Обзор изменений в законодательстве. Сентябрь, октябрь-2021

Изменения требований к обработке персональных данных, новый порядок аттестации объектов информатизации, проект правил обращения со служебной тайной

Сентябрь-2021

Авторы:
Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
Наталья Григорьева, помощник аналитика Аналитического центра Уральского центра систем безопасности

В обзоре изменений за сентябрь 2021 г. рассмотрим повторную инициативу ФСБ России об изменениях в положениях о лицензировании, проследим изменения в требованиях к процессам обработки персональных данных, поговорим о государственном контроле в сфере электронной подписи и отчетности для финансовых организаций по защите информации для Банка России и посмотрим, какие требования в области информационной безопасности вступили в силу в сентябре текущего года.

Внесение изменений в положения о лицензировании отдельных видов деятельности

ФСБ России 27 сентября 2021 г. повторно выступила с инициативой проекта постановления Правительства Российской Федерации "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных видов деятельности" [1] (далее – проект ПП РФ). Первую версию данного проекта мы рассматривали в июльском обзоре изменений законодательства этого года [2]. Вступление проекта ПП РФ в силу предполагается с 1 марта 2022 г.

Проектом ПП РФ предлагается изменить следующие пункты:

  • положение о лицензировании деятельности по разработке, производству, реализации и приобретению в целях продажи специальных технических средств, предназначенных для негласного получения информации, утвержденное постановлением Правительства Российской Федерации от 12 апреля 2012 г. No 287;
  • положение о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, утвержденное постановлением Правительства Российской Федерации от 16 апреля 2012 г. No 313;
  • положение о лицензировании деятельности по выявлению электронных устройств, предназначенных для негласного получения информации (за исключением случая, если указанная деятельность осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя), утвержденное постановлением Правительства Российской Федерации от 16 апреля 2012 г. No 314.

Основным предлагаемым изменением остается запрет на осуществление лицензируемой деятельности иностранными юридическими лицами. Проектом ПП РФ уточняется, что оценка соответствия лицензионным требованиям соискателя лицензии проводится в форме документарной и выездной оценок. Предоставление же соискателем лицензии заявления и документов, необходимых для получения лицензии, осуществляется в форме электронных документов (пакета электронных документов) или на бумажном носителе.

Государственный контроль (надзор) за обработкой персональных данных

На официальном интернет-портале правовой информации 21 сентября 2021 г. был опубликован приказ Минцифры России No 686 "О признании утратившими силу приказа Министерства связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. No 312 "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных" и внесенных в него изменений" и внесенных в него изменений" [3] (далее – приказ No 686). Приказ No 686 вступил в силу 2 октября 2021 г.

Приказом No 686 признаются утратившими силу:

  • приказ Минцифры России от 14 ноября 2011 г. No 312 "Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных";
  • приказ Минцифры России от 8 октября 2014 г. No 403 "О внесении изменений в Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 14 ноября 2011 г. No 312".

Стоит отметить, что теперь государственный контроль (надзор) будет осуществляться в соответствии с постановлением Правительства Российской Федерации от 29 июня 2021 No 1046 "О федеральном государственном контроле (надзоре) за обработкой персональных данных" [4]. Данное постановление мы рассматривали в июньском обзоре за 2021 г. [5].

Требования по обработке биометрических персональных данных

  1. Приказ Минцифры России от 27 августа 2021 г. No 896 "Об утверждении требований к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа организации, владеющей информационной системой, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц и (или) оказывающей услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц" [6] (далее – приказ No 896) официально опубликован 17 сентября 2021 г.
  2. Приказ No 896 устанавливает часть требований для прохождения организациями аккредитации для допуска к сбору и обработке используемых для аутентификации биометрических персональных данных (ПДн) в информационных системах (далее – ИС) организаций, в том числе организаций финансового рынка, осуществляющих такую идентификацию и (или) аутентификацию. Требования к таким ИС установлены ст. 14.1 Федерального закона от 27 июля 2006 г. No 149-ФЗ "Об информации информационных технологиях и о защите информации" (далее – ФЗ-149). Большая часть указанных требований, как и приказ No 869, вступают в силу с 1 марта 2022 г. и будут действовать до 1 марта 2028 г.
  3. Приказ Минцифры России от 6 августа 2021 г. No 816 "Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных, а также об определении степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения идентификации, предусмотренной Федеральным законом от 27 июля 2006 г. No 149-ФЗ "Об информации, информационных технологиях и о защите информации" [7] (далее – приказ No 816) официально опубликован 8 сентября 2021 г.
  4. Приказом No 816 отменяется действовавшая ранее методика, определенная приказом Минцифры России от 21 июня 2018 г. No 307 "Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также об определении степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения идентификации, предусмотренной Федеральным законом от 27 июля 2006 года No 149-Ф3 "Об информации, информационных технологиях и о защите информации".
  5. Приказом No 816 установлено, что в отношении биометрических ПДн, используемых в соответствии с ч. 18 и 18.14 ст. 14.1 ФЗ-149 для идентификации, степень взаимного соответствия предоставленных биометрических ПДн физического лица его биометрическим ПДн, содержащимся в ИС, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических ПДн, достаточная для проведения идентификации физического лица, составляет не менее 0,9999.
  6. 3 сентября 2021 г. официально опубликован приказ Минцифры России от 7 июля 2021 г. No 685 "Об определении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных, требованиям, определенным в соответствии с пунктом 1 части 13 статьи 14.1 Федерального закона от 27 июля 2006 г. No 149-Ф3 "Об информации, информационных технологиях и о защите информации" [8] (далее – приказ No 685). Приказ No 685 замещает ранее действовавший приказ Минцифры России от 25 июня 2018 г. No 323 "Об утверждении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации, требованиям к информационным технологиям и техническим средствам, предназначенным для указанных целей".

Порядок уничтожения обезличенных ПДн субъектами экспериментального правового режима

Минцифры России 2 сентября 2021 г. опубликовало проект приказа "Об утверждении порядка уничтожения персональных данных, полученных в результате обезличивания, субъектом экспериментального правового режима в сфере цифровых инноваций в случае прекращения статуса субъекта экспериментального правового режима" [9] (далее – проект приказа).

Требования проекта приказа будут распространяться на субъекты экспериментального правового режима в сфере цифровых инноваций в случае прекращения такого статуса в соответствии с Федеральным законом от 31 июля 2020 г. No 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации".

Планируемый порядок уничтожения ПДн, полученных в результате обезличивания (далее – обезличенные данные), включает в себя следующие действия:

  1. Субъект экспериментального правового режима не позднее окончания рабочего дня, следующего за днем прекращения статуса, осуществляет блокирование обезличенных данных и в срок, не превышающий семи рабочих дней с даты наступления такого случая, уничтожает обезличенные данные.
  2. Факт уничтожения обезличенных данных фиксируется субъектом экспериментального правового режима в акте об их уничтожении (далее – акт), который составляется и подписывается субъектом экспериментального правового режима.
  3. В акт необходимо включить следующую информацию:
    - о дате, времени и месте составления акта;
    - о носителях обезличенных данных, позволяющих однозначным образом идентифицировать их;
    - о перечне и объеме уничтоженной информации;
    - о средствах защиты информации, посредством которых осуществлено уничтожение.
  4. Акт составляется в четырех экземплярах.
  5. Субъект экспериментального правового режима в течение трех рабочих дней со дня уничтожения обезличенных данных направляет в контрольно-надзорные органы (Роскомнадзор, ФСБ России, Минцифры России) подписанный акт с приложением документов, материалов и иной информации, подтверждающей факт уничтожения обезличенных данных (далее – документы). В случае непредоставления, несвоевременного предоставления или неполного предоставления документов в отношении субъекта экспериментального правового режима может быть принято решение о проведении контрольных (надзорных) мероприятий.

Для уничтожения обезличенных данных должны применятся прошедшие процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.

Соглашение о взаимной правовой помощи по административным вопросам в сфере обмена ПДн

В Государственную Думу Федерального Собрания Российской Федерации 28 сентября 2021 г. был внесен законопроект "О ратификации Соглашения о взаимной правовой помощи по административным вопросам в сфере обмена персональными данным" [10].

Соглашение о взаимной правовой помощи по административным вопросам в сфере обмена персональными данными (далее – соглашение) было подписано в Москве 18 декабря 2020 г. Сторонами соглашения являются государства – участники Содружества Независимых Государств.

Ратифицируемое соглашение предлагает следующее определение термина "ПДн": это любая информация, прямо или косвенно относящаяся к физическому лицу, либо лицу идентифицированному, либо тому лицу, которое может быть идентифицировано.

Перечень индикаторов риска нарушения обязательных требований в сфере электронной подписи

Минцифры России 15 сентября 2021 г. опубликовало проект приказа "Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи" [11].

В перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) в сфере электронной подписи, в частности, планируется включить:

  • ненаправление аккредитованным удостоверяющим центром в течение квартала с момента получения аккредитации сведений о выданных квалифицированных сертификатах ключей проверки электронной подписи (далее – квалифицированный сертификат) в единую систему идентификации и аутентификации (ЕСИА);
  • ненаправление аккредитованным удостоверяющим центром в течение квартала с момента последнего направления сведений о выданных квалифицированных сертификатах в ЕСИА;
  • наделение удостоверяющим центром третьих лиц (доверенных лиц) полномочиями по приему заявлений на выдачу сертификатов ключей проверки электронной подписи, а также вручению сертификатов.

Отчетность по защите информации для Банка России

Центральным Банком России 30 сентября 2021 г. опубликован проект указания "О внесении изменений в Указание Банка России от 8 октября 2018 года No 4927-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации" [12] (далее – проект указания).

Проектом указания предлагается дополнить формы отчетности кредитных организаций формой 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации". Предполагаются следующие сроки представления формы 0409071 кредитными организациями в Банк России:

  • не реже одного раза в год не позднее 30 рабочих дней со дня завершения проведения оценки соответствия, согласно требованию, установленному подп. 1.5.3 п. 1.5 положения Банка России от 20 апреля 2021 г. No 757-П, при совмещении деятельности с деятельностью некредитной финансовой организации, указанной в подп. 1.4.2 п. 1.4 Положения Банка России от 20 апреля 2021 г. No 757-П;
  • не реже одного раза в два года не позднее 30 рабочих дней со дня завершения проведения оценки соответствия согласно требованиям, установленным п. 9 положения Банка России от 17 апреля 2019 г. No 683-П, при осуществлении банковской деятельности, п. 2.3 и 6.7 положения Банка России от 4 июня 2020 г. No 719-П при осуществлении деятельности оператора по переводу денежных средств, оператора услуг платежной инфраструктуры при осуществлении деятельности расчетного центра, п. 19 Положения Банка России от 23 декабря 2020 г. No 747-П при осуществлении деятельности участника платежной системы Банка России;
  • не реже одного раза в три года не позднее 30 рабочих дней со дня завершения проведения оценки соответствия, согласно требованию, установленному подп. 1.5.3 п. 1.5 положения Банка России от 20 апреля 2021 г. No 757-П, при совмещении деятельности с деятельностью некредитной финансовой организации, указанной в подп. 1.4.3 п. 1.4 положения Банка России от 20 апреля 2021 года No 757-П.

В форму 0409071 включены следующие сведения:

  • сведения об оценке выполнения требований по направлению "Технологические меры";
  • сведения об оценке выполнения требований по направлению "Безопасность программного обеспечения";
  • сведения об оценке выполнения требований по направлению "Безопасность информационной инфраструктуры";
  • сведения о проверяющей организации. В рамках направления "Безопасность информационной инфраструктуры" проводится оценка применения организационных и технических мер процесса системы защиты информации, указанных в национальном стандарте Российской Федерации ГОСТ Р 57580.1–2017.

В том числе по этому направлению указываются значения оценки по результатам оценки соответствия защиты информации в соответствии с ГОСТ Р 57580.2– 2018. В сведениях о проверяющей организации в том числе указывается стоимость оценки соответствия, проведенной согласно положениям ГОСТ Р 57580.2– 2018.

9 сентября 2021 г. Банком России опубликован проект указания "О формах, сроках и методиках составления и представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности о защите информации при осуществлении переводов денежных средств" [13]. Данным проектом предлагается обновление форм отчетности 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра" и 0403203 "Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств".

Новый порядок аттестации объектов информатизации

ФСТЭК России 2 сентября 2021 г. опубликовала информационное сообщение "Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну" [14].

Информационным сообщением ФСТЭК России напоминает о вступлении в силу с 1 сентября 2021 г. нового порядка аттестации. Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утвержден приказом ФСТЭК России от 29 апреля 2021 г. No 77 и доступен на сайте ФСТЭК России [15]. Подробнее о новом порядке аттестации мы говорили в обзоре за август текущего года [16].

Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения

С 1 сентября 2021 г. вступил в силу приказ Роскомнадзора от 24 февраля 2021 г. No 18 "Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения". Указанные требования были опубликованы в апреле 2021 г.

Обзор изменений в законодательстве. Сентябрь, октябрь-2021

Октябрь-2021

Автор: Татьяна Пермякова, старший аналитик Аналитического центра Уральского центра систем безопасности

В обзоре изменений за октябрь 2021 г. рассмотрим правила надзора ФСТЭК России и ФСБ России за выполнением требований по обеспечению безопасности ПДн, ряд предложений по внесению изменений в требования к государственному надзору в этой сфере и проекты нормативно-правовых документов в области обработки биометрических персональных данных для идентификации и (или) аутентификации физических лиц.

Проекты нормативно-правовых актов в отношении контроля обработки и защиты ПДн

2 октября опубликовано постановление Правительства Российской Федерации No 1657 "Об утверждении Правил осуществления федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, контроля и надзора за выполнением органами, организациями, индивидуальными предпринимателями и нотариусами, указанными в части 18.2 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации", организационных и технических мер по обеспечению безопасности персональных данных и использованием средств защиты информации, указанных в части 18.3 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" [17].

Постановление утверждает правила осуществления контроля ФСТЭК России и ФСБ России за выполнением требований по обеспечению безопасности персональных данных (ПДн) при использовании единой биометрической системы операторами ПДн. Постановление фиксирует формы, основания и порядок проведения проверок, содержит указания к формированию комиссии органа государственного контроля, допустимые меры, принимаемые контролирующим органом в отношении фактов нарушения требований, а также признаки, по которым можно считать результаты проверки недействительными.

Внесение изменений в Положение о государственном контроле (надзоре) за обработкой персональных данных (проект)

Минцифры опубликовало проект постановления Правительства Российской Федерации "О внесении изменений в положение о государственном контроле (надзоре) за обработкой персональных данных" [18].

Постановление вводит ключевой показатель федерального контроля – долю контролируемых лиц, в деятельности которых по итогам плановых проверок выявлены нарушения законодательства в области ПДн.

Прогноз оптимистичный: целевое значение доли контролируемых лиц, в деятельности которых планируется выявить нарушения законодательства в области ПДн, от общего числа контролируемых лиц к 2026 г. (86%) снизится на 4% относительно 2022 г. (90%).

Общественное обсуждение проекта завершилось 18 октября.

Индикативные показатели для контроля за обработкой персональных данных

Минцифры России подготовило проект ведомственного приказа "Об утверждении индикативных показателей для федерального государственного контроля (надзора) за обработкой персональных данных" [19].

Приказ вводит 20 показателей. Они применяются для мониторинга федерального государственного контроля за обработкой ПДн, его анализа, выявления проблем, возникающих при его осуществлении, и определения причин их возникновения. Устанавливаемые показатели формируются с учетом реализуемого риск-ориентированного подхода при осуществлении надзора. Сведения об индикативных показателях используются при подготовке ежегодного доклада Роскомнадзора.

Общественное обсуждение проекта завершилось 4 ноября.

Индикаторы риска нарушения требований по надзору за обработкой персональных данных

Для обсуждения представлен еще один проект ведомственного приказа Минцифры "Об утверждении перечня индикаторов риска нарушения обязательных требований по федеральному государственному контролю (надзору) за обработкой персональных данных" [20].

Перечень индикаторов риска содержит две позиции: риски, связанные с невыполнением требований по уточнению, блокированию или уничтожению данных, а также с распространением, предоставлением ПДн в сети "Интернет".

Общественное обсуждение проекта завершилось 4 ноября.

Изменение требований к средствам удостоверяющего центра (проект)

ФСБ России опубликовала проект приказа "О внесении изменений в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. No 796" [21].

Предлагается изменение изложения мер по обеспечению защиты механизма формирования меток доверенного времени при подключении средств, реализующих его, к сети "Интернет", защиты от сетевых атак, вредоносного кода, обнаружения (предотвращения) вторжений, криптографической защите, а также доверенной загрузки средств вычислительной техники.

Публичное обсуждение проекта завершилось 27 октября. Согласно текущей версии проекта, планируемый срок действия приказа – с 1 марта 2022 г. до 1 января 2027 г.

Правила обращения со служебной тайной (проект)

Министерство обороны опубликовало проект постановления Правительства Российской Федерации "Об утверждении Правил обращения со сведениями, составляющими служебную тайну в области обороны" [22]. Постановление предназначено для органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и организаций, участвующих в организации и выполнении мероприятий в области обороны.

Проект содержит описание понятия "служебная тайна", порядок отнесения сведений к служебной тайне и перечень информации, которая не может быть к ней отнесена. Правила содержат описание реквизитов документов, содержащих служебную тайну, закрепляет ответственность должностных лиц при допуске к работе с такими сведениями, а также фиксируется порядок приема, отправки, учета и уничтожения документов, содержащих служебную тайну, и проверки наличия таких документов.

Публичное обсуждение проекта завершилось 25 октября.

Государственный контроль в сфере идентификации и аутентификации

13 октября официально опубликовано постановление Правительства Российской Федерации от 11.10.2021 No 1729 "Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации" [23].

Документ устанавливает порядок организации и осуществления государственного надзора в отношении аккредитованных организаций, осуществляющих идентификацию и (или) аутентификацию физических лиц с использованием их биометрических персональных данных.

Надзор осуществляется Минцифры. Положение содержит описание порядка проведения плановых проверок, правила сбора свидетельств нарушения требований и оформления результатов контрольных мероприятий. Приложение к положению содержит критерии отнесения объектов федерального государственного контроля в сфере идентификации и аутентификации к категориям риска причинения вреда (ущерба) охраняемым законом ценностям. Само положение содержит описание порядка управления рисками причинения такого вреда.

Документ вступает в силу с 1 января 2022 г.

Аккредитация для идентификации и аутентификации с использованием биометрии

Официально опубликовано постановление Правительства Российской Федерации от 20.10.2021 г. No 1799 "Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц" [24].

Аккредитацию проводит Минцифры. Постановление утверждает порядок подачи и приема заявления на аккредитацию, сроки и порядок принятия решения Минцифры об аккредитации или об отказе в аккредитации, а также порядок приостановления и прекращения действия аккредитации. Организации, не прошедшие аккредитацию, обязаны будут прекратить использование биометрии для идентификации и аутентификации физических лиц или заключить договор на использование для этих целей информационных систем других аккредитованных организаций.

Правила вступают в силу с 1 января 2022 г. (для иностранных юридических лиц – с 1 марта 2022 г.) и действуют до 1 января 2028 г.

Определен перечень случаев, в которых нужна аккредитация.

26 октября опубликовано постановление Правительства Российской Федерации от 23.10.2021 г. No 1815 "Об утверждении перечня случаев осуществления сбора и обработки используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также случаев использования организациями, за исключением кредитных организаций, некредитных финансовых организаций, которые осуществляют указанные в части первой статьи 761 Федерального закона "О Центральном банке Российской Федерации (Банке России)" виды деятельности, субъектами национальной платежной системы, индивидуальными предпринимателями указанных информационных систем для идентификации либо идентификации и аутентификации физического лица, выразившего согласие на их проведение" [25].

Перечень включает случаи идентификации и (или) аутентификации водителей такси, водителей каршеринга, с использованием СКУД (за рядом исключений), участников гражданско-правовых сообществ (за рядом исключений).

Документ вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г.

О порядке обработки биометрии

Официально опубликован приказ Минцифры от 10.09.2021 г. No 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации" [26].

Порядок обработки распространяется на данные изображения лица и данные голоса, собранные текстонезависимым методом. Приказ содержит порядок защиты указанных биометрических ПДн, требования к уведомлению об инцидентах ИБ, проведении оценки соответствия, хранению биометрических данных. Закреплены требуемые характеристики создаваемых образцов биометрических данных, подлежащих контролю качества.

Установлены условия и порядок размещения биометрических ПДн в единой биометрической системе, а также условия и сроки обязательного обновления данных.

Приказ вступает в силу с 1 марта 2022 г. и действует до 1 марта 2028 г.

Изменения в Положение о контроле в сфере электронной подписи (проект)

Для общественного обсуждения представлен проект постановления Правительства Российской Федерации "О внесении изменений в Положение о государственном контроле (надзоре) в сфере электронной подписи" [27].

Проект предлагает дополнить Положение о государственном контроле (надзоре) в сфере электронной подписи ключевыми показателями федерального государственного контроля (надзора) в сфере электронной подписи и их целевыми значениями.

Еще один оптимистичный прогноз: согласно предлагаемым изменениям, целевой показатель соотношения контролируемых лиц, которые получат повторные предписания, к общему количеству контролируемых лиц, в отношении которых выданы первичные предписания, к 2026 г. уменьшится на 25% (по сравнению с целевым показателем 2022 г.).

Обсуждение проекта завершено 1 ноября.

Изменения в перечень должностных лиц ФСБ России, уполномоченных составлять протоколы об административных правонарушениях

ФСБ России опубликовала проект приказа "О внесении изменений в приказ ФСБ России от 11 декабря 2013 г. No 747 "Об утверждении Перечня должностных лиц органов федеральной службы безопасности, уполномоченных составлять протоколы об административных правонарушениях, и о реализации отдельных положений Кодекса Российской Федерации об административных правонарушениях в органах федеральной службы безопасности" и утвержденный этим приказом Перечень" [28].

Проект предлагает расширить перечень лиц, уполномоченных составлять протоколы об административных правонарушениях, перечисленных в ч. 1 ст. 23.91 КоАП РФ.

Независимая антикоррупционная экспертиза проекта завершена 1 ноября.

Изменения в Положении о сертификации средств защиты информации

Официально опубликован приказ Федеральной службы по техническому и экспортному контролю от 05.08.2021 г. No 121 "О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. No 55".

В соответствии с приказом серийно производимое средство защиты информации (СрЗИ) считается сертифицированным, если оно произведено в срок действия сертификата, соответствует требованиям по безопасности и изготовитель осуществляет его техническую поддержку. Срок действия сертификата единичного средства (или партии) не устанавливается.

Приказ вносит ряд изменений и дополнений к описанию порядка подготовки образцов для сертификационных испытаний, их проведения, взаимодействия органа сертификации и производителя СрЗИ.

Дополнительные требования для некоторых объектов КИИ

Вступило в силу постановление Правительства Российской Федерации от 24 июля 2019 г. No 955 "Об утверждении требований к автоматизированной информационной системе оформления воздушных перевозок, к базам данных, входящим в ее состав, к информационно-телекоммуникационной сети, обеспечивающей работу указанной автоматизированной информационной системы, к ее оператору, а также мер по защите информации, содержащейся в ней, и порядка ее функционирования" [29].

Документ закрепляет дополнительные требования обеспечения информационной безопасности для объектов КИИ сферы транспорта, а именно воздушных перевозок. Среди требований – размещение баз данных и серверов на территории Российской Федерации, а также применение сертифицированных средств криптографической защиты информации.

***

  1. https://regulation.gov.ru/projects#npa=120793
  2. См. Заведенская А.А. Обзор изменений в законодательстве. Июль-2021 // Information Security/ Информационная безопасность. 2021. No 4. С. 4–6.
  3. http://publication.pravo.gov.ru/Document/View/0001202109210016
  4. http://publication.pravo.gov.ru/Document/View/000120210630005
  5. См. Заведенская А.А. Обзор изменений в законодательстве. Июнь-2021 // Information Security/Информационная безопасность. 2021. No 3. С. 6–9.
  6. http://publication.pravo.gov.ru/Document/View/0001202109170030
  7. http:// publication. pravo. gov. ru/ Document/ View/0001202109080035
  8. http://publication.pravo.gov.ru/Document/View/0001202109030034
  9. https://regulation.gov.ru/projects#npa=119927
  10. https://sozd.duma.gov.ru/bill/1256973-7
  11. https://regulation.gov.ru/projects#npa=120391
  12. https://regulation.gov.ru/projects#npa=120932
  13. https://regulation.gov.ru/projects#npa=120148
  14. https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2271-informatsionnoe-soobshchenie-fstek-rossii-ot-2-sentyabrya-2021-g-n-240-24-4303#
  15. https://fstec.ru/normotvorcheskaya/akty/53-prikazy/2270-prikaz-fstek-rossii-ot-29-aprelya-2021-g-n-77
  16. См. Заведенская А.А. Обзор изменений в законодательстве. Август-2021 // Information Security/Информационная безопасность. 2021. No 4. С. 6—7.
  17. http://publication.pravo.gov.ru/Document/View/0001202110020003
  18. https://regulation.gov.ru/projects#npa=121034
  19. https://regulation.gov.ru/projects#npa=121798
  20. https://regulation.gov.ru/projects#npa=121799
  21. https://regulation.gov.ru/projects#npa=121192
  22. https://regulation.gov.ru/projects#npa=121315
  23. http://publication.pravo.gov.ru/Document/View/0001202110130008
  24. http://publication.pravo.gov.ru/Document/View/0001202110210028
  25. http://publication.pravo.gov.ru/Document/View/0001202110260023
  26. http://publication.pravo.gov.ru/Document/View/0001202110280037
  27. https://regulation.gov.ru/projects#npa=121618
  28. https://regulation.gov.ru/projects#npa=121631
  29. http://publication.pravo.gov.ru/Document/View/0001201908020011