В сегодняшнем дайджесте — подборка новостей из мира комплаенса ИБ за апрель. Все новости в этом выпуске разбиты на тематические блоки: персональные и биометрические персональные данные, безопасность объектов КИИ, информационные сообщения ФСТЭК России, а также отраслевые изменения. Вы узнаете о ключевых поправках, которые предлагается внести в Федеральный закон «О персональных данных», об изменениях регуляторных требований в области защиты объектов критической информационной инфраструктуры и о других новшествах минувшего месяца.
Персональные данные
1. На рассмотрение в Госдуму внесён законопроект № 101234-8, предусматривающий изменения в Федеральный закон «О персональных данных».
Проект содержит большое количество новшеств:
Вводится понятие «лицо, осуществляющее обработку персональных данных».
Оператор и обработчик должны заключать договор на поручение персональных данных (ПДн) и указывать в нем перечень таких сведений.
Определение «трансграничная передача данных» расширяется перечнем получателей ПДн.
Не допускается передавать ПДн в страны, не обеспечивающие их адекватную защиту, без предварительного разрешения Роскомнадзора, которое будет выдаваться регулятором в 30-дневный срок.
Все нормативные правовые акты, касающиеся обработки ПДн, разрабатываемые госорганами, Банком России, органами местного самоуправления, должны обязательно согласовываться с Минцифры России и Роскомнадзором.
Добавлен запрет на обработку биометрических ПДн несовершеннолетних.
Оператор обязан предоставить услугу даже в случаях, когда человек отказывается предоставить свои биометрические ПДн, если в соответствии с ФЗ собирать биометрию необязательно.
Предусмотрена разработка и утверждение Роскомнадзором требований (методики) в отношении оценки вреда субъектам ПДн.
Предусмотрена разработка и утверждение Роскомнадзором требований в отношении факта уничтожения ПДн.
Вводится обязанность операторов взаимодействовать с ГосСОПКА. ФСБ России должна будет передавать полученные данные об инцидентах, связанных с ПДн, в Роскомнадзор.
Вводится обязанность операторов в течение 24 часов уведомлять Роскомнадзор обо всех инцидентах. Указанная информация должна содержать сведения о причинах, повлекших нарушение прав субъектов ПДн, о предполагаемом вреде, нанесенном правам субъектов ПДн, о лицах, допустивших несанкционированный доступ к данным, а также о принятых мерах по устранению соответствующих последствий.
При отправке в Роскомнадзор уведомления о начале обработки ПДн оператор обязан для каждой цели обработки таких сведений указывать категории ПДн, категории субъектов, чьи персональные данные обрабатываются, правовое основание обработки ПДн, перечень действий с ПДн и способы обработки ПДн.
Биометрические персональные данные
2. Минцифры России опубликовало проект Постановления Правительства, определяющий требования к аккредитации государственных органов — владельцев и операторов государственных информационных систем (ГИС), которые используются для идентификации и аутентификации. Согласно проекту, в случаях, когда госорган является только владельцем таких систем, требования документа распространяются в том числе и на организацию, выполняющую функции оператора. Также проект устанавливает детальный порядок прохождения аккредитации, порядок приостановления и прекращения ее действия.
Безопасность объектов КИИ
3. Официально опубликован приказ ФСТЭК России от 10.02.2022 № 26, который внес изменения в Порядок ведения реестра значимых объектов критической информационной инфраструктуры страны. Согласно документу, в случае изменения сведений субъект КИИ должен направить регулятору уведомление в течение 20 рабочих дней.
4. Опубликован Указ Президента Российской Федерации от 14.04.2022 № 203 «О Межведомственной комиссии Совета Безопасности Российской Федерации по вопросам обеспечения технологического суверенитета государства в сфере развития критической информационной инфраструктуры Российской Федерации». Одна из основных функций комиссии — выработка предложений и рекомендаций по импортозамещению в КИИ.
Информационные сообщения ФСТЭК России
5. ФСТЭК России информирует об отмене оплаты государственной пошлины за госуслуги по предоставлению лицензии на деятельность по технической защите конфиденциальной информации и лицензии на деятельность по разработке и производству средств защиты конфиденциальной информации. Соответствующее информационное сообщение от 25.03.2022 № 240/13/1561 размещено на сайте ФСТЭК России.
6. ФСТЭК России информирует о порядке предоставления документов по аттестации объектов информатизации, обрабатывающих информацию ограниченного доступа, не составляющей государственную тайну. Соответствующее информационное сообщение ФСТЭК России от 11.04.2022 № 240/24/1950 размещено на сайте регулятора.
Отраслевые изменения
7. Официально опубликован приказ Минцифры России от 25.02.2022 № 142, утвердивший форму проверочного листа (списка контрольных вопросов), используемого ведомством при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации.
8. Банк России принял Положение от 12.01.2022 №787-П «Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг».
9. Банк России принял Положение от 15.11.2021 №779-П «Об установлении обязательных для некредитных финансовых организаций требований к операционной надежности при осуществлении видов деятельности, предусмотренных частью первой статьи 76.1 Федерального закона от 10 июля 2022 года №86-ФЗ «О Центральном банке Российской Федерации (Банке России)», в целях обеспечения непрерывности оказания финансовых услуг».
Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности направления «Solar Интеграция» компании «РТК-Солар»