Обзор изменений в законодательстве за май 2018

Украина: закон о кибербезопасности

Пока в нашей стране в части законодательства по обеспечению безопасности критической информационной инфраструктуры (КИИ) временное затишье, в странах ближнего зарубежья эта тема начала набирать обороты.

Так, 9 мая Украина приняла закон «Об основных принципах обеспечения кибербезопасности Украины». В документе определены:
1. Правовые и организационные основы обеспечения защиты национальных интересов Украины в киберпространстве.
2. Основные цели, направления и принципы государственной политики в сфере кибербезопасности.
3. Полномочия и обязанности госорганов в сфере обеспечения кибербезопасности.
4. Полномочия и обязанности госорганов в сфере обеспечения кибербезопасности и основные принципы координации их деятельности.

В соответствии с законом, киберзащите подлежат коммуникационные системы всех форм собственности, в которых обрабатываются национальные информационные ресурсы и которые используются в интересах государства, а также объекты критической информационной инфраструктуры.

К последним отнесены системы, функционирующие на предприятиях, независимо от формы собственности, в области:

• энергетики;
• химической промышленности;
• транспорта;
• информационно-коммуникационных технологий;
• электронных коммуникаций;
• в банковском и финансовом секторах;
• в сферах водо-, газо- и электроснабжения, водоотвода;
• производства продуктов питания;
• сельского хозяйства;
• здравоохранения;
  Также к объектам критической инфраструктуры относятся коммунальные, аварийные и спасательные службы, стратегические предприятия, потенциально опасные производства.
  Здесь жирным шрифтом выделены сферы, не попадающие в область действия отечественного федерального закона 187-ФЗ.

Что касается промышленного сектора Украины, то, вероятно, предприятия, подлежащие защите, попадут в категорию стратегических или потенциально опасных предприятий. По какому признаку будут формироваться перечни таких предприятий, и как организации понять, является она стратегической или нет — пока не ясно.

Координация деятельности в сфере кибербезопасности возлагается на Президента через возглавляемый им Совет национальной безопасности и обороны Украины. Рабочим органом будет являться Национальный координационный центр кибербезопасности.

К основным субъектам национальной системы кибербезопасности отнесены:

• Государственная служба специальной связи и защиты информации Украины;
• Нацполиция;
• СБУ Минобороны;
• Генштаб Вооруженных Сил;
• разведывательные органы;
• Нацбанк;
• правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA, которая должна вести реестр киберинцидентов, помогать в устранении последствий кибератак, обучать киберзащите на семинарах и т. д.

В сфере кибербезопасности предусмотрено государственно-частное взаимодействие. Так, система своевременного выявления, предупреждения и нейтрализации киберугроз может быть создана с привлечением волонтерских организаций.
Предусмотрено повышение цифровой грамотности граждан и культуры безопасности поведения в киберпространстве. Запланированы обмен информацией о киберугрозах и координация команд реагирования на компьютерные чрезвычайные события. Для граждан, представителей промышленности и бизнеса создадут консультационные пункты. Кроме того, будет создана система подготовки кадров и повышения компетентности специалистов различных сфер деятельности по вопросам кибербезопасности.

Органам госуправления тоже добавили функций. В частности, Нацбанк должен будет определить порядок, требования и меры по обеспечению киберзащиты и ИБ в банковской системе и для субъектов перевода средств. Для этого создается центр киберзащиты.

Примечательно, что закон не распространяется на социальные сети, частные электронные информационные ресурсы в сети Интернет (включая блог-платформы, видеохостинги, другие веб-ресурсы), если такие информационные ресурсы не содержат информацию, необходимость защиты которой установлена законом.

С момента рассмотрения проекта в итоговый документ внесли поправки:
1. Полностью убрали зрения раздел о запрете применения сертифицированного СрЗИ. В проекте документа он звучал так:

93. ФСТЭК России принимает решение о запрете применения сертифицированного СрЗИ в случае, если применение СрЗИ может привести к невыполнению требований по безопасности информации или создает угрозы безопасности информации.
<…>
95. СрЗИ, в отношении которого принято решение о запрете его применения, подлежит замене на другое сертифицированное СрЗИ

2. Конкретизирован и сокращен перечень оснований для отказа в проведении сертификации. В п.25 Положения теперь не просто «наличие у ФСТЭК России сведений об угрозах безопасности, связанных с применением средства защиты информации», а «наличие в БДУ...».

Напомню, что сертификации в системе ФСТЭК России подлежат, в том числе:

• средства противодействия иностранным техническим разведкам, а также средства контроля эффективности противодействия иностранным техническим разведкам;
• средства технической защиты информации, включая средства, в которых они реализованы, а также средства контроля эффективности технической защиты информации.

В Приказе регламентированы процедуры проведения сертификации СрЗИ. В частности, подача заявки на сертификацию, принятие решения о проведении сертификации, выдача (отказ в выдаче) сертификата соответствия, переоформление сертификата соответствия, прекращение его действия и др.

На международном правовом поле по ИБ также произошли значимые изменения. В мае 2018 года Европа переключилась на обновлённые правила обработки персональных данных, установленные Общим регламентом по защите данных Регламент ЕС 2016/679 от 27 апреля 2016 г. или GDPR — General Data Protection Regulation.

Данный регламент, имеющий прямое действие во всех 28 странах ЕС, заменит рамочную Директиву о защите персональных данных 95/46/ЕС от 24 октября 1995 года.

С мая 2018 года ужесточается ответственность за нарушение правил обработки персональных данных: штрафы по GDPR достигают 20 миллионов евро (около 1,5 млрд руб.) (!!!) или 4% годового глобального дохода компании. Причем назначаться будет максимально возможный штраф — в зависимости от того, что больше: 20 миллионов евро или 4% годового глобального дохода.

Не удивительно, что после вступления директивы в силу, компании начали массово и весьма навязчиво обновлять свои публичные Политики безопасности.

GDPR имеет экстерриториальное действие, т. е. актуален для всех компаний, обрабатывающих персональные данные резидентов и граждан ЕС, независимо от местонахождения такой компании.

Хозяйке на заметку: разумеется, филиалы и представительства российских организаций на территории ЕС должны будут провести оценку соответствия и далее реализовать новые требования по ИБ.
В том числе речь идет, например, об онлайн-продаже товаров и услуг гражданам ЕС, даже если она осуществляется с территории РФ. А сюда попадают, на минуточку, РЖД, авиакомпании, гостиницы, хостелы и пр.

Важно отметить, что помимо обработки персональных данных в GDPR используется понятие мониторинга поведения субъектов данных, которое загоняет под действие GDPR ещё одну категорию субъектов. GDPR применяется к организациям, созданным за пределами ЕС, если они контролируют поведение жителей ЕС. Мониторинг может включать:

• отслеживание резидента ЕС в интернете;
• использование методов обработки данных для профилирования отдельных лиц, их поведения или их отношения к чему-либо (например, для анализа или прогнозирования личных предпочтений).

Что подразумевается под персональными данным в GDPR?

Как и в отечественном законе 152-ФЗ, персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъект данных), по которой прямо или косвенно можно его определить.
К такой информации относится в том числе имя, данные о местоположении, онлайн идентификатор или один или несколько факторов характерных для физической, физиологической, генетической, умственной, экономической, культурной или социальной идентичности этого физического лица (п. 1 ст. 4). Определение широкое и достаточно четко дает понять, что даже IP адреса также могут быть персональными данными.

Важно отметить, что существуют определенные типы персональных данных, относящиеся к категории особых или конфиденциальных персональных данных. Это информация, раскрывающая: расовое или этническое происхождение, политические взгляды, религиозные или философские убеждения и членство в профсоюзах. Кроме того, к этой группе относятся генетические, биометрические данные, используемые для идентификации физического лица, данные о состоянии здоровья, сведения, касающиеся сексуальной жизни или сексуальной ориентации (ст. 9).

6 принципов обработки данных по GDPR

Общий подход европейцев к обработке персональных данных сформулирован в виде 6 основных принципов:
1. Законность, справедливость и прозрачность. Персональные данные должны обрабатываться законно, справедливо и прозрачно. Любую информацию о целях, методах и объёмах обработки персональных данных следует излагать максимально доступно и просто.
2. Ограничение цели. Данные должны собираться и использоваться исключительно в тех целях, которые заявлены компанией (онлайн-сервисом).
3. Минимизация данных. Нельзя собирать личные данные в большем объёме, чем это необходимо для целей обработки.
4. Точность. Личные данные, которые являются неточными, должны быть удалены или исправлены (по требованию пользователя).
5. Ограничение хранения. Личные данные должны храниться в форме, которая позволяет идентифицировать субъекты данных на срок не более, чем это необходимо для целей обработки.
6. Целостность и конфиденциальность. При обработке данных пользователей компании обязаны обеспечить защиту персональных данных от несанкционированной или незаконной обработки, уничтожения и повреждения.

В целом, GDPR значительно расширяет права граждан и резидентов ЕС по контролю за их персональными данными.