повлек причинение вреда КИИ РФ |
Принудительные работы на срок до 5 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 3 лет и с ограничением свободы на срок до 2 лет или без такового либо лишением свободы на срок от 2 до 6 лет со штрафом в размере от 500 000 до 1 000 000 рублей или в размере заработной платы или иного дохода осужденного за период от 1 года до 3 лет |
|
3 |
Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в КИИ РФ, или информационных систем, информационно-телекоммуникационных сетей, автоматизированных систем управления, сетей электросвязи, относящихся к КИИ РФ, либо правил доступа к указанным информации, информационным системам, информационно-телекоммуникационным сетям, автоматизированным системам управления, сетям электросвязи, если оно повлекло причинение вреда КИИ РФ |
Принудительные работы на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового либо лишением свободы на срок до 6 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового |
|
4 |
Деяния, предусмотренные частями первой, второй или третьей настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой, или лицом с использованием своего служебного положения |
Лишение свободы на срок от 3 до 8 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового |
|
5 |
Деяния, предусмотренные частями первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия |
Лишение свободы на срок от 5 до 10 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового |
Поправки ФСТЭК России в Приказы №21 и №31
ФСТЭК России опубликовала проект приказа, вносящего поправки в свои 21-й и 31-й приказы по защите информационных систем ПДн и автоматизированных систем управления технологическими процессами (далее — АСУ ТП) соответственно.
Предлагаются схемы применения сертифицированных средств защиты информации, которые по сути мало что меняют. К слову, ФСТЭК России в итоге приводит к единому знаменателю все средства защиты информации, которые должны применяться в информационных системах, а именно:
для АСУ ТП:
|
Тип СЗИ |
3 класс |
2 класс |
1 класс |
|
СВТ |
не ниже 5 |
||
|
Средства защиты |
не ниже 6 |
не ниже 5 |
не ниже 4 |
|
НДВ |
Нет требований |
не ниже 4 |
|
для ПДн:
|
Тип СЗИ |
4 уровень |
3 уровень |
2 уровень |
1 уровень |
|
СВТ |
не ниже 6 |
не ниже 5 |
||
|
Средства защиты |
не ниже 6 |
не ниже 6 |
не ниже 5 |
не ниже 4 |
|
НДВ |
Нет требований |
не ниже 4 |
||
Информационные письма ФСТЭК России
В июле 2017 года на сайте ФСТЭК России опубликованы следующие информационные письма:
- Информационное сообщение от 2 июля 2017 г. № 240/22/3171 «О мерах по защите информации, направленных на нейтрализацию угроз безопасности информации, связанных с проникновением и распространением вредоносного программного обеспечения WANNACRY, PETYA, MISHA и их модификаций», в котором перечислены рекомендации для борьбы с вредоносным программным обеспечением, в частности, указаны конкретные меры, перечисленные в 17/21/31-й приказах, которые необходимо выполнить специалистам по защите информации во избежание повторных компьютерных атак.
- Информационное сообщение от 22 июня 2017 г. № 240/22/3031 «О порядке рассмотрения и согласования моделей угроз безопасности информации и технических заданий на создание государственных информационных систем», в котором говорится, что с вступлением в силу Постановления Правительства РФ от 11 мая 2017 г. № 555 необходимо согласовывать модели угроз и технические задания федеральных информационных систем с центральным аппаратом ФСТЭК России, а региональных информационных систем с управлениями ФСТЭК России по федеральным округам. При этом в соответствии с Регламентом ФСТЭК России, утвержденным от 12 мая 2005 г. № 167, срок рассмотрения документов не должен превышать более 30 дней