Что день грядущий нам готовит?..

Кто владеет информацией, тот владеет всем миром. Наверное, всем знакомо это высказывание Натана Ротшильда. Обладание актуальной и достоверной информацией о готовящихся событиях (после ее анализа) позволяет принимать правильные управленческие решения с заделом на будущее. И конец 2020 года дал пищу для размышлений.

Автор: Алексей Раскутин, эксперт департамента информационной безопасности АО “КОНСИСТ-ОС"

Законодательное определение ЦОД

В контексте безопасности КИИ следует рассматривать проект федерального закона "О внесении изменений в Федеральный закон "О связи"1, разработанный Минцифрой. Помимо прочего предполагается законодательно закрепить понятие центра обработки данных (далее – ЦОД). Это важно, ведь, несмотря на заверения ФСТЭК России, определения термина "субъект критической информационной инфраструктуры" и вытекающего из него "объект критической информационной инфраструктуры" несовершенны. Как следствие, на практике нередки случаи, когда организации затрудняются с идентификацией себя в качестве субъекта КИИ или, например, организации – субъекты критической информационной инфраструктуры колеблются в выявлении у себя объектов критической информационной инфраструктуры.

В особенно сложном положении оказываются организации, владеющие ЦОД, так как, к сожалению, в настоящее время данный термин не имеет четкого законодательного закрепления. Его разношерстные определения можно почерпнуть из следующих источников:

• распоряжение Правительства России от 24.04.2007 г. No 516-р;
• приказ Минкомсвязи России от 30.04.2019 г. No 178;
• ГОСТ Р ИСО/МЭК 30134-1– 2018;
• ГОСТ Р 58811–2020;
• ГОСТ Р 58812–2020.

Из-за этого допускается разная трактовка того, можно ли считать ЦОД объектом критической информационной инфраструктуры или нет. Полагаю, что законодательное закрепление термина "ЦОД" снимет эту неопределенность. Однако на момент подготовки настоящей статьи упомянутый проект получил отрицательное заключение по результатам оценки регулирующего воздействия от Минэкономразвития и был отправлен на доработку, в том числе и в части доработки термина "ЦОД".

Штрафы за утечки

Совершенно ожидаемо и вполне закономерно на рассмотрение в Государственную Думу был внесен законопроект "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"², призванный усилить административную ответственность за разглашение информации с ограниченным доступом путем увеличения сумм штрафов в десять раз. Таким образом, для граждан размер штрафа был увеличен с нынешних 0,5–1 тыс. руб. до 5–10 тыс. руб., а для должностных лиц – с 4–5 тыс. руб. до 40–50 тыс. руб. К слову, будь такие штрафные санкции введены раньше, то, возможно, не случилось бы недавнего скандала, связанного с утечкой персональных данных москвичей, переболевших коронавирусом.

Штрафы за нарушения в сфере безопасности КИИ

Продолжаем смотреть на законодательные инициативы, призванные совершенствовать Кодекс Российской Федерации об административных правонарушениях. Рассмотрим законопроект "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации"³. ФСТЭК России полагает, что существующих составов административных правонарушений недостаточно для стимулирования субъектов критической информационной инфраструктуры относиться надлежащим образом к порядку исполнения Федерального закона 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и изданных в его исполнение нормативных правовых актов. Именно с этим связаны многочисленные попытки исправить ситуацию.

Так, первая попытка (через процедуру общественных обсуждений на федеральном портале проектов нормативных правовых актов) провалилась, вторая попытка через новый Кодекс Российской Федерации об административных правонарушениях займет неизвестно сколько времени, поэтому было решено зайти через Правительство Российской Федерации. Размеры штрафов и предложенные составы административных правонарушений представлены в таблице.

СКЗИ для ГИС

Надеюсь, что скоро мы увидим разработанные ФСБ России требования о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации (СКЗИ)⁴. Проект интересен тем, что в настоящее время при принятии решения об использовании средств криптографической защиты информации в информационных системах, включая государственные информационные системы (ГИС), приходится руководствоваться другим приказом ФСБ России – от 10.07.2014 г. No 378⁵. В отличие от упомянутого документа новый проект наконец-то позволит отделить ГИС от информационных систем персональных данных и в части использования средств криптографической защиты информации. В проекте предлагается установить дополнительную классификацию ГИС для определения необходимости использования СКЗИ того или иного класса. Причем в предложенном тексте проекта требования к использованию СКЗИ немного лояльнее, чем в уже упомянутом приказе ФСБ России.

Изменения в закон о ПД

Серьезный общественный резонанс и негодование со стороны бизнес-сообщества вызывает законопроект "О внесении изменений в Федеральный закон "О персональных данных" в части установления особенностей обработки общедоступных персональных данных"⁶. В целом идея, заложенная в этот законопроект, представляется верной, но ее исполнение вызывает ряд вопросов, от сумбурности и сложности самого текста законопроекта до установления норм, идущих вразрез с положениями Федерального закона от 27.07.2006 г. No 152-ФЗ "О персональных данных" и действительно благими идеями по его совершенствованию. Например, абсолютно непонятно стремление законодателя к тому, что общедоступные персональные данные могут стать таковыми только на основании отдельного согласия со стороны субъекта ПД. Особенно странно данная инициатива выглядит на фоне другого законопроекта, находящегося на рассмотрении в той же Госдуме, – "О внесении изменений в Федеральный закон "О персональных данных"⁷ в части уточнения порядка обработки персональных данных", подразумевающий, что субъект ПД может дать одно согласие для нескольких целей обработки персональных данных.

Вопросы вызывает и сама форма согласия. В настоящее время Федеральным законом "О персональных данных" предусматриваются две формы согласия: письменная и свободная. Причем письменная форма согласия используется исключительно в определенных законодательством России случаях, и такое согласие должно по своему наполнению соответствовать ст. 9 Федерального закона "О персональных данных". Один из случаев, когда для обработки персональных требуется письменное согласие, – включение их в общедоступные источники персональных данных. Однако рассматриваемый законопроект подразумевает, что персональные данные можно будет сделать общедоступными, используя любую форму согласия.

ГосСОПКА для персональных данных

Но жарче всего операторам персональных данных этой зимой стало от законопроекта "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности"⁸, в котором ловко замаскирована законодательная инициатива, предполагающая внесение изменений в ч. 2 ст. 19 Федерального закона "О персональных данных", в соответствии с которой обеспечение безопасности персональных данных будет достигаться организацией и осуществлением взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Напомню, что в настоящее время взаимодействие с ГосСОПКА является обязательным только для субъектов критической информационной инфраструктуры, но с принятием данного законопроекта это может стать обязательным и для всех операторов персональных данных, которыми формально являются все юридические лица. Конечно, когда читаешь этот законопроект, складывается впечатление, что у законодателя была мысль обязать взаимодействовать с ГосСОПКА только тех операторов персональных данных, которые обрабатывают персональные данные защищаемых лиц (см. Федеральный закон от 20 апреля 1995 г. No 45-ФЗ "О государственной защите судей, должностных лиц правоохранительных и контролирующих органов"). Однако предложенная конструкция распространяется, к сожалению, на всех операторов, и на момент написания этого материала данный законопроект успешно прошел первое чтение. А ситуация, когда видный российский оппозиционер в ходе расследования своего отравления использовал незаконно приобретенную информацию, содержащую персональные данные о защищаемых лицах, может только ускорить принятие данного законопроекта.

И кстати, лично меня волнует вопрос, будет ли введена административная ответственность за непредставление информации о компьютерных инцидентах в ГосСОПКА в случае с персональными данными по аналогии с тем, как планируется для субъектов КИИ.

Видимо, беспокойства операторов ПДн были услышаны в Госдуме, поэтому законопроект перед вторым чтением претерпел изменения, и норма, предполагающая осуществлять взаимодействие с ГосСОПКА, внесенными поправками была исключена.

Заключение

Конечно, до принятия всех названных выше изменений еще далеко. Достаточно часто законопроекты отклоняют либо доводят до официальной публикации с большим количеством правок. Но, полагаю, лучше уже сейчас понимать суть грядущих перемен, чтобы встретить их подготовленным. 

1. ID-проекта: 02/04/08-20/00107649
2. https://sozd.duma.gov.ru/bill/1023005-7 
3. https://sozd.duma.gov.ru/bill/1048574-7 
4. ID-проекта: 01/02/11-20/00110754
5. http://docs.cntd.ru/document/420208484 
6. https://sozd.duma.gov.ru/bill/1057337-7 
7. https://sozd.duma.gov.ru/bill/992331-7 
8. https://sozd.duma.gov.ru/bill/1070431-7