Главная   

  Блог   

  Информационная безопасность   

  Дайджест изменений в российском законодательстве по ИБ

 13.01.2023
Дайджест изменений в российском законодательстве по ИБ
Статья Дайджест изменений в российском законодательстве по ИБ баннер

Содержание

1. Критическая инфраструктура;

2. Электронная подпись;

3. Персональные данные;

4. Идентификация и аутентификация;


Критическая инфраструктура

1. ФСТЭК подготовила проект изменений в Правила категорирования объектов критической информационной инфраструктуры Российской Федерации, утвержденные постановлением Правительства Российской Федерации от 08.02.2018 №127.  Схожие поправки ФСТЭК уже предлагала летом этого года, но в этот раз регулятор предлагает внести коррективы и в показатели критериев значимости ОКИИ и их значений, что потребует от субъектов КИИ осуществить категорирование вновь.

2. Минцифры сообщило о подготовке поправок в закон «О безопасности критической информационной инфраструктуры» , которые наделят правительство полномочиями сверху определять по каждой отрасли те типы информационных систем, которые будут обязательно относиться к КИИ, а не ждать, когда это категорирование проведут сами субъекты КИИ.

3. Вице-премьер Дмитрий Чернышенко утвердил Методические рекомендации по формированию отраслевых планов мероприятий по обеспечению готовности заказчиков к преимущественному использованию российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, на принадлежащих им значимых объектах критической информационной инфраструктуры РФ. 

4. ФСБ представила проект приказа «Об утверждении Порядка осуществления мониторинга защищенности информационных ресурсов, принадлежащих федеральным органам исполнительной власти, высшим исполнительным органам государственной власти субъектов Российской Федерации, государственным фондам, государственным корпорациям (компаниям), иным организациям, созданным на основании федеральных законов, стратегическим предприятиям, стратегическим акционерным обществам и системообразующим организациям российской экономики, юридическим лицам, являющимся субъектами критической информационной инфраструктуры Российской Федерации либо используемых ими», направленный на реализацию отдельных требований 250-го Указа Президента.

5. В Госдуму внесен законопроект №164428-8, который позволит Банку России обеспечить выполнение мероприятий по обеспечению технологической независимости (импортозамещению) на значимых объектах КИИ организаций кредитно-финансовой сферы. Проект разработан с целью определения полномочий Банка России по контролю выполнения планов мероприятий по переходу на преимущественное применение финансовыми организациями отечественного программного обеспечения на значимых объектах КИИ, включая контроль выполнения этими организациями закупок иностранного ПО и услуг с ними связанных.

kriticheskaya-informacionnaya-infrastruktura.jpg

Электронная подпись и удостоверяющие центры

1. В Госдуму внесен законопроект № 216859-8 «О внесении изменений в Федеральный закон «Об электронной подписи» , который определяет порядок выдачи доверенностей в порядке передоверия участниками финансового рынка. В противном случае отсутствие такого механизма ставит финансовый рынок в неравные условия по отношению к другим сферам экономики, в связи с отсутствием в №63-ФЗ положений о возможности передоверия для всех организаций, поднадзорных Банку России.

2. В Госдуму внесен законопроект № 216878-8 «О внесении изменений в отдельные законодательные акты Российской Федерации», который продлевает до 31.08.2023 «переходный период», в рамках которого сохраняется возможность использования квалифицированных сертификатов представителей юридических лиц, индивидуальных предпринимателей, кредитных организаций, операторов платежной системы, не кредитных финансовых организаций без применения машиночитаемой доверенности.

3. Опубликовано Постановление Правительства РФ от 07.10.2022 №1786 «О внесении изменений в Правила создания и использования сертификата ключа проверки усиленной неквалифицированной электронной подписи в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме».

4. В Госдуму внесен законопроект №244043-8 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях о защите информации», направленный на создание государственной информационной системы национального удостоверяющего центра (НУЦ), которая будет выдавать сертификаты с применение ГОСТ (чего пока не было) и выдавать сертификаты с применение иных алгоритмов (это уже реализовано с начала года). Оператором НУЦ будет Минцифры. Организации, ИП и физические лица, осуществляющие деятельность по созданию ПО в целях получения доступа к сайтам в сети «Интернет», обязаны обеспечить возможность использования средствами информатизации сертификатов безопасности для установления пользователем криптографически защищенного соединения с сайтами в сети «Интернет». Минцифры по согласованию с ФСБ России и ФСТЭК России устанавливает требования к технологиям взаимодействия СКЗИ со средствами информатизации, сайтами в сети «Интернет», а также использованию содержащихся в сертификате безопасности ключей идентификации и аутентификации сайтов в сети «Интернет».

5. Минюстом России зарегистрировано Указание Банка России от 20.07.2022 №6206-У «О порядке представления доверенности в электронной форме, подтверждающей полномочия физического лица действовать от имени кредитной организации, оператора платежной системы, некредитной финансовой организации и индивидуального предпринимателя, осуществляющих указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» виды деятельности, кредитного рейтингового агентства, бюро кредитных историй, лица, осуществляющего актуарную деятельность».

elektronnaja-podpis.jpg

Персональные данные

1. Роскомнадзор разродился очередным разъяснением в виде письмаот 19 августа 2022 г. № 08-75348 «О результатах рассмотрения обращения», в котором регулятор объясняет, что уведомление о начале обработки ПДн необходимо подавать в РКН даже при реализации стандартных трудовых отношений (раньше это попадало в исключения) и не требовало уведомления.

2. Президент утвердил перечень поручений по итогам состоявшегося 31 августа 2022 года  совещания с членами Правительства, среди которых очередная попытка:

  • Обеспечить возможность размещения на едином портале государственных и муниципальных услуг перечня согласий на обработку персональных данных, которые были даны гражданами органам и организациям, в том числе при получении государственных, муниципальных и коммерческих услуг.
  • Обеспечить возможность давать согласие на обработку персональных данных и отзывать такое согласие с использованием единого портала государственных и муниципальных услуг.

3. Роскомнадзор представил проект приказа «Об утверждении Порядка и условий взаимодействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональных данных», который по сути регламентирует правила работы с  формой    уведомления РКН об инцидентах с утечками ПДн.

4. Роскомнадзор опубликовал приказ от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных».

5. Роскомнадзор опубликовалприказ от 27.10.2022 №178 «Об утверждении Требований к оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных». Весь ущерб делится на три степени (высокий, средний и низкий), которые определяются в зависимости от того, какая статья ФЗ-152 нарушена (мнение субъекта, как обычно, никто не учитывает).

6. Роскомнадзор представил проект приказа «Об утверждении Порядка передачи информации о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных».

7. Минцифры подготовило (и  еще одна  точки зрения) очередной вариант законопроекта об оборотных штрафах за утечки ПДн.

8. Президент  поручил  ускорить работу над законопроектом по обезличиванию персональных данных.

obrabotka_personalnykh_dannykh_kak_ne_narushit_zakon_1.jpg

Идентификация и аутентификация

1. Приказом Федерального агентства по техническому регулированию и метрологии от 5 августа 2022 г. №740-ст «Об утверждении национального стандарта Российской Федерации» утверждён национальный стандарт Российской Федерации  ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации».


Заказать консультацию

Источник: Профи Консалт
  36