Обзор изменений в законодательстве в марте и апреле 2023 г.

Анастасия Заведенская, 02/06/23

В обзоре: защита государственной тайны, отмена административного регламента ФСБ России, Единая биометрическая система, обновление СТО БР БФБО, защита информации при осуществлении переводов денежных средств, дистанционное управление в электроэнергетике, контроль за деятельностью лицензиатов со стороны ФСТЭК России, обращение с документами ДСП, госконтроль за обработкой персональных данных.

Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности

Март-2023

В обзоре за март 2023 г. читайте о предложениях по изменению закона о государственной тайне, об отмене административного регламента ФСБ России, о нормотворчестве в части обработки персональных данных в единой биометрической системе (ЕБС) и о защите информации в банковской сфере.

Защита государственной тайны

Законопроект № 312862-8 "О внесении изменений в Закон Российской Федерации "О государственной тайне" и Федеральный закон "О порядке выезда из Российской Федерации и въезда в Российскую Федерацию" [1] в марте 2023 г. был внесен в Государственно Думу.

Законопроектом № 312862-8 предлагается:

Скорректировать дефиницию "допуск к государственной тайне" и дополнить понятие "режим секретности".
Скорректировать:
- порядок оформления и организации допуска к государственной тайне (далее ГТ);
- обязанности лиц, допущенных к ГТ;
- условия прекращения допуска к ГТ;
- ограничения прав лиц, допущенных к ГТ.
Внести изменения в Федеральный закон от 15 августа 1996 года № 114-ФЗ "О порядке выезда из Российской Федерации и въезда в Российскую Федерацию".

Отмена административного регламента ФСБ России

Приказ Федеральной службы безопасности Российской Федерации от 16.02.2023 г. № 83 "О признании утратившим силу приказа ФСБ Россииот5марта2015г.No152"Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны" [2] официально опубликован 6 марта 2023 г.

Указанным приказом был отменен административный регламент ФСБ России по государственному контролю за обеспечением защиты ГТ.

Единая биометрическая система

Постановление Правительства РФ от 27.03.2023 № 478 "Об утверждении Правил представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа и письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом указанных отказа и отзыва отказа, а также форм указанных отказа, отзыва отказа и письменного подтверждения их представления" [3] официально опубликовано 29 марта 2023 г. ПП РФ № 478 вступает в силу с 1 июня 2023 г.

ПП РФ № 478 утвердило порядок представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа, а также письменного подтверждения многофункциональным центром представления физическим лицом указанных отказа и отзыва отказа. Физическое лицо вправе представить отказ от сбора биометрических ПДн в отношении себя либо в отношении несовершеннолетнего, недееспособного или ограниченно дееспособного лица в случае, если указанное физическое лицо является законным представителем несовершеннолетнего, недееспособного или ограниченно дееспособного лица соответственно, а также отозвать такой отказ.

Постановление Правительства Российской Федерации от 24.03.2023 № 451 "Об утверждении Правил направления оператором регионального сегмента единой биометрической системы, аккредитованным государственным органом, Центральным банком Российской Федерации в случае прохождения им аккредитации, организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, мотивированного запроса оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, и предоставления оператором единой биометрической системы такой информации" [4] официально опубликовано 29 марта 2023 г. ПП РФ № 451 вступает в силу с 1 июня 2023 г.

ПП РФ № 451 установило правила получения информации о результатах проверки соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в единой биометрической системе. Такая проверка может быть инициирована на основании обращения субъекта ПДн, предполагающего неправомерную обработку его биометрических ПДн при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации.

Постановление Правительства Российской Федерации от 17.03.2023 № 405 "Об утверждении Правил получения согласия, указанного в пункте 6 части 5 статьи 26 Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации", и формы согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы" [5] официально опубликовано 20 марта 2023 г. ПП РФ № 405 вступает в силу с 1 июня 2023 г. и будет действовать до 1 января 2027 г., за исключением одного положения, действующего до 1 января 2025 г.

ПП РФ № 405 определило правила получения согласия физического лица:

на размещение его биометрических ПДн в региональном сегменте ЕБС;
на передачу его биометрических ПДн в ЕБС из региональных сегментов ЕБС;
на обработку таких биометрических ПДн в ЕБС;
на обработку ПДн и биометрических ПДн в целях проведения его аутентификации.

Обновление СТО БР БФБО

Подготовлен новый стандарт Банка России о безопасности финансовых (банковских) операций СТО БР БФБО-1.52023 [6] (взамен СТО БР БФБО-1.5-2018). Новая редакция начнет действовать с 1 октября 2023 г.

Стандарт регламентирует формы и сроки взаимодействия кредитных организаций, некредитных финансовых организаций и субъектов национальной платежной системы с Банком России о случаях инцидентов информационной безопасности. Стандарт устанавливает, что ФинЦЕРТ (Центр взаимодействия и реагирования Департамента информационной безопасности, специальное структурное подразделение Банка России) должен получать от банков информацию обо всех участниках мошеннических операций.

Защита информации АИС страхования

Проект положения Банка России "О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования" [7] представлен на общественное обсуждение 30 марта 2023 г.

Согласно проекту оператор автоматизированной информационной системы страхования должен обеспечить защиту информации в рамках следующих процессов (направлений):

защита информации при управлении доступом;
защита вычислительных сетей;
контроль целостности и защищенности информационной инфраструктуры;
защита от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники;
предотвращение утечек информации;
управление инцидентами защиты информации;
защита среды виртуализации;
защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

Оператор АИС страхования должен обеспечить использование прикладного программного обеспечения автоматизированных систем и приложений, распространяемых оператором среди пользователей, для совершения действий в целях обмена информацией, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях в сети "Интернет", прошедших сертификацию в системе сертификации ФСТЭК России, или оценку соответствия по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4, предусмотренного национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408-3– 2013.

Защита информации при осуществлении переводов денежных средств

Проект положения Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" [8] был опубликован 9 марта 2023 г.

Проектом положения предлагается заменить (отменить) действующее на текущий момент положение Банка России от 4 июня 2020 г. № 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств". Стоит отметить, что одна из отличительных особенностей проекта положения – установление, кроме требований к защите информации, порядка осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств. В сферу действия проекта положения также, в отличие от положения Банка России от 4 июня 2020 г. № 719-П, включены операторы электронных платформ.

Апрель-2023

В обзоре изменений законодательства в апреле 2023 г. рассмотрим требования по защите информации при осуществлении дистанционного управления в электроэнергетике, изменения в нормативной базе по госконтролю лицензиатов со стороны ФСТЭК России, госконтролю за обработкой персональных данных и госконтролю в сфере идентификации и (или) аутентификации, а также предложения по изменениям в части обращения с документами для служебного пользования.

Дистанционное управление в электроэнергетике

Проект приказа Минэнерго России "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике" [9] опубликован для общественного обсуждения 28 апреля 2023 г.

Требования устанавливают дополнительные требования по обеспечению информационной безопасности значимых объектов критической информационной инфраструктуры субъекта оперативно-диспетчерского управления в электроэнергетике, собственников и иных законных владельцев объектов по производству электрической энергии и (или) объектов электросетевого хозяйства при осуществлении дистанционного управления (ДУ) из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике. Требования распространяются на субъект оперативно-диспетчерского управления, субъекты электроэнергетики, сетевые организации, организации, осуществляющие разработку технических решений.

Напомним, что до 31 декабря 2023 г. включительно субъектами оперативнодиспетчерского управления в электроэнергетике являются:

системный оператор;
иные субъекты оперативно-диспетчерского управления в электроэнергетике - организации, осуществляющие оперативно-диспетчерское управление в электроэнергетике в пределах технологически изолированных территориальных электроэнергетических систем.

Начиная с 1 января 2024 г. субъектом оперативно-диспетчерского управления в электроэнергетике является системный оператор.

Следует обратить внимание, что "удаленный доступ" и "дистанционное управление" не являются равнозначными понятиями. Согласно проекту приказа Минэнерго России термины и определения используются в значениях, установленных ГОСТом для Единой энергетической системы и изолированно работающих энергосистем по оперативно-диспетчерскому управлению.

Проект приказа Минэнерго России определяет:

требования к защите трафика команд ДУ между диспетчерским центром и объектами электроэнергетики, включая использование средств криптографической защиты информации, прошедших процедуру оценки соответствия;
требования поддержки безопасности программного обеспечения в отношении программного обеспечения, используемого для реализации ДУ;
требования приоритетности использования средств защиты информации, встроенных в программное обеспечение и (или) программно-аппаратные средства, при их наличии.

Контроль за деятельностью лицензиатов со стороны ФСТЭК России

Проект приказа ФСТЭК России "Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю лицензионного контроля за деятельностью по технической защите конфиденциальной информации" [10] был представлен на общественное обсуждение 5 апреля 2023 г. Общественное обсуждение проекта завершилось 25 апреля, по итогам обсуждения опубликована версия, доработанная в соответствии с поступившими предложениями.

Проект приказа устанавливает процедуры лицензионного контроля за деятельностью по технической защите конфиденциальной информации:

соблюдение лицензиатами лицензионных требований;
исполнение решений, принимаемых по результатам проведения проверок.

Проект приказа ФСТЭК России "Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)" [11] также был представлен на общественное обсуждение 5 апреля 2023 г., по результатам которого была опубликована доработанная версия.

По аналогии с упомянутым выше проектом приказа ФСТЭК России указанный проект устанавливает процедуры лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России):

соблюдение лицензиатами лицензионных требований;
исполнение решений, принимаемых по результатам проведения проверок.

Кроме того, 10 апреля 2023 г. был опубликован проект приказа ФСТЭК России "О признании утратившими силу приказов ФСТЭК России по вопросам контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации" [12], отменяющий действующие административные регламенты ФСТЭК России по государственному контролю за лицензиатами.

Госконтроль за обработкой персональных данных

Приказ Роскомнадзора от 10.01.2023 г. № 1 "О внесении изменений в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. № 253" [13] (приказ РКН № 1) официально опубликован 5 апреля 2023 г.

Приказом РКН № 1 скорректирован список контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных. Контрольные вопросы приведены в соответствие с действующей редакции Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных". Так, например, изменения коснулись контрольных вопросов по части:

требований к поручению обработки ПДн третьему лицу;
требований по уведомлению Роскомнадзора о намерении осуществлять трансграничную передачу ПДн;
требований по уведомлению Роскомнадзора о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн и т.д.

Обращение с документами ДСП

Проект постановления Правительства Российской Федерации "Об утверждении Положения о порядке обращения с документами для служебного пользования в федеральных органах исполнительной власти, государственных корпорациях, а также подведомственных им организациях, о внесении изменений в отдельные положения некоторых актов Правительства Российской Федерации и признании утратившими силу некоторых актов и отдельных положений некоторых актов Правительства Российской Федерации" опубликован для общественного обсуждения 21 апреля 2023 г. [14]

Проектом постановления для утверждения предлагается положение о порядке обращения с документами для служебного пользования в федеральных органах исполнительной власти, государственных корпорациях, а также подведомственных им организациях.

Кроме того, предлагается признать утратившими силу постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности".

Единая биометрическая система

Постановление Правительства Российской Федерации от 11.04.2023 г. № 585 "Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации и признании утратившими силу некоторых актов Правительства Российской Федерации" [15] официально опубликовано 12 апреля 2023 г.

ПП РФ № 585 устанавливает порядок организации и осуществления федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации. Предметом государственного контроля (надзора) является соблюдение аккредитованными организациями, осуществляющими аутентификацию на основе биометрических ПДн физических лиц, аккредитованными государственными органами, Центральным банком Российской Федерации, в случае прохождения ими аккредитации требований Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" и иных принимаемых в соответствии с ним нормативных правовых актов".

Государственный контроль (надзор) осуществляется Минцифры России.