Контакты
Подписка 2025

Что день грядущий нам готовит?..

Алексей Раскутин, 19/01/21

Кто владеет информацией, тот владеет всем миром. Наверное, всем знакомо это высказывание Натана Ротшильда. Обладание актуальной и достоверной информацией о готовящихся событиях (после ее анализа) позволяет принимать правильные управленческие решения с заделом на будущее. И конец 2020 года дал пищу для размышлений.

Автор: Алексей Раскутин, эксперт департамента информационной безопасности АО “КОНСИСТ-ОС"

Законодательное определение ЦОД

В контексте безопасности КИИ следует рассматривать проект федерального закона "О внесении изменений в Федеральный закон "О связи"1, разработанный Минцифрой. Помимо прочего предполагается законодательно закрепить понятие центра обработки данных (далее – ЦОД). Это важно, ведь, несмотря на заверения ФСТЭК России, определения термина "субъект критической информационной инфраструктуры" и вытекающего из него "объект критической информационной инфраструктуры" несовершенны. Как следствие, на практике нередки случаи, когда организации затрудняются с идентификацией себя в качестве субъекта КИИ или, например, организации – субъекты критической информационной инфраструктуры колеблются в выявлении у себя объектов критической информационной инфраструктуры.

В особенно сложном положении оказываются организации, владеющие ЦОД, так как, к сожалению, в настоящее время данный термин не имеет четкого законодательного закрепления. Его разношерстные определения можно почерпнуть из следующих источников:

  • распоряжение Правительства России от 24.04.2007 г. No 516-р;
  • приказ Минкомсвязи России от 30.04.2019 г. No 178;
  • ГОСТ Р ИСО/МЭК 30134-1– 2018;
  • ГОСТ Р 58811–2020;
  • ГОСТ Р 58812–2020.

Из-за этого допускается разная трактовка того, можно ли считать ЦОД объектом критической информационной инфраструктуры или нет. Полагаю, что законодательное закрепление термина "ЦОД" снимет эту неопределенность. Однако на момент подготовки настоящей статьи упомянутый проект получил отрицательное заключение по результатам оценки регулирующего воздействия от Минэкономразвития и был отправлен на доработку, в том числе и в части доработки термина "ЦОД".

Штрафы за утечки

Совершенно ожидаемо и вполне закономерно на рассмотрение в Государственную Думу был внесен законопроект "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях"2, призванный усилить административную ответственность за разглашение информации с ограниченным доступом путем увеличения сумм штрафов в десять раз. Таким образом, для граждан размер штрафа был увеличен с нынешних 0,5–1 тыс. руб. до 5–10 тыс. руб., а для должностных лиц – с 4–5 тыс. руб. до 40–50 тыс. руб. К слову, будь такие штрафные санкции введены раньше, то, возможно, не случилось бы недавнего скандала, связанного с утечкой персональных данных москвичей, переболевших коронавирусом.

Штрафы за нарушения в сфере безопасности КИИ

Продолжаем смотреть на законодательные инициативы, призванные совершенствовать Кодекс Российской Федерации об административных правонарушениях. Рассмотрим законопроект "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации"3. ФСТЭК России полагает, что существующих составов административных правонарушений недостаточно для стимулирования субъектов критической информационной инфраструктуры относиться надлежащим образом к порядку исполнения Федерального закона 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" и изданных в его исполнение нормативных правовых актов. Именно с этим связаны многочисленные попытки исправить ситуацию.

Так, первая попытка (через процедуру общественных обсуждений на федеральном портале проектов нормативных правовых актов) провалилась, вторая попытка через новый Кодекс Российской Федерации об административных правонарушениях займет неизвестно сколько времени, поэтому было решено зайти через Правительство Российской Федерации. Размеры штрафов и предложенные составы административных правонарушений представлены в таблице.

СКЗИ для ГИС

Надеюсь, что скоро мы увидим разработанные ФСБ России требования о защите информации, содержащейся в государственных информационных системах, с использованием средств криптографической защиты информации (СКЗИ)4. Проект интересен тем, что в настоящее время при принятии решения об использовании средств криптографической защиты информации в информационных системах, включая государственные информационные системы (ГИС), приходится руководствоваться другим приказом ФСБ России – от 10.07.2014 г. No 3785. В отличие от упомянутого документа новый проект наконец-то позволит отделить ГИС от информационных систем персональных данных и в части использования средств криптографической защиты информации. В проекте предлагается установить дополнительную классификацию ГИС для определения необходимости использования СКЗИ того или иного класса. Причем в предложенном тексте проекта требования к использованию СКЗИ немного лояльнее, чем в уже упомянутом приказе ФСБ России.

Изменения в закон о ПД

Серьезный общественный резонанс и негодование со стороны бизнес-сообщества вызывает законопроект "О внесении изменений в Федеральный закон "О персональных данных" в части установления особенностей обработки общедоступных персональных данных"6. В целом идея, заложенная в этот законопроект, представляется верной, но ее исполнение вызывает ряд вопросов, от сумбурности и сложности самого текста законопроекта до установления норм, идущих вразрез с положениями Федерального закона от 27.07.2006 г. No 152-ФЗ "О персональных данных" и действительно благими идеями по его совершенствованию. Например, абсолютно непонятно стремление законодателя к тому, что общедоступные персональные данные могут стать таковыми только на основании отдельного согласия со стороны субъекта ПД. Особенно странно данная инициатива выглядит на фоне другого законопроекта, находящегося на рассмотрении в той же Госдуме, – "О внесении изменений в Федеральный закон "О персональных данных"7 в части уточнения порядка обработки персональных данных", подразумевающий, что субъект ПД может дать одно согласие для нескольких целей обработки персональных данных.

Вопросы вызывает и сама форма согласия. В настоящее время Федеральным законом "О персональных данных" предусматриваются две формы согласия: письменная и свободная. Причем письменная форма согласия используется исключительно в определенных законодательством России случаях, и такое согласие должно по своему наполнению соответствовать ст. 9 Федерального закона "О персональных данных". Один из случаев, когда для обработки персональных требуется письменное согласие, – включение их в общедоступные источники персональных данных. Однако рассматриваемый законопроект подразумевает, что персональные данные можно будет сделать общедоступными, используя любую форму согласия.

ГосСОПКА для персональных данных

Но жарче всего операторам персональных данных этой зимой стало от законопроекта "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности"8, в котором ловко замаскирована законодательная инициатива, предполагающая внесение изменений в ч. 2 ст. 19 Федерального закона "О персональных данных", в соответствии с которой обеспечение безопасности персональных данных будет достигаться организацией и осуществлением взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА). Напомню, что в настоящее время взаимодействие с ГосСОПКА является обязательным только для субъектов критической информационной инфраструктуры, но с принятием данного законопроекта это может стать обязательным и для всех операторов персональных данных, которыми формально являются все юридические лица. Конечно, когда читаешь этот законопроект, складывается впечатление, что у законодателя была мысль обязать взаимодействовать с ГосСОПКА только тех операторов персональных данных, которые обрабатывают персональные данные защищаемых лиц (см. Федеральный закон от 20 апреля 1995 г. No 45-ФЗ "О государственной защите судей, должностных лиц правоохранительных и контролирующих органов"). Однако предложенная конструкция распространяется, к сожалению, на всех операторов, и на момент написания этого материала данный законопроект успешно прошел первое чтение. А ситуация, когда видный российский оппозиционер в ходе расследования своего отравления использовал незаконно приобретенную информацию, содержащую персональные данные о защищаемых лицах, может только ускорить принятие данного законопроекта.

И кстати, лично меня волнует вопрос, будет ли введена административная ответственность за непредставление информации о компьютерных инцидентах в ГосСОПКА в случае с персональными данными по аналогии с тем, как планируется для субъектов КИИ.

Видимо, беспокойства операторов ПДн были услышаны в Госдуме, поэтому законопроект перед вторым чтением претерпел изменения, и норма, предполагающая осуществлять взаимодействие с ГосСОПКА, внесенными поправками была исключена.

Заключение

Конечно, до принятия всех названных выше изменений еще далеко. Достаточно часто законопроекты отклоняют либо доводят до официальной публикации с большим количеством правок. Но, полагаю, лучше уже сейчас понимать суть грядущих перемен, чтобы встретить их подготовленным. 


  1. ID-проекта: 02/04/08-20/00107649
  2. https://sozd.duma.gov.ru/bill/1023005-7 
  3. https://sozd.duma.gov.ru/bill/1048574-7 
  4. ID-проекта: 01/02/11-20/00110754
  5. http://docs.cntd.ru/document/420208484 
  6. https://sozd.duma.gov.ru/bill/1057337-7 
  7. https://sozd.duma.gov.ru/bill/992331-7 
  8. https://sozd.duma.gov.ru/bill/1070431-7 
Темы:Персональные данныеГИСПраво и нормативыКИИЖурнал "Информационная безопасность" №6, 2020СКЗИ

Программа мероприятий
для руководителей и специалистов
по защите информации

Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Слово не воробей, но DLP его поймает
    Дмитрий Костров, заместитель ГД по информационной безопасности ДКБ, IEK GROUP
    Информация – ценный актив и важнейшее достояние компании, требующее надежной защиты. Подходы к защите информации могут значительно различаться, но требования регуляторов обязывают компании обеспечивать безопасность данных, включая защиту ПДн. А ответственность за необходимость охраны коммерческой тайны ложится на плечи подразделений информационной безопасности. Помимо прочего, существует “чувствительная информация”, утечка которой способна привести к крайне негативным последствиям.
  • Новогодние рецепты против оборотных штрафов
    Введение оборотных штрафов за утечку персональных данных стало давно ожидаемым шагом. Однако остается открытым вопрос: помогут ли эти меры существенно изменить ситуацию? Редакция журнала “Информационная безопасность” собрала рецепты, которые помогут не только избежать штрафов, но и минимизировать риски утечек.
  • Рецепты от стагнации и формализма в защите ПДн
    В конце 2024 г. гипотетический эксперт по защите ПДн с профильным высшим образованием и многолетним опытом работы в отрасли мог бы сделать недвусмысленный вывод о полной незащищенности персональных данных граждан РФ. Почему так? Потому что наборы данных, идентифицирующие практически каждого россиянина, с высокой долей вероятности уже утекли в Интернет в период с 2022 г. по настоящее время. Наборы утекших ПДн накапливаются в Даркнете и трансформируются злоумышленниками под конкретные задачи в рамках какой-либо схемы мошенничества.
  • Новая роль SIEM в защите персональных данных
    Максим Степченков, совладелец компании RuSIEM
    Закон “О персональных данных” принят почти двадцать лет назад, но получилось так, что весь процесс защиты ПДн воспринимался больше через призму необходимости обоснования затрат и выполнения формальных требований, чем через истинное понимание угроз и рисков. Множество мер защиты, которые были внедрены за эти годы, основывались именно на законодательных установках, а не на реальном анализе угроз.
  • Обзор изменений в законодательстве. Ноябрь и декабрь 2024 года
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Усиление ответственности в области обработки ПДн. Стандарт по системам автоматизированного управления учетными записями и правами доступа. Изменения в 187-ФЗ. Использование криптографических средств. Программа профилактики нарушений лицензионных требований от ФСТЭК России. Программа профессиональной переподготовки от ФСТЭК России.
  • Что нужно знать про новые штрафы в области ПДн?
    Валерий Нарежный, к.э.н., советник юридической фирмы “Городисский и Партнеры”
    В сфере обработки ПДн в России произошли серьезные изменения – приняты поправки в УК РФ и КоАП РФ, направленные на повышение ответственности организаций и физических лиц за нарушения.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...