📣Административная ответственность за нарушения в сфере идентификации и (или) аутентификации физических лиц
Вполне ожидаемый на фоне общего ужесточения законодательства РФ по обработке биометрических ПДн законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» представлен Минцифрой для общественного обсуждения.
Законопроектом предполагается установить административную ответственность за:
• Нарушение приказ Минцифры от 10.09.2021 № 930 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».
Штраф на должностных лиц в размере от 100 000 до 300 000 рублей, на юридических лиц – от 300 000 до 500 000 рублей.
• Обработку биометрических ПДн без аккредитации (подробнее об этой аккредитации здесь).
Штраф на должностных лиц
в размере от 300 000 до 600 000 рублей, на юридических лиц –
от 500 000 до 1 000 000 рублей.
Вполне ожидаемый на фоне общего ужесточения законодательства РФ по обработке биометрических ПДн законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» представлен Минцифрой для общественного обсуждения.
Законопроектом предполагается установить административную ответственность за:
• Нарушение приказ Минцифры от 10.09.2021 № 930 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации».
Штраф на должностных лиц в размере от 100 000 до 300 000 рублей, на юридических лиц – от 300 000 до 500 000 рублей.
• Обработку биометрических ПДн без аккредитации (подробнее об этой аккредитации здесь).
Штраф на должностных лиц
в размере от 300 000 до 600 000 рублей, на юридических лиц –
от 500 000 до 1 000 000 рублей.
Инструкция по выполнению требований законодательства Российской Федерации о защите критической информационной инфраструктуры организациями, осуществляющими деятельность с сфере оборонной, металлургической и химической промышленности: https://t.me/KII187FZ/60730
Telegram
Alex in КИИ 187-ФЗ
📣Уголовная ответственность за внесение недостоверных сведений в ЕСИА и ЕБС
Минцифры предлагает дополнить Уголовный кодекс Российской Федерации статьей 274.2, предусматривающей уголовную ответственность за внесение в ЕСИА и (или) в ЕБС заведомо недостоверных сведений.
Минцифры предлагает дополнить Уголовный кодекс Российской Федерации статьей 274.2, предусматривающей уголовную ответственность за внесение в ЕСИА и (или) в ЕБС заведомо недостоверных сведений.
ФСТЭК России публикует отчет о ходе работ по плану технического комитета по стандартизации «Защита информации» (ТК 362) (по состоянию на 31.05.2022).
Основные темы отчета:
• Интеллектуальные транспортные системы.
•Защита информации. Идентификация и аутентификация. Уровни доверия идентификации.
• Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией.
• Защита информации. Система организации и управления защитой информации. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Термины и определения.
• Защита информации. Управление компьютерными инцидентами. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами.
• Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты.
Основные темы отчета:
• Интеллектуальные транспортные системы.
•Защита информации. Идентификация и аутентификация. Уровни доверия идентификации.
• Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией.
• Защита информации. Система организации и управления защитой информации. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Термины и определения.
• Защита информации. Управление компьютерными инцидентами. Общие положения.
• Защита информации. Управление компьютерными инцидентами. Организация деятельности по управлению компьютерными инцидентами.
• Защита информации. Управление компьютерными инцидентами. Руководство по реагированию на компьютерные инциденты.
📯Отмена ГОСТ Р 58189-2018
ФСТЭК России собирается отменить ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».
ФСТЭК России собирается отменить ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации».
Forwarded from Александр Хинштейн
Правительство прислало положительный отзыв на наш законопроект об усилении контроля за оборотом персданных: есть ряд замечаний, но они - устранимы ко 2-му чтению.
Как и обещал, прежде, чем законопроект будет вынесен на рассмотрение Госдумы , мы соберём все заинтересованные стороны на площадке IT-Комитета, включая бизнес. Разумные и здравые замечания обязательно будут учтены.
Как и обещал, прежде, чем законопроект будет вынесен на рассмотрение Госдумы , мы соберём все заинтересованные стороны на площадке IT-Комитета, включая бизнес. Разумные и здравые замечания обязательно будут учтены.
Forwarded from Новости Правительства РФ
Дмитрий Чернышенко поручил направить в регионы единые методики работы штабов по кибербезопасности
http://government.ru/news/45636/
Заместитель Председателя Правительства Дмитрий Чернышенко в рамках VII ежегодной конференции «ЦИПР-2022» провёл совещание с руководителями цифровой трансформации федеральных органов исполнительной власти и регионов России.
На нём обсудили исполнение указа Президента Владимира Путина по обеспечению информационной безопасности, а также статус создания штабов по борьбе с киберугрозами.
Вице-премьер отметил, что на данный момент штабы созданы в 78 регионах. Соответствующего штаба или структурного подразделения пока не появилось в 7 субъектах.
«Обеспечение технологического суверенитета и информационной безопасности на всех уровнях – одна из приоритетных задач Правительства и глав субъектов. Прошу отстающие регионы до понедельника завершить работу по созданию штабов и структурных подразделений по кибербезопасности. Минцифры необходимо разработать единые методики по работе региональных штабов. Напомню, что их ключевая миссия – взаимодействие с IT-специалистами и организациями региона, обеспечение безопасности информационных систем и работа над повышением их устойчивости», – сказал Дмитрий Чернышенко.
Что касается федеральных органов власти, то штабы созданы в 61 из 73 ведомств. В числе передовых – Федеральное казначейство, МИД, Минобрнауки, Минпромторг и Минцифры.
http://government.ru/news/45636/
Заместитель Председателя Правительства Дмитрий Чернышенко в рамках VII ежегодной конференции «ЦИПР-2022» провёл совещание с руководителями цифровой трансформации федеральных органов исполнительной власти и регионов России.
На нём обсудили исполнение указа Президента Владимира Путина по обеспечению информационной безопасности, а также статус создания штабов по борьбе с киберугрозами.
Вице-премьер отметил, что на данный момент штабы созданы в 78 регионах. Соответствующего штаба или структурного подразделения пока не появилось в 7 субъектах.
«Обеспечение технологического суверенитета и информационной безопасности на всех уровнях – одна из приоритетных задач Правительства и глав субъектов. Прошу отстающие регионы до понедельника завершить работу по созданию штабов и структурных подразделений по кибербезопасности. Минцифры необходимо разработать единые методики по работе региональных штабов. Напомню, что их ключевая миссия – взаимодействие с IT-специалистами и организациями региона, обеспечение безопасности информационных систем и работа над повышением их устойчивости», – сказал Дмитрий Чернышенко.
Что касается федеральных органов власти, то штабы созданы в 61 из 73 ведомств. В числе передовых – Федеральное казначейство, МИД, Минобрнауки, Минпромторг и Минцифры.
⚡️Типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры
https://digital.gov.ru/ru/documents/8235/
Напоминаю, что оценить уровень защищённости должны некоторые органы и организации, указанные в Указе Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
https://digital.gov.ru/ru/documents/8235/
Напоминаю, что оценить уровень защищённости должны некоторые органы и организации, указанные в Указе Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Листок бюрократической защиты информации
⚡️Типовое техническое задание на выполнение работ по оценке уровня защищенности информационной инфраструктуры https://digital.gov.ru/ru/documents/8235/ Напоминаю, что оценить уровень защищённости должны некоторые органы и организации, указанные в Указе Президента…
Коллеги, что думаете относительно перечня ключевых организаций, которым необходимо оценить уровень защищённости своих информационных систем (органов не касаемся)?
Anonymous Poll
23%
Будет исчерпывающим с конкретным перечислением организаций и их наименований.
62%
Будет указание критериев отнесения к ключевым организациям (наличие ЗОКИИ или что-то подобное).
15%
Что-то иное (обсудить можно здесь https://t.me/KII187FZ).
Биометрия шагает в массы
Официально опубликованы:
• Постановление Правительства Российской Федерации от 15.06.2022 № 1066 «О размещении физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».
• Постановление Правительства Российской Федерации от 15.06.2022 № 1067 «О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».
Официально опубликованы:
• Постановление Правительства Российской Федерации от 15.06.2022 № 1066 «О размещении физическими лицами своих биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».
• Постановление Правительства Российской Федерации от 15.06.2022 № 1067 «О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».
Положение о ЕБС
Официально опубликовано постановление Правительства Российской Федерации от 16.06.2022 № 1089 «Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».
Официально опубликовано постановление Правительства Российской Федерации от 16.06.2022 № 1089 «Об утверждении Положения о единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица».
Forwarded from РоскомнадZор
В связи с публикацией газетой «Коммерсантъ» статьи «Данные переходят границы бюджетов» (https://www.kommersant.ru/doc/5422522) Роскомнадзор публикует полный текст ответа на запрос издания. Полагаем важным обратить внимание на аспекты, которые издание не включило в статью.
«С приведенными в запросе расчётами согласиться не можем, поскольку они основаны на неверном толковании проекта закона.
Оператор персональных данных (ПД) должен уведомлять Роскомнадзор один раз для каждой страны, в которую передаёт, а не о каждой транзакции. Более того, законопроект не запрещает передачу персональных данных во многие страны мира на время рассмотрения уведомления. Именно поэтому речь об уведомлении ведомства, а не получении разрешения.
Это касается стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (46 стран), а также стран, которые включены Роскомнадзором в Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных (29 стран). Полный перечень стран: https://rkn.gov.ru/news/rsoc/news73940.htm
США отказались подписать упомянутую Конвенцию по защите персданных граждан других стран и не входят ни в один из списков.
Законопроект развивает уже действующие нормы закона о защите ПД при передаче за рубеж, допускающего трансграничную передачу только если оператор предварительно убедился в безопасности такой передачи.
Уведомлять Роскомнадзор оператор ПД может в электронном виде.
По предложению главы думского Комитета по информационной политике, информационным технологиям и связи А.Е. Хинштейна сроки рассмотрения Роскомнадзором уведомления будут сокращены до 10 рабочих дней.
Защита персональных данных российских граждан при трансграничной передаче является частью суверенитета страны. Законопроект направлен на создание правовых оснований и механизмов обеспечения данной защиты. Реализация законопроекта не является затратной и обременительной для бизнеса».
«С приведенными в запросе расчётами согласиться не можем, поскольку они основаны на неверном толковании проекта закона.
Оператор персональных данных (ПД) должен уведомлять Роскомнадзор один раз для каждой страны, в которую передаёт, а не о каждой транзакции. Более того, законопроект не запрещает передачу персональных данных во многие страны мира на время рассмотрения уведомления. Именно поэтому речь об уведомлении ведомства, а не получении разрешения.
Это касается стран, подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (46 стран), а также стран, которые включены Роскомнадзором в Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных (29 стран). Полный перечень стран: https://rkn.gov.ru/news/rsoc/news73940.htm
США отказались подписать упомянутую Конвенцию по защите персданных граждан других стран и не входят ни в один из списков.
Законопроект развивает уже действующие нормы закона о защите ПД при передаче за рубеж, допускающего трансграничную передачу только если оператор предварительно убедился в безопасности такой передачи.
Уведомлять Роскомнадзор оператор ПД может в электронном виде.
По предложению главы думского Комитета по информационной политике, информационным технологиям и связи А.Е. Хинштейна сроки рассмотрения Роскомнадзором уведомления будут сокращены до 10 рабочих дней.
Защита персональных данных российских граждан при трансграничной передаче является частью суверенитета страны. Законопроект направлен на создание правовых оснований и механизмов обеспечения данной защиты. Реализация законопроекта не является затратной и обременительной для бизнеса».
Коммерсантъ
Данные переходят границы бюджетов
Новые требования к передаче личной информации могут дорого обойтись бизнесу
Листок бюрократической защиты информации
В дополнение. Уверен, многие понимают, что номер телефона, адрес электронной почты и почтовый адрес, относящиеся к физическому лицу, - персональные данные (мнение о том, как определять, является ли та или иная информация ПДн, излагалось здесь). Другой вопрос…
Неожиданное продолжение, выраженное развитием и поддержкой данной инициативы: https://t.me/prv_adv/225
Telegram
Privacy Advocates
🇷🇺😱🏛️ #законопроект #спецкатегории #контакты
Законопроект об отнесении контактных данных (номер телефона, адрес электронной почты или почтовый адрес) к специальной категории данных согласно ст.10 Федерального закона «О персональных данных» сбыл принят к…
Законопроект об отнесении контактных данных (номер телефона, адрес электронной почты или почтовый адрес) к специальной категории данных согласно ст.10 Федерального закона «О персональных данных» сбыл принят к…
📣 Минздрав России разработал Концепцию информационной безопасности в сфере здравоохранения и анонсировал создание Отраслевого Центра информационной безопасности и импортозамещения программного обеспечения Министерства здравоохранения Российской Федерации.
Концепция_ИБ_в_сфере_здравоохранения.pdf
23.2 MB
Если ссылка для чтения Концепции не работает, то вот на всякий случай.
Из законопроекта с поправками в 152-ФЗ планируется убрать требование о непрерывном взаимодействии с ГосСОПКА
Данная новость недавно завирусилась в информационном пространстве.
Отмечается, что такие правки законопроекта облегчат исполнение закона крупному бизнесу. Однако, полагаю, что непрерывное взаимодействие с ГосСОПКА могло бы стать больше проблемой для малого бизнеса.
К сожалению, заметил, что некоторые малые операторы и сейчас не в полной мере выполняют даже формальные бумажные требования 152-ФЗ.
Впору рассматривать не только ужесточение 152-ФЗ, но и введение неких субсидий, чтобы малые операторы могли привести процесс обработки и защиты ПДн в надлежащее состояние с привлечением соответствующих интеграторов.
Данная новость недавно завирусилась в информационном пространстве.
Отмечается, что такие правки законопроекта облегчат исполнение закона крупному бизнесу. Однако, полагаю, что непрерывное взаимодействие с ГосСОПКА могло бы стать больше проблемой для малого бизнеса.
К сожалению, заметил, что некоторые малые операторы и сейчас не в полной мере выполняют даже формальные бумажные требования 152-ФЗ.
Впору рассматривать не только ужесточение 152-ФЗ, но и введение неких субсидий, чтобы малые операторы могли привести процесс обработки и защиты ПДн в надлежащее состояние с привлечением соответствующих интеграторов.
Коммерсантъ
Данным облегчат экспорт
Нормы о трансграничной передаче личной информации предложено смягчить
В чате «КИИ 187-ФЗ» случилась «утечка» ранее не представленных широкой общественной аудитории проектов типового положения о заместителе организации, ответственного за обеспечение ИБ, и типового положения о подразделении, ответственном за обеспечение ИБ, которые должны быть разработаны Правительством Российской Федерации в рамках исполнения Указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Telegram
Антон Чехов in КИИ 187-ФЗ
⚡️Перечень ключевых органов и организаций, которым необходимо оценить уровень защищённости своих ИС
Официально опубликовано распоряжение Правительства Российской Федерации от 22.06.2022 № 1661-р, утвердившее Перечень ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России.
Более подробно о зонах ответственности по исполнению Указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» можно узнать здесь.
Официально опубликовано распоряжение Правительства Российской Федерации от 22.06.2022 № 1661-р, утвердившее Перечень ключевых органов (организаций), которым необходимо осуществить мероприятия по оценке уровня защищенности своих информационных систем с привлечением организаций, имеющих соответствующие лицензии ФСБ России и ФСТЭК России.
Более подробно о зонах ответственности по исполнению Указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» можно узнать здесь.
Telegram
Листок бюрократической защиты информации
Часть праздников прошла, а выполнять неожиданный и уже нашумевший Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» надо.
Самое время детально посмотреть, что…
Самое время детально посмотреть, что…
Изменения в программы переподготовки и повышения квалификации специалистов по ЗИ
ФСТЭК России информирует о внесении изменений в следующие примерные программы:
— профессиональной переподготовки «Информационная безопасность. Техническая защита конфиденциальной безопасности»;
— профессиональной переподготовки «Техническая защита информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну»;
— повышения квалификации «Техническая защита информации. Сертификация средств защиты информации по требованиям безопасности информации»;
— повышения квалификации «Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа»;
— повышения квалификации «Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну»;
— повышения квалификации «Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа, не содержащей сведения составляющие государственную тайну, от утечки по техническим каналам»;
— повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры.
Соответствующее информационное сообщение опубликовано регулятором.
ФСТЭК России информирует о внесении изменений в следующие примерные программы:
— профессиональной переподготовки «Информационная безопасность. Техническая защита конфиденциальной безопасности»;
— профессиональной переподготовки «Техническая защита информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну»;
— повышения квалификации «Техническая защита информации. Сертификация средств защиты информации по требованиям безопасности информации»;
— повышения квалификации «Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа»;
— повышения квалификации «Техническая защита информации. Организация защиты информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну»;
— повышения квалификации «Техническая защита информации. Способы и средства защиты информации от несанкционированного доступа, не содержащей сведения составляющие государственную тайну, от утечки по техническим каналам»;
— повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры.
Соответствующее информационное сообщение опубликовано регулятором.
fstec.ru
Информационное сообщение ФСТЭК России от 22 июня 2022 г. N 240/11/3357 - ФСТЭК России
Официальный сайт Федеральной службы по техническому и экспортному контролю (ФСТЭК России)
⚡️Изменения в 187-ФЗ..., но не те, которых мы ждали
В ГосДуму внесен законопроект «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации».
Поправками предлагается относить к субъектам КИИ и тех, кто владеет ИС/ИТС/АСУ из сферы государственной регистрации недвижимости.
В ГосДуму внесен законопроект «О внесении изменений в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации».
Поправками предлагается относить к субъектам КИИ и тех, кто владеет ИС/ИТС/АСУ из сферы государственной регистрации недвижимости.