Изменения требований к обработке персональных данных, новый порядок аттестации объектов информатизации, проект правил обращения со служебной тайной
Авторы:
Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
Наталья Григорьева, помощник аналитика Аналитического центра Уральского центра систем безопасности
В обзоре изменений за сентябрь 2021 г. рассмотрим повторную инициативу ФСБ России об изменениях в положениях о лицензировании, проследим изменения в требованиях к процессам обработки персональных данных, поговорим о государственном контроле в сфере электронной подписи и отчетности для финансовых организаций по защите информации для Банка России и посмотрим, какие требования в области информационной безопасности вступили в силу в сентябре текущего года.
ФСБ России 27 сентября 2021 г. повторно выступила с инициативой проекта постановления Правительства Российской Федерации "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности" [1] (далее – проект ПП РФ). Первую версию данного проекта мы рассматривали в июльском обзоре изменений законодательства этого года [2]. Вступление проекта ПП РФ в силу предполагается с 1 марта 2022 г.
Проектом ПП РФ предлагается изменить следующие пункты:
Основным предлагаемым изменением остается запрет на осуществление лицензируемой деятельности иностранными юридическими лицами. Проектом ПП РФ уточняется, что оценка соответствия лицензионным требованиям соискателя лицензии проводится в форме документарной и выездной оценок. Предоставление же соискателем лицензии заявления и документов, необходимых для получения лицензии, осуществляется в форме электронных документов (пакета электронных документов) или на бумажном носителе.
На официальном интернет-портале правовой информации 21 сентября 2021 г. был опубликован приказ Минцифры России No 686 "О признании утратившими силу приказа Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. No 312 "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных" и внесенных в него изменений" и внесенных в него изменений" [3] (далее – приказ No 686). Приказ No 686 вступил в силу 2 октября 2021 г.
Приказом No 686 признаются утратившими силу:
Стоит отметить, что теперь государственный контроль (надзор) будет осуществляться в соответствии с постановлением Правительства Российской Федерации от 29 июня 2021 No 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных" [4]. Данное постановление мы рассматривали в июньском обзоре за 2021 г. [5].
Минцифры России 2 сентября 2021 г. опубликовало проект приказа "Об утверждении порядка уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима" [9] (далее – проект приказа).
Требования проекта приказа будут распространяться на субъекты экспериментального правового режима в сфере цифровых инноваций в случае прекращения такого статуса в соответствии с Федеральным законом от 31 июля 2020 г. No 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации".
Планируемый порядок уничтожения ПДн, полученных в результате обезличивания (далее – обезличенные данные), включает в себя следующие действия:
Для уничтожения обезличенных данных должны применятся прошедшие процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.
В Государственную Думу Федерального Собрания Российской Федерации 28 сентября 2021 г. был внесен законопроект "О ратификации Соглашения о взаимной правовой помощи по административным вопросам в сфере обмена персональными данным" [10].
Соглашение о взаимной правовой помощи по административным вопросам в сфере обмена персональными данными (далее – соглашение) было подписано в Москве 18 декабря 2020 г. Сторонами соглашения являются государства – участники Содружества Независимых Государств.
Ратифицируемое соглашение предлагает следующее определение термина "ПДн": это любая информация, прямо или косвенно относящаяся к физическому лицу, либо лицу идентифицированному, либо тому лицу, которое может быть идентифицировано.
Минцифры России 15 сентября 2021 г. опубликовало проект приказа "Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи" [11].
В перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, в частности, планируется включить:
Центральным Банком России 30 сентября 2021 г. опубликован проект указания "О внесении изменений в Указание Банка России от 8 октября 2018 года No 4927-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации" [12] (далее – проект указания).
Проектом указания предлагается дополнить формы отчетности кредитных организаций формой 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации". Предполагаются следующие сроки представления формы 0409071 кредитными организациями в Банк России:
В форму 0409071 включены следующие сведения:
В том числе по этому направлению указываются значения оценки по результатам оценки соответствия защиты информации в соответствии с ГОСТ Р 57580.2– 2018. В сведениях о проверяющей организации в том числе указывается стоимость оценки соответствия, проведенной согласно положениям ГОСТ Р 57580.2– 2018.
9 сентября 2021 г. Банком России опубликован проект указания "О формах, сроках и методиках составления и представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности о защите информации при осуществлении переводов денежных средств" [13]. Данным проектом предлагается обновление форм отчетности 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра" и 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств".
ФСТЭК России 2 сентября 2021 г. опубликовала информационное сообщение "Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" [14].
Информационным сообщением ФСТЭК России напоминает о вступлении в силу с 1 сентября 2021 г. нового порядка аттестации. Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержден приказом ФСТЭК России от 29 апреля 2021 г. No 77 и доступен на сайте ФСТЭК России [15]. Подробнее о новом порядке аттестации мы говорили в обзоре за август текущего года [16].
С 1 сентября 2021 г. вступил в силу приказ Роскомнадзора от 24 февраля 2021 г. No 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения". Указанные требования были опубликованы в апреле 2021 г.
Автор: Татьяна Пермякова, старший аналитик Аналитического центра Уральского центра систем безопасности
В обзоре изменений за октябрь 2021 г. рассмотрим правила надзора ФСТЭК России и ФСБ России за выполнением требований по обеспечению безопасности ПДн, ряд предложений по внесению изменений в требования к государственному надзору в этой сфере и проекты нормативно-правовых документов в области обработки биометрических персональных данных для идентификации и (или) аутентификации физических лиц.
2 октября опубликовано постановление Правительства Российской Федерации No 1657 "Об утверждении Правил осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями и нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации", организационных и технических мер по обеспечению безопасности персональных данных и использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" [17].
Постановление утверждает правила осуществления контроля ФСТЭК России и ФСБ России за выполнением требований по обеспечению безопасности персональных данных (ПДн) при использовании единой биометрической системы операторами ПДн. Постановление фиксирует формы, основания и порядок проведения проверок, содержит указания к формированию комиссии органа государственного контроля, допустимые меры, принимаемые контролирующим органом в отношении фактов нарушения требований, а также признаки, по которым можно считать результаты проверки недействительными.
Минцифры опубликовало проект постановления Правительства Российской Федерации "О внесении изменений в положение о государственном контроле (надзоре) за обработкой персональных данных" [18].
Постановление вводит ключевой показатель федерального контроля – долю контролируемых лиц, в деятельности которых по итогам плановых проверок выявлены нарушения законодательства в области ПДн.
Прогноз оптимистичный: целевое значение доли контролируемых лиц, в деятельности которых планируется выявить нарушения законодательства в области ПДн, от общего числа контролируемых лиц к 2026 г. (86%) снизится на 4% относительно 2022 г. (90%).
Общественное обсуждение проекта завершилось 18 октября.
Минцифры России подготовило проект ведомственного приказа "Об утверждении индикативных показателей для федерального государственного контроля (надзора) за обработкой персональных данных" [19].
Приказ вводит 20 показателей. Они применяются для мониторинга федерального государственного контроля за обработкой ПДн, его анализа, выявления проблем, возникающих при его осуществлении, и определения причин их возникновения. Устанавливаемые показатели формируются с учетом реализуемого риск-ориентированного подхода при осуществлении надзора. Сведения об индикативных показателях используются при подготовке ежегодного доклада Роскомнадзора.
Общественное обсуждение проекта завершилось 4 ноября.
Для обсуждения представлен еще один проект ведомственного приказа Минцифры "Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) за обработкой персональных данных" [20].
Перечень индикаторов риска содержит две позиции: риски, связанные с невыполнением требований по уточнению, блокированию или уничтожению данных, а также с распространением, предоставлением ПДн в сети "Интернет".
Общественное обсуждение проекта завершилось 4 ноября.
ФСБ России опубликовала проект приказа "О внесении изменений в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. No 796" [21].
Предлагается изменение изложения мер по обеспечению защиты механизма формирования меток доверенного времени при подключении средств, реализующих его, к сети "Интернет", защиты от сетевых атак, вредоносного кода, обнаружения (предотвращения) вторжений, криптографической защите, а также доверенной загрузки средств вычислительной техники.
Публичное обсуждение проекта завершилось 27 октября. Согласно текущей версии проекта, планируемый срок действия приказа – с 1 марта 2022 г. до 1 января 2027 г.
Министерство обороны опубликовало проект постановления Правительства Российской Федерации "Об утверждении Правил обращения со сведениями, составляющими служебную тайну в области обороны" [22]. Постановление предназначено для органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций, участвующих в организации и выполнении мероприятий в области обороны.
Проект содержит описание понятия "служебная тайна", порядок отнесения сведений к служебной тайне и перечень информации, которая не может быть к ней отнесена. Правила содержат описание реквизитов документов, содержащих служебную тайну, закрепляет ответственность должностных лиц при допуске к работе с такими сведениями, а также фиксируется порядок приема, отправки, учета и уничтожения документов, содержащих служебную тайну, и проверки наличия таких документов.
Публичное обсуждение проекта завершилось 25 октября.
13 октября официально опубликовано постановление Правительства Российской Федерации от 11.10.2021 No 1729 "Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации" [23].
Документ устанавливает порядок организации и осуществления государственного надзора в отношении аккредитованных организаций, осуществляющих идентификацию и (или) аутентификацию физических лиц с использованием их биометрических персональных данных.
Надзор осуществляется Минцифры. Положение содержит описание порядка проведения плановых проверок, правила сбора свидетельств нарушения требований и оформления результатов контрольных мероприятий. Приложение к положению содержит критерии отнесения объектов федерального государственного контроля в сфере идентификации и аутентификации к категориям риска причинения вреда (ущерба) охраняемым законом ценностям. Само положение содержит описание порядка управления рисками причинения такого вреда.
Документ вступает в силу с 1 января 2022 г.
Официально опубликовано постановление Правительства Российской Федерации от 20.10.2021 г. No 1799 "Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц" [24].
Аккредитацию проводит Минцифры. Постановление утверждает порядок подачи и приема заявления на аккредитацию, сроки и порядок принятия решения Минцифры об аккредитации или об отказе в аккредитации, а также порядок приостановления и прекращения действия аккредитации. Организации, не прошедшие аккредитацию, обязаны будут прекратить использование биометрии для идентификации и аутентификации физических лиц или заключить договор на использование для этих целей информационных систем других аккредитованных организаций.
Правила вступают в силу с 1 января 2022 г. (для иностранных юридических лиц – с 1 марта 2022 г.) и действуют до 1 января 2028 г.
Определен перечень случаев, в которых нужна аккредитация.
26 октября опубликовано постановление Правительства Российской Федерации от 23.10.2021 г. No 1815 "Об утверждении перечня случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также случаев использования организациями, за исключением кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 761 Федерального закона "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы, индивидуальными предпринимателями указанных информационных систем для идентификации либо идентификации и аутентификации физического лица, выразившего согласие на их проведение" [25].
Перечень включает случаи идентификации и (или) аутентификации водителей такси, водителей каршеринга, с использованием СКУД (за рядом исключений), участников гражданско-правовых сообществ (за рядом исключений).
Документ вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г.
Официально опубликован приказ Минцифры от 10.09.2021 г. No 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации" [26].
Порядок обработки распространяется на данные изображения лица и данные голоса, собранные текстонезависимым методом. Приказ содержит порядок защиты указанных биометрических ПДн, требования к уведомлению об инцидентах ИБ, проведении оценки соответствия, хранению биометрических данных. Закреплены требуемые характеристики создаваемых образцов биометрических данных, подлежащих контролю качества.
Установлены условия и порядок размещения биометрических ПДн в единой биометрической системе, а также условия и сроки обязательного обновления данных.
Приказ вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г.
Для общественного обсуждения представлен проект постановления Правительства Российской Федерации "О внесении изменений в Положение о государственном контроле (надзоре) в сфере электронной подписи" [27].
Проект предлагает дополнить Положение о государственном контроле (надзоре) в сфере электронной подписи ключевыми показателями федерального государственного контроля (надзора) в сфере электронной подписи и их целевыми значениями.
Еще один оптимистичный прогноз: согласно предлагаемым изменениям, целевой показатель соотношения контролируемых лиц, которые получат повторные предписания, к общему количеству контролируемых лиц, в отношении которых выданы первичные предписания, к 2026 г. уменьшится на 25% (по сравнению с целевым показателем 2022 г.).
Обсуждение проекта завершено 1 ноября.
ФСБ России опубликовала проект приказа "О внесении изменений в приказ ФСБ России от 11 декабря 2013 г. No 747 "Об утверждении Перечня должностных лиц органов федеральной службы безопасности, уполномоченных составлять протоколы об административных правонарушениях, и о реализации отдельных положений Кодекса Российской Федерации об административных правонарушениях в органах федеральной службы безопасности" и утвержденный этим приказом Перечень" [28].
Проект предлагает расширить перечень лиц, уполномоченных составлять протоколы об административных правонарушениях, перечисленных в ч. 1 ст. 23.91 КоАП РФ.
Независимая антикоррупционная экспертиза проекта завершена 1 ноября.
Официально опубликован приказ Федеральной службы по техническому и экспортному контролю от 05.08.2021 г. No 121 "О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. No 55".
В соответствии с приказом серийно производимое средство защиты информации (СрЗИ) считается сертифицированным, если оно произведено в срок действия сертификата, соответствует требованиям по безопасности и изготовитель осуществляет его техническую поддержку. Срок действия сертификата единичного средства (или партии) не устанавливается.
Приказ вносит ряд изменений и дополнений к описанию порядка подготовки образцов для сертификационных испытаний, их проведения, взаимодействия органа сертификации и производителя СрЗИ.
Вступило в силу постановление Правительства Российской Федерации от 24 июля 2019 г. No 955 "Об утверждении требований к автоматизированной информационной системе оформления воздушных перевозок, к базам данных, входящим в ее состав, к информационно-телекоммуникационной сети, обеспечивающей работу указанной автоматизированной информационной системы, к ее оператору, а также мер по защите информации, содержащейся в ней, и порядка ее функционирования" [29].
Документ закрепляет дополнительные требования обеспечения информационной безопасности для объектов КИИ сферы транспорта, а именно воздушных перевозок. Среди требований – размещение баз данных и серверов на территории Российской Федерации, а также применение сертифицированных средств криптографической защиты информации.