Нормотворческие планы ФСТЭК России на 2021 г.
В соотвествии с Планом разработки ФСТЭК России нормативных правовых актов на 2021 год от регулятора в предстоящем году стоит ожидать следующие проекты, качающиеся информационной безопасности:
📍 Проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. No 133».
📍 Проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. No 134».
📍 Проект приказа ФСТЭК России «О внесении изменений в приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. No 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Конечно, надо понимать, что это планы ФСТЭК России, которые не обременены ограничительными пометками и грифами секретности.
В соотвествии с Планом разработки ФСТЭК России нормативных правовых актов на 2021 год от регулятора в предстоящем году стоит ожидать следующие проекты, качающиеся информационной безопасности:
📍 Проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. No 133».
📍 Проект приказа ФСТЭК России «О внесении изменений в Административный регламент Федеральной службы по техническому и экспортному контролю по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. No 134».
📍 Проект приказа ФСТЭК России «О внесении изменений в приказ Федеральной службы по техническому и экспортному контролю от 14 марта 2014 г. No 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
Конечно, надо понимать, что это планы ФСТЭК России, которые не обременены ограничительными пометками и грифами секретности.
Изменения требований к средствам ЭП и УЦ
ФСБ России повторно представила для общественного обсуждения проект ведомственного приказа «О внесении изменений в приложения
№ 1 и 2 к приказу ФСБ России
от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
—————————————————————
И повторно для сбора предложений и получения заключений по результатам проведения антикоррупционной экспертизы используется яндексовский почтовый ящик.
ФСБ России повторно представила для общественного обсуждения проект ведомственного приказа «О внесении изменений в приложения
№ 1 и 2 к приказу ФСБ России
от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
—————————————————————
И повторно для сбора предложений и получения заключений по результатам проведения антикоррупционной экспертизы используется яндексовский почтовый ящик.
Требования к средствам доверенной третьей стороны
ФСБ России повторно представила для общественного обсуждения проект ведомственного приказа «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи».
ФСБ России повторно представила для общественного обсуждения проект ведомственного приказа «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи».
Михаил Мишустин подписал постановление о создании Правительственной комиссии по аккредитации удостоверяющих центров для выдачи электронных подписей
Telegram
Новости Минцифры
Михаил Мишустин подписал постановление о создании Правительственной комиссии по аккредитации удостоверяющих центров для выдачи электронных подписей
http://government.ru/news/41147/
Постановление от 15 декабря 2020 года №2109
http://government.ru/news/41147/
Постановление от 15 декабря 2020 года №2109
⚠️ Коллеги, обращаю внимание, что в соответствии с графиком проведения плановых учений по обеспечению устойчивого, безопасного и целостного функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования в 2020 году, утверждённого приказом Минкомсвязи от 12.12.2019 № 839, завтра состоятся учения, в ходе которых будет осуществляться отработка противодействия атакам с использованием уязвимостей протокола BGP.
—————————————————————
Интересно, этот график ещё в силе...
—————————————————————
Интересно, этот график ещё в силе...
Правительственная комиссия, уполномоченная на принятие решения об аккредитации удостоверяющих центров
Официально опубликовано постановление Правительства Российской Федерации от 15.12.2020 № 2109 «О Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров».
В состав комисси входят представители:
- Минцифры;
- ФСБ России;
- Федерального казначейства;
- Минфина;
- Росреестра;
- Минпромторга;
- МВД России;
- Минздрава;
- Минэкономразвития;
- Минобороны России;
- Пенсионного фонда;
- Аппарата Правительства;
- Центрального банка;
- Федеральной нотариальной палаты.
Официально опубликовано постановление Правительства Российской Федерации от 15.12.2020 № 2109 «О Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров».
В состав комисси входят представители:
- Минцифры;
- ФСБ России;
- Федерального казначейства;
- Минфина;
- Росреестра;
- Минпромторга;
- МВД России;
- Минздрава;
- Минэкономразвития;
- Минобороны России;
- Пенсионного фонда;
- Аппарата Правительства;
- Центрального банка;
- Федеральной нотариальной палаты.
📣 ИСПДн и ГосСОПКА отменяется?
До второго чтения в Государственной Думе добрался законопроект, которым предполагается внести изменения в часть 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Напомню, что изменения на этапе внесения предполагали, что обеспечение безопасности ПДн будет достигаться мерами по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них, а также организацией и осуществлением взаимодействия с ГосСОПКА.
⚠️ Видимо, беспокойства операторов ПДн были услышаны или учуяны в ГосДуме, поэтому законопроект перед вторым чтением претерпел изменения, и внесёнными поправками норма, предполагающая осуществлять взаимодействие с ГосСОПКА, была исключена.
—————————————————————
Ну что же, операторы ПДн, видимо, выдохнули, но, вероятно, сохранение
проектной нормы по необходимости обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них может быть своеобразным заделом на будущее, чтобы когда-то потом в будущем обязать их взаимодействовать с ГосСОПКА.
До второго чтения в Государственной Думе добрался законопроект, которым предполагается внести изменения в часть 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Напомню, что изменения на этапе внесения предполагали, что обеспечение безопасности ПДн будет достигаться мерами по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них, а также организацией и осуществлением взаимодействия с ГосСОПКА.
⚠️ Видимо, беспокойства операторов ПДн были услышаны или учуяны в ГосДуме, поэтому законопроект перед вторым чтением претерпел изменения, и внесёнными поправками норма, предполагающая осуществлять взаимодействие с ГосСОПКА, была исключена.
—————————————————————
Ну что же, операторы ПДн, видимо, выдохнули, но, вероятно, сохранение
проектной нормы по необходимости обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них может быть своеобразным заделом на будущее, чтобы когда-то потом в будущем обязать их взаимодействовать с ГосСОПКА.
Небольшие изменения в ПП-313
Официально опубликовано постановление Правительства Российской Федерации от 21.12.2020 № 2198 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных увидов деятельности», которым вносятся небольшие изменения в постановление Правительства от 16.04.2012 г. № 313
«Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
Официально опубликовано постановление Правительства Российской Федерации от 21.12.2020 № 2198 «О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам лицензирования отдельных увидов деятельности», которым вносятся небольшие изменения в постановление Правительства от 16.04.2012 г. № 313
«Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя)».
Новости из мира ЭП
Официально опубликованы приказы Минцифры:
➡️ от 30.11.2020 № 643 «Об утверждении требований к форме указанного в пункте 1 части 2.2 статьи 15 Федерального закона от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи" поручения владельца квалифицированного сертификата, порядку передачи поручения владельца квалифицированного сертификата аккредитованному удостоверяющему центру, а также к правилам хранения указанного поручения».
➡️ от 19.11.2020 № 603 «Об утверждении требований к порядку действий аккредитованного удостоверяющего центра при возникновении обоснованных сомнений относительно лица, давшего поручение на использование хранимых ключей электронной подписи, а также при приостановлении (прекращении) технической возможности использования хранимых ключей электронной подписи, включая информирование владельцев квалифицированных сертификатов ключей проверки электронной подписи о событиях, вызвавших приостановление (прекращение) технической возможности использования хранимых ключей электронной подписи, об их причинах и последствиях».
Официально опубликованы приказы Минцифры:
➡️ от 30.11.2020 № 643 «Об утверждении требований к форме указанного в пункте 1 части 2.2 статьи 15 Федерального закона от 6 апреля 2011 года № 63-ФЗ "Об электронной подписи" поручения владельца квалифицированного сертификата, порядку передачи поручения владельца квалифицированного сертификата аккредитованному удостоверяющему центру, а также к правилам хранения указанного поручения».
➡️ от 19.11.2020 № 603 «Об утверждении требований к порядку действий аккредитованного удостоверяющего центра при возникновении обоснованных сомнений относительно лица, давшего поручение на использование хранимых ключей электронной подписи, а также при приостановлении (прекращении) технической возможности использования хранимых ключей электронной подписи, включая информирование владельцев квалифицированных сертификатов ключей проверки электронной подписи о событиях, вызвавших приостановление (прекращение) технической возможности использования хранимых ключей электронной подписи, об их причинах и последствиях».
📯 Аттестация объектов информатизации, обрабатывающих информацию, не составляющую государственную тайну
ФСТЭК России, видимо, уже сейчас решила радовать новогодними подарками🎁, в связи с чем для общественного обсуждения был представлен проект приказа регулятора «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну».
Проектом предполагается урегулировать порядок аттестации объектов информатизации, представляющих собой:
📍государственные информационные системы;
📍 муниципальные информационные системы;
📍 информационные системы управления производством, используемые организациями оборонно-промышленного комплекса;
📍 защищаемые помещения;
📍 значимые объекты критической информационной инфраструктуры;
📍 автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
—————————————————————
Предполагается, что для последних двух (ЗОКИИ и АСУ ТП, защищаемых по 31-му приказу ФСТЭК России) проектируемый порядок будет распространяться при условии, что на стадии их создании были установлены требования к оценке соответствия требованиям по защите информации в форме аттестации.
—————————————————————
Кроме самого порядка аттестации предлагаются занятные формы техпаспортов, акта классификации и самого аттестат соответствия требованиям по защите информации.
—————————————————————
🤔 Странно, что в представленный проект порядка не попали ИСПДн.
ФСТЭК России, видимо, уже сейчас решила радовать новогодними подарками🎁, в связи с чем для общественного обсуждения был представлен проект приказа регулятора «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну».
Проектом предполагается урегулировать порядок аттестации объектов информатизации, представляющих собой:
📍государственные информационные системы;
📍 муниципальные информационные системы;
📍 информационные системы управления производством, используемые организациями оборонно-промышленного комплекса;
📍 защищаемые помещения;
📍 значимые объекты критической информационной инфраструктуры;
📍 автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.
—————————————————————
Предполагается, что для последних двух (ЗОКИИ и АСУ ТП, защищаемых по 31-му приказу ФСТЭК России) проектируемый порядок будет распространяться при условии, что на стадии их создании были установлены требования к оценке соответствия требованиям по защите информации в форме аттестации.
—————————————————————
Кроме самого порядка аттестации предлагаются занятные формы техпаспортов, акта классификации и самого аттестат соответствия требованиям по защите информации.
—————————————————————
🤔 Странно, что в представленный проект порядка не попали ИСПДн.
📣 Изменения лицензирования деятельности по ТЗКИ
Официально опубликованы приказы ФСТЭК России, вносящие изменения в:
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134.
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом
ФСТЭК России от 17 июля 2017 г. № 133.
———————————————————
Это что же, ФСТЭК России выполнила часть плана нормотворческой деятельности на 2021 год?
Официально опубликованы приказы ФСТЭК России, вносящие изменения в:
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по технической защите конфиденциальной информации, утвержденный приказом ФСТЭК России от 17 июля 2017 г. № 134.
➡️ Административный регламент Федеральной службы по техническому и экспортному контролю
по предоставлению государственной услуги по лицензированию деятельности по разработке и производству средств защиты конфиденциальной информации, утвержденный приказом
ФСТЭК России от 17 июля 2017 г. № 133.
———————————————————
Это что же, ФСТЭК России выполнила часть плана нормотворческой деятельности на 2021 год?
И ещё немного про ЭП
Официально опубликован приказ Минцифры от 30.11.2020 № 641 «Об утверждении требований к порядку реализации функций аккредитованной доверенной третьей стороны и исполнения ее обязанностей».
А днём ранее был представлен приказ Минцифры от 26.11.2020 № 624 «Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя - физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре».
Официально опубликован приказ Минцифры от 30.11.2020 № 641 «Об утверждении требований к порядку реализации функций аккредитованной доверенной третьей стороны и исполнения ее обязанностей».
А днём ранее был представлен приказ Минцифры от 26.11.2020 № 624 «Об утверждении перечня угроз безопасности, актуальных при идентификации заявителя - физического лица в аккредитованном удостоверяющем центре, выдаче квалифицированного сертификата без его личного присутствия с применением информационных технологий путем предоставления сведений из единой системы идентификации и аутентификации и единой информационной системы персональных данных, обеспечивающей обработку, сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также хранении и использовании ключа электронной подписи в аккредитованном удостоверяющем центре».
📣 Информация ФСТЭК России
ФСТЭК России информирует о:
📍представлении в Росстандарт на утверждение окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения».
📍 результатах деятельности технического комитета по стандартизации «Защита информации» (ТК 362) за 2020 год.
ФСТЭК России информирует о:
📍представлении в Росстандарт на утверждение окончательной редакции проекта национального стандарта ГОСТ Р «Защита информации. Мониторинг информационной безопасности. Общие положения».
📍 результатах деятельности технического комитета по стандартизации «Защита информации» (ТК 362) за 2020 год.
🗃Система нормативных правовых актов, методических и информационных документов в области обеспечения безопасности критической информационной инфраструктуры
Минцифры проинформировало об издании двух ведомственных приказов, касающихся обеспечения безопасности критической информационной инфраструктуры:
📍 от 28.12.2020 № 777 «Об утверждении Рекомендаций по проведению сертификации оборудования связи, используемого в составе сети связи общего пользования, обеспечивающей функционирование значимых объектов критической информационной инфраструктуры».
📍 от 28.12.2020 № 779 «Об утверждении организационно-технических мер по обеспечению информационной безопасности ресурсов сети связи общего пользования, используемых значимыми объектами критической информационной инфраструктуры».
Содержание приложений к данным приказам имеет ограничительную пометку «Для служебного пользования», поэтому ознакомиться с текстом возможности нет, но это не мешает актуализировать систему нормативных правовых актов, методических и информационных документов в области обеспечения безопасности критической информационной инфраструктуры (система в формате pdf ниже).
Минцифры проинформировало об издании двух ведомственных приказов, касающихся обеспечения безопасности критической информационной инфраструктуры:
📍 от 28.12.2020 № 777 «Об утверждении Рекомендаций по проведению сертификации оборудования связи, используемого в составе сети связи общего пользования, обеспечивающей функционирование значимых объектов критической информационной инфраструктуры».
📍 от 28.12.2020 № 779 «Об утверждении организационно-технических мер по обеспечению информационной безопасности ресурсов сети связи общего пользования, используемых значимыми объектами критической информационной инфраструктуры».
Содержание приложений к данным приказам имеет ограничительную пометку «Для служебного пользования», поэтому ознакомиться с текстом возможности нет, но это не мешает актуализировать систему нормативных правовых актов, методических и информационных документов в области обеспечения безопасности критической информационной инфраструктуры (система в формате pdf ниже).
📯Административная ответственность за нарушение правил создания, замены и выдачи ключа ЭП, используемого при оказании госуслуг
Официально опубликован Федеральный закон от 30.12.2020 № 516-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», вводящий административную ответственность за нарушение правил создания, замены и выдачи ключа ЭП, используемого при оказании государственных и муниципальных услуг в электронной форме.
Официально опубликован Федеральный закон от 30.12.2020 № 516-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», вводящий административную ответственность за нарушение правил создания, замены и выдачи ключа ЭП, используемого при оказании государственных и муниципальных услуг в электронной форме.
⚡️Общедоступных ПДн больше нет
Вот и добрался до официальной публикации Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», который на стадии проекта представлялся сумбурным и трудно читаемым. Однако, как видно, Думские чтения оказали влияние на предложенный текст законопроекта и, как следствие, на выходе получился несколько иной Закон.
Теперь из понятийного аппарата Федерального закона «О персональных данных» исключено понятие «общедоступные ПДн», которое заменено на «ПДн, разрешённые субъектом ПДн для распространения». Примечательно, что сохраняются общедоступные источники ПДн, однако, как следует из внесённых поправок, включение ПДн в такие источники теперь не означает, что данные ПДн можно распространять свободно (нужно получить соответствующее согласие).
Кстати о согласии. Чтобы оператору ПДн начать обрабатывать ПДн, разрешённые субъектом ПДн для распространения, необходимо получить соответствующее согласие, к которому, к слову, не предъявляется требований по форме (т.е. оно необязательно должно быть письменным, читай, удовлетворяющим ст. 9 Федерального закона «О персональных данных»), но:
➡️ установлена необходимость его обособления от других согласий на обработку ПДн;
➡️ содержание такого согласия должно включать, как минимум, перечень ПДн по каждой из категории ПДн, которые разрешается распространять (опционально такое согласие может содержать запреты на передачу и обработку ПДн неопределённому(ым) кругу(ом) лиц.
Примечательны и исключения, касающиеся обработки ПДн, разрешённых для распространению. Так, никакие запреты, установленные субъектом ПДн, на передачу и обработку или условия обработки ПДн, разрешённых для распространения, перестают действовать, если это касается неких государственных, общественных и иных публичных интересов, установленных законодательством Российской Федерации. Кроме того, внесённые поправки не применяются в случае обработки ПДн федеральными органами исполнительной власти, органами исполнительной субъектов Российской Федерации, органами местного самоуправления при выполнении возложенных на них функций, обязанностей и полномочий.
Вот и добрался до официальной публикации Федеральный закон от 30.12.2020 № 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», который на стадии проекта представлялся сумбурным и трудно читаемым. Однако, как видно, Думские чтения оказали влияние на предложенный текст законопроекта и, как следствие, на выходе получился несколько иной Закон.
Теперь из понятийного аппарата Федерального закона «О персональных данных» исключено понятие «общедоступные ПДн», которое заменено на «ПДн, разрешённые субъектом ПДн для распространения». Примечательно, что сохраняются общедоступные источники ПДн, однако, как следует из внесённых поправок, включение ПДн в такие источники теперь не означает, что данные ПДн можно распространять свободно (нужно получить соответствующее согласие).
Кстати о согласии. Чтобы оператору ПДн начать обрабатывать ПДн, разрешённые субъектом ПДн для распространения, необходимо получить соответствующее согласие, к которому, к слову, не предъявляется требований по форме (т.е. оно необязательно должно быть письменным, читай, удовлетворяющим ст. 9 Федерального закона «О персональных данных»), но:
➡️ установлена необходимость его обособления от других согласий на обработку ПДн;
➡️ содержание такого согласия должно включать, как минимум, перечень ПДн по каждой из категории ПДн, которые разрешается распространять (опционально такое согласие может содержать запреты на передачу и обработку ПДн неопределённому(ым) кругу(ом) лиц.
Примечательны и исключения, касающиеся обработки ПДн, разрешённых для распространению. Так, никакие запреты, установленные субъектом ПДн, на передачу и обработку или условия обработки ПДн, разрешённых для распространения, перестают действовать, если это касается неких государственных, общественных и иных публичных интересов, установленных законодательством Российской Федерации. Кроме того, внесённые поправки не применяются в случае обработки ПДн федеральными органами исполнительной власти, органами исполнительной субъектов Российской Федерации, органами местного самоуправления при выполнении возложенных на них функций, обязанностей и полномочий.
📣⚡️⚡️Операторы ПДн = субъект ГосСОПКА❓
Вот и случилось то, что ещё недавно слабо можно было предоставить. С лёгкой руки законодателя, и на волне защиты персональных данных представителей спецслужб, обусловленной, как мне кажется, недавними громкими расследованиями Российской политической оппозиции, в сжатые сроки был принят Федеральный закон от 30.12.2020 № 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности». На ряду с прочим, данным законом были внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», которыми всех операторов персональных данных, имеющих информационные системы персональных данных, обязали реализовывать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них. Хорошо, конечно, что на этапе думских чтений законопроекта из него была исключена норма, в явном виде предусматривающая осуществлять взаимодействие с ГосСОПКА. Но позволяет ли эта корректировка расслабиться операторам ПДн, имеющих ИСПДн? На мой взгляд, даже такая формулировка несёт в себе определённые последствия в перспективе.
Вспомним недавний проект ГОСТ Р «Защита информации. Обнаружение, предупреждение и ликвидационный последствий компьютерных атак и реагирование на компьютерные инциденты. Термины и определения» (я понимаю, что это проект, но цитировать действующие Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, изданные ФСБ России в 2018 г., я не могу, так как документ имеет ограничительную пометку «Для служебного пользования», но в нем необходимая терминология схожа с приведённым проектом ГОСТа). В соотвествии с этим проектом ГОСТа вводится понятие сущности «Субъект ГосСОПКА», которая очень знакома субъектам КИИ. Субъектам ГосСОПКА являются государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных соглашений, осуществляющие обнаружение компьютерных атак, предупреждение компьютерных атак, ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты.
Как видно, рассматриваемые изменения в Федеральный закон от «О персональных данных» привели к тому, что операторы ПДн, имеющие ИСПДн, теперь являются субъектами ГосСОПКА, что, несомненно, добавит им головной боли.
Скорее всего, стоит ожидать, что в ближайшее время ФСБ России, как федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, вскоре модернизирует свои нормативные правовые акты, учитывающие прирост субъектов ГосСОПКА, не являющихся субъектами КИИ. К сожалению, нельзя однозначно сказать, что отсутсвие в Федеральном законе от «О персональных данных» явного указания на необходимость взаимодействия с ГосСОПКА, означает что субъекты ГосСОПКА, являющиеся операторами ПДн, не должны с ней взаимодействовать. Уже сейчас можно посоветовать операторам ПДн, имеющих ИСПДн, ознакомиться с данной статьей не ресурсе safe-surf.ru, подумать о формате своей структурной единице ГосСОПКА (не забывая профессиональный стандарт «Специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак», утверждённый приказом Минтруда от 29.12.2015 № 1179н).
—————————————————————
Но во что же действительно выльются эти поправки для операторов ПДн?
Вот и случилось то, что ещё недавно слабо можно было предоставить. С лёгкой руки законодателя, и на волне защиты персональных данных представителей спецслужб, обусловленной, как мне кажется, недавними громкими расследованиями Российской политической оппозиции, в сжатые сроки был принят Федеральный закон от 30.12.2020 № 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности». На ряду с прочим, данным законом были внесены изменения в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», которыми всех операторов персональных данных, имеющих информационные системы персональных данных, обязали реализовывать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них. Хорошо, конечно, что на этапе думских чтений законопроекта из него была исключена норма, в явном виде предусматривающая осуществлять взаимодействие с ГосСОПКА. Но позволяет ли эта корректировка расслабиться операторам ПДн, имеющих ИСПДн? На мой взгляд, даже такая формулировка несёт в себе определённые последствия в перспективе.
Вспомним недавний проект ГОСТ Р «Защита информации. Обнаружение, предупреждение и ликвидационный последствий компьютерных атак и реагирование на компьютерные инциденты. Термины и определения» (я понимаю, что это проект, но цитировать действующие Требования к подразделениям и должностным лицам субъектов государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, изданные ФСБ России в 2018 г., я не могу, так как документ имеет ограничительную пометку «Для служебного пользования», но в нем необходимая терминология схожа с приведённым проектом ГОСТа). В соотвествии с этим проектом ГОСТа вводится понятие сущности «Субъект ГосСОПКА», которая очень знакома субъектам КИИ. Субъектам ГосСОПКА являются государственные органы Российской Федерации, российские юридические лица и индивидуальные предприниматели в силу закона или на основании заключенных соглашений, осуществляющие обнаружение компьютерных атак, предупреждение компьютерных атак, ликвидацию последствий компьютерных атак, и реагирование на компьютерные инциденты.
Как видно, рассматриваемые изменения в Федеральный закон от «О персональных данных» привели к тому, что операторы ПДн, имеющие ИСПДн, теперь являются субъектами ГосСОПКА, что, несомненно, добавит им головной боли.
Скорее всего, стоит ожидать, что в ближайшее время ФСБ России, как федеральный орган исполнительной власти, уполномоченный в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, вскоре модернизирует свои нормативные правовые акты, учитывающие прирост субъектов ГосСОПКА, не являющихся субъектами КИИ. К сожалению, нельзя однозначно сказать, что отсутсвие в Федеральном законе от «О персональных данных» явного указания на необходимость взаимодействия с ГосСОПКА, означает что субъекты ГосСОПКА, являющиеся операторами ПДн, не должны с ней взаимодействовать. Уже сейчас можно посоветовать операторам ПДн, имеющих ИСПДн, ознакомиться с данной статьей не ресурсе safe-surf.ru, подумать о формате своей структурной единице ГосСОПКА (не забывая профессиональный стандарт «Специалист по обнаружению, предупреждению и ликвидации последствий компьютерных атак», утверждённый приказом Минтруда от 29.12.2015 № 1179н).
—————————————————————
Но во что же действительно выльются эти поправки для операторов ПДн?
ФСБ России для регулирования ЭП
Официально опубликованы приказы ФСБ России:
➡️ от 04.12.2020 № 554 «Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи».
➡️ от 04.12.2020 № 555 «О внесении изменений в приложения № 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. № 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
➡️ от 04.12.2020 № 556 «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи».
Официально опубликованы приказы ФСБ России:
➡️ от 04.12.2020 № 554 «Об утверждении Порядка уничтожения ключей электронной подписи, хранимых аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи».
➡️ от 04.12.2020 № 555 «О внесении изменений в приложения № 1 и 2 к приказу ФСБ России от 27 декабря 2011 г. № 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра».
➡️ от 04.12.2020 № 556 «Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи».
