Compliance-дайджест: что изменилось в ИБ‑законодательстве в апреле

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

В сегодняшнем дайджесте — подборка новостей из мира комплаенса ИБ за апрель. Все новости в этом выпуске разбиты на тематические блоки: персональные и биометрические персональные данные, безопасность объектов КИИ, информационные сообщения ФСТЭК России, а также отраслевые изменения. Вы узнаете о ключевых поправках, которые предлагается внести в Федеральный закон «О персональных данных», об изменениях регуляторных требований в области защиты объектов критической информационной инфраструктуры и о других новшествах минувшего месяца. 

Персональные данные

1. На рассмотрение в Госдуму внесён законопроект № 101234-8, предусматривающий изменения в Федеральный закон «О персональных данных».

Проект содержит большое количество новшеств:

  • Вводится понятие «лицо, осуществляющее обработку персональных данных».

  • Оператор и обработчик должны заключать договор на поручение персональных данных (ПДн) и указывать в нем перечень таких сведений.

  • Определение «трансграничная передача данных» расширяется перечнем получателей ПДн.

  • Не допускается передавать ПДн в страны, не обеспечивающие их адекватную защиту, без предварительного разрешения Роскомнадзора, которое будет выдаваться регулятором в 30-дневный срок.

  • Все нормативные правовые акты, касающиеся обработки ПДн, разрабатываемые госорганами, Банком России, органами местного самоуправления, должны обязательно согласовываться с Минцифры России и Роскомнадзором.

  • Добавлен запрет на обработку биометрических ПДн несовершеннолетних.

  • Оператор обязан предоставить услугу даже в случаях, когда человек отказывается предоставить свои биометрические ПДн, если в соответствии с ФЗ собирать биометрию необязательно.

  • Предусмотрена разработка и утверждение Роскомнадзором требований (методики) в отношении оценки вреда субъектам ПДн.

  • Предусмотрена разработка и утверждение Роскомнадзором требований в отношении факта уничтожения ПДн.

  • Вводится обязанность операторов взаимодействовать с ГосСОПКА. ФСБ России должна будет передавать полученные данные об инцидентах, связанных с ПДн, в Роскомнадзор.

  • Вводится обязанность операторов в течение 24 часов уведомлять Роскомнадзор обо всех инцидентах. Указанная информация должна содержать сведения о причинах, повлекших нарушение прав субъектов ПДн, о предполагаемом вреде, нанесенном правам субъектов ПДн, о лицах, допустивших несанкционированный доступ к данным, а также о принятых мерах по устранению соответствующих последствий.

  • При отправке в Роскомнадзор уведомления о начале обработки ПДн оператор обязан для каждой цели обработки таких сведений указывать категории ПДн, категории субъектов, чьи персональные данные обрабатываются, правовое основание обработки ПДн, перечень действий с ПДн и способы обработки ПДн.

Биометрические персональные данные

2. Минцифры России опубликовало проект Постановления Правительства, определяющий требования к аккредитации государственных органов — владельцев и операторов государственных информационных систем (ГИС), которые используются для идентификации и аутентификации. Согласно проекту, в случаях, когда госорган является только владельцем таких систем, требования документа распространяются в том числе и на организацию, выполняющую функции оператора. Также проект устанавливает детальный порядок прохождения аккредитации, порядок приостановления и прекращения ее действия.

Безопасность объектов КИИ

3. Официально опубликован приказ ФСТЭК России от 10.02.2022 № 26, который внес изменения в Порядок ведения реестра значимых объектов критической информационной инфраструктуры страны. Согласно документу, в случае изменения сведений субъект КИИ должен направить регулятору уведомление в течение 20 рабочих дней.

4. Опубликован Указ Президента Российской Федерации от 14.04.2022 № 203 «О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации». Одна из основных функций комиссии — выработка предложений и рекомендаций по импортозамещению в КИИ.

Информационные сообщения ФСТЭК России

5. ФСТЭК России информирует об отмене оплаты государственной пошлины за госуслуги по предоставлению лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации. Соответствующее информационное сообщение от 25.03.2022 № 240/13/1561 размещено на сайте ФСТЭК России.

6. ФСТЭК России информирует о порядке предоставления документов по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не составляющей государственную тайну. Соответствующее информационное сообщение ФСТЭК России от 11.04.2022 № 240/24/1950 размещено на сайте регулятора.

Отраслевые изменения

7. Официально опубликован приказ Минцифры России от 25.02.2022 № 142, утвердивший форму проверочного листа (списка контрольных вопросов), используемого ведомством при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации.

8. Банк России принял Положение от 12.01.2022 №787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг».

9. Банк России принял Положение от 15.11.2021 №779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2022 года №86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг».

Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности направления «Solar Интеграция» компании «РТК-Солар»

Источник: https://habr.com/ru/company/solarsecurity/blog/667684/


Интересные статьи

Интересные статьи

Предположений о том, что Россия из-за санкций отключится от глобального Интернета, предостаточно. На сетевом уровне российский Интернет очень взаимосвязан и довольно устойчив, и какого-то большого э...
Решения для больших компаний обычно должны выдерживать высокие нагрузки. Когда в штате много десятков тысяч человек, и значительная доля из них ежедневно пользуются ...
Всем привет! Не так давно на работе в рамках тестирования нового бизнес-процесса мне понадобилась возможность авторизации под разными пользователями. Переход в соответствующий р...
Всем привет. Когда я искал информацию о журналировании (аудите событий) в Bitrix, на Хабре не было ни чего, в остальном рунете кое что было, но кто же там найдёт? Для пополнения базы знаний...
Если у вас есть интернет-магазин и вы принимаете платежи через Интернет, то с 01 июля 2017 года у вас есть онлайн-касса.