В обзоре: защита государственной тайны, отмена административного регламента ФСБ России, Единая биометрическая система, обновление СТО БР БФБО, защита информации при осуществлении переводов денежных средств, дистанционное управление в электроэнергетике, контроль за деятельностью лицензиатов со стороны ФСТЭК России, обращение с документами ДСП, госконтроль за обработкой персональных данных.
Автор: Анастасия Заведенская, независимый эксперт по информационной безопасности
В обзоре за март 2023 г. читайте о предложениях по изменению закона о государственной тайне, об отмене административного регламента ФСБ России, о нормотворчестве в части обработки персональных данных в единой биометрической системе (ЕБС) и о защите информации в банковской сфере.
Законопроект № 312862-8 "О внесении изменений в Закон Российской Федерации "О государственной тайне" и Федеральный закон "О порядке выезда из Российской Федерации и въезда в Российскую Федерацию" [1] в марте 2023 г. был внесен в Государственно Думу.
Законопроектом № 312862-8 предлагается:
Приказ Федеральной службы безопасности Российской Федерации от 16.02.2023 г. № 83 "О признании утратившим силу приказа ФСБ Россииот5марта2015г.No152"Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по исполнению государственной функции по осуществлению федерального государственного контроля за обеспечением защиты государственной тайны" [2] официально опубликован 6 марта 2023 г.
Указанным приказом был отменен административный регламент ФСБ России по государственному контролю за обеспечением защиты ГТ.
Постановление Правительства РФ от 27.03.2023 № 478 "Об утверждении Правил представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа и письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом указанных отказа и отзыва отказа, а также форм указанных отказа, отзыва отказа и письменного подтверждения их представления" [3] официально опубликовано 29 марта 2023 г. ПП РФ № 478 вступает в силу с 1 июня 2023 г.
ПП РФ № 478 утвердило порядок представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа, а также письменного подтверждения многофункциональным центром представления физическим лицом указанных отказа и отзыва отказа. Физическое лицо вправе представить отказ от сбора биометрических ПДн в отношении себя либо в отношении несовершеннолетнего, недееспособного или ограниченно дееспособного лица в случае, если указанное физическое лицо является законным представителем несовершеннолетнего, недееспособного или ограниченно дееспособного лица соответственно, а также отозвать такой отказ.
Постановление Правительства Российской Федерации от 24.03.2023 № 451 "Об утверждении Правил направления оператором регионального сегмента единой биометрической системы, аккредитованным государственным органом, Центральным банком Российской Федерации в случае прохождения им аккредитации, организацией, осуществляющей аутентификацию на основе биометрических персональных данных физических лиц, мотивированного запроса оператору единой биометрической системы о предоставлении информации о результатах проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой биометрической системе, и предоставления оператором единой биометрической системы такой информации" [4] официально опубликовано 29 марта 2023 г. ПП РФ № 451 вступает в силу с 1 июня 2023 г.
ПП РФ № 451 установило правила получения информации о результатах проверки соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в единой биометрической системе. Такая проверка может быть инициирована на основании обращения субъекта ПДн, предполагающего неправомерную обработку его биометрических ПДн при проведении аутентификации и (или) оспаривающего результаты проведения аутентификации.
Постановление Правительства Российской Федерации от 17.03.2023 № 405 "Об утверждении Правил получения согласия, указанного в пункте 6 части 5 статьи 26 Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации", и формы согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы" [5] официально опубликовано 20 марта 2023 г. ПП РФ № 405 вступает в силу с 1 июня 2023 г. и будет действовать до 1 января 2027 г., за исключением одного положения, действующего до 1 января 2025 г.
ПП РФ № 405 определило правила получения согласия физического лица:
Подготовлен новый стандарт Банка России о безопасности финансовых (банковских) операций СТО БР БФБО-1.52023 [6] (взамен СТО БР БФБО-1.5-2018). Новая редакция начнет действовать с 1 октября 2023 г.
Стандарт регламентирует формы и сроки взаимодействия кредитных организаций, некредитных финансовых организаций и субъектов национальной платежной системы с Банком России о случаях инцидентов информационной безопасности. Стандарт устанавливает, что ФинЦЕРТ (Центр взаимодействия и реагирования Департамента информационной безопасности, специальное структурное подразделение Банка России) должен получать от банков информацию обо всех участниках мошеннических операций.
Проект положения Банка России "О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования" [7] представлен на общественное обсуждение 30 марта 2023 г.
Согласно проекту оператор автоматизированной информационной системы страхования должен обеспечить защиту информации в рамках следующих процессов (направлений):
Оператор АИС страхования должен обеспечить использование прикладного программного обеспечения автоматизированных систем и приложений, распространяемых оператором среди пользователей, для совершения действий в целях обмена информацией, а также программного обеспечения, обрабатывающего защищаемую информацию при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях в сети "Интернет", прошедших сертификацию в системе сертификации ФСТЭК России, или оценку соответствия по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4, предусмотренного национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408-3– 2013.
Проект положения Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" [8] был опубликован 9 марта 2023 г.
Проектом положения предлагается заменить (отменить) действующее на текущий момент положение Банка России от 4 июня 2020 г. № 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств". Стоит отметить, что одна из отличительных особенностей проекта положения – установление, кроме требований к защите информации, порядка осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств. В сферу действия проекта положения также, в отличие от положения Банка России от 4 июня 2020 г. № 719-П, включены операторы электронных платформ.
В обзоре изменений законодательства в апреле 2023 г. рассмотрим требования по защите информации при осуществлении дистанционного управления в электроэнергетике, изменения в нормативной базе по госконтролю лицензиатов со стороны ФСТЭК России, госконтролю за обработкой персональных данных и госконтролю в сфере идентификации и (или) аутентификации, а также предложения по изменениям в части обращения с документами для служебного пользования.
Проект приказа Минэнерго России "Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике" [9] опубликован для общественного обсуждения 28 апреля 2023 г.
Требования устанавливают дополнительные требования по обеспечению информационной безопасности значимых объектов критической информационной инфраструктуры субъекта оперативно-диспетчерского управления в электроэнергетике, собственников и иных законных владельцев объектов по производству электрической энергии и (или) объектов электросетевого хозяйства при осуществлении дистанционного управления (ДУ) из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике. Требования распространяются на субъект оперативно-диспетчерского управления, субъекты электроэнергетики, сетевые организации, организации, осуществляющие разработку технических решений.
Напомним, что до 31 декабря 2023 г. включительно субъектами оперативнодиспетчерского управления в электроэнергетике являются:
Начиная с 1 января 2024 г. субъектом оперативно-диспетчерского управления в электроэнергетике является системный оператор.
Следует обратить внимание, что "удаленный доступ" и "дистанционное управление" не являются равнозначными понятиями. Согласно проекту приказа Минэнерго России термины и определения используются в значениях, установленных ГОСТом для Единой энергетической системы и изолированно работающих энергосистем по оперативно-диспетчерскому управлению.
Проект приказа Минэнерго России определяет:
Проект приказа ФСТЭК России "Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю лицензионного контроля за деятельностью по технической защите конфиденциальной информации" [10] был представлен на общественное обсуждение 5 апреля 2023 г. Общественное обсуждение проекта завершилось 25 апреля, по итогам обсуждения опубликована версия, доработанная в соответствии с поступившими предложениями.
Проект приказа устанавливает процедуры лицензионного контроля за деятельностью по технической защите конфиденциальной информации:
Проект приказа ФСТЭК России "Об утверждении сроков и последовательности административных процедур при осуществлении Федеральной службой по техническому и экспортному контролю лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России)" [11] также был представлен на общественное обсуждение 5 апреля 2023 г., по результатам которого была опубликована доработанная версия.
По аналогии с упомянутым выше проектом приказа ФСТЭК России указанный проект устанавливает процедуры лицензионного контроля за деятельностью по разработке и производству средств защиты конфиденциальной информации (в пределах компетенции ФСТЭК России):
Кроме того, 10 апреля 2023 г. был опубликован проект приказа ФСТЭК России "О признании утратившими силу приказов ФСТЭК России по вопросам контроля за соблюдением лицензионных требований при осуществлении деятельности по технической защите конфиденциальной информации и деятельности по разработке и производству средств защиты конфиденциальной информации" [12], отменяющий действующие административные регламенты ФСТЭК России по государственному контролю за лицензиатами.
Приказ Роскомнадзора от 10.01.2023 г. № 1 "О внесении изменений в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. № 253" [13] (приказ РКН № 1) официально опубликован 5 апреля 2023 г.
Приказом РКН № 1 скорректирован список контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных. Контрольные вопросы приведены в соответствие с действующей редакции Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных". Так, например, изменения коснулись контрольных вопросов по части:
Проект постановления Правительства Российской Федерации "Об утверждении Положения о порядке обращения с документами для служебного пользования в федеральных органах исполнительной власти, государственных корпорациях, а также подведомственных им организациях, о внесении изменений в отдельные положения некоторых актов Правительства Российской Федерации и признании утратившими силу некоторых актов и отдельных положений некоторых актов Правительства Российской Федерации" опубликован для общественного обсуждения 21 апреля 2023 г. [14]
Проектом постановления для утверждения предлагается положение о порядке обращения с документами для служебного пользования в федеральных органах исполнительной власти, государственных корпорациях, а также подведомственных им организациях.
Кроме того, предлагается признать утратившими силу постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности".
Постановление Правительства Российской Федерации от 11.04.2023 г. № 585 "Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации и признании утратившими силу некоторых актов Правительства Российской Федерации" [15] официально опубликовано 12 апреля 2023 г.
ПП РФ № 585 устанавливает порядок организации и осуществления федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации. Предметом государственного контроля (надзора) является соблюдение аккредитованными организациями, осуществляющими аутентификацию на основе биометрических ПДн физических лиц, аккредитованными государственными органами, Центральным банком Российской Федерации, в случае прохождения ими аккредитации требований Федерального закона "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" и иных принимаемых в соответствии с ним нормативных правовых актов".
Государственный контроль (надзор) осуществляется Минцифры России.