Почти месяц не публиковал дайджест новинок законодательства по ИБ, но это не потому, что наши законодатели не радовали нас ничем интересненьким; как раз наоборот. Пока мой прогноз о том, что каждый рабочий день появляется что-то новое, сбывается на все сто. Итак почти три десятка законодательных новаций, которые либо приняты, либо будут приняты в обозримом будущем:
- Официально опубликован Указ Президента от 25.04.2022 №228 «О внесении изменений в состав Межведомственной комиссии Совета Безопасности Российской Федерации по информационной безопасности по должностям, утвержденный Указом Президента Российской Федерации от 10 ноября 2018 г. №648″, который расширяет состав МВК за счет Прокуратуры и Росгвардии.
- Президент подписал новый Указе от 01.05.2022 №250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», о котором я уже подробно писал месяц назад. Минздрав опубликовал приказ от 25.03.2022 №205н «Об утверждении Типового положения о медицинском информационно-аналитическом центре«, который обязывает создавать в МИАЦах отделы защиты информации (где же столько безопасников-то взять, если еще и в каждом медучреждении согласно 250-го Указа должно быть свое подразделение по ИБ), а также обеспечивать безопасности ИСПДн и значимых объектов КИИ, и заниматься обнаружением, предотвращение и ликвидацией последствий компьютерных атак.
-
ФСТЭК сообщает, что разработан новая тестовая версия Банка данных угроз безопасности информации, включая и средство автоматизации моделирования угроз. Это интересная инициатива, особенно в части бесплатного инструмента по автоматизации, и у вас есть возможность до 5-го июня высказать свои предложения по его совершенствованию.
-
Минфин России разработал проект постановления Правительства РФ «О некоторых особенностях ограничения доступа к сведениям (информации) в соответствии с отдельными законодательными актами Российской Федерации». Проектом постановления предусматривается, что в случае, если в отношении юридического лица, применяются, могут быть применены или распространяются санкции со стороны недружественных иностранных государств и международных организаций, доступ к содержащимся о нем сведениям в ЕГРЮЛ и информации в государственном информационном ресурсе бухгалтерской (финансовой) отчетности может быть ограничен по заявлению лица, попавшего под санкции.
-
ФСБ опубликовала приказ от 13.04.2022 №179, вносящий изменения в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. №796. Приказ вступает в силу с 1 сентября 2022 г. и действуют до 1 января 2027 г.
-
ФСБ подготовила проект приказа «Об утверждении требований к средствам электронной подписи и средствам удостоверяющего центра, применяемым для реализации функций, предусмотренных частью 2.2 статьи 15 Федерального закона от 6 апреля 2011 г. №63-ФЗ «Об электронной подписи».
-
Банк России опубликовал информационное письмо от 11.05.2022 №ИН-05-15/64 «Об использовании УКЭП респондентами ФСН». В связи с вступлением в силу с 01.01.2022 пункта 1 части 1 статьи 17.2 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» в случае использования усиленной квалифицированной электронной подписи при предоставлении в Банк России форм федерального статистического наблюдения в порядке, предусмотренном Указанием Банка России № 5328-У, юридическое лицо – респондент вправе применять УКЭП, квалифицированный сертификат которой был выдан удостоверяющим центром ФНС России, с указанием в качестве владельца квалифицированного сертификата также физического лица, действующего от имени респондента без доверенности.
-
Банк России опубликовал 90-тистраничный перечень мер по стабилизации ситуации на финансовом рынке в условиях реализации санкционных рисков, среди которых решение не применять меры воздействия в отношении субъектов страхового дела за нарушение требований Положения Банка России №757-П (информационное письмо Банка России от 06.04.2022 №ИН-018-34/50), решение не применять меры воздействия в отношении участников финансового рынка (ПУРЦБ, УК, специализированных депозитариев и НПФ) за нарушение требований Положения Банка России №757-П, а также Указания Банка России №5673-У в части выполнения требований к обеспечению операционной надежности (информационное письмо Банка России от 06.03.2022 №ИН-018-38/28), решение не применять меры воздействия в отношении центрального депозитария, организаторов торговли, клиринговых организаций, центральных контрагентов, операторов инвестиционных платформ, операторов финансовых платформ, операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов, операторов обмена цифровых финансовых активов, кредитных рейтинговых агентств за необеспечение соблюдения требований Положения Банка России №757-П (информационное письмо Банка России №ИН-018-34/50) и ряд других.
-
Банк России разработал проект указания в целях реализации норм, установленных пунктом 2 части 2 статьи 17.2 Федерального закона от 06.04.2011 №63-ФЗ «Об электронной подписи», направленных на создание правовых условий функционирования удостоверяющего центра Банка России, а также в связи с дополнением субъектного состава поднадзорных Банку России организаций. Проект дополняет круг субъектов, на который распространяется действие норм, кредитными рейтинговыми агентствами, бюро кредитных историй, лицами, осуществляющими актуарную деятельность.
-
ФСТЭК России информирует о представлении ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации» в Росстандарт для утверждения.
- Правительство выпустило Постановление от 13.05.2022 №860 «О проведении эксперимента по повышению уровня защищенности государственных информационных систем федеральных органов исполнительной власти и подведомственных им учреждений», которое не только меняет термин «государственная информационная система», но и вводит Минцифры на рынок регулирования вопросов защиты информации государственных органов, немного (или много ) подвигая ФСТЭК в этом вопросе. Правительство выпустило Постановление от 9.05.2022 №834 «Об установлении особенностей ввоза в Российскую Федерацию шифровальных (криптографических) средств и товаров, их содержащих», которое облегчает ввоз шифровальных средств в Россию.
- Правительство выпустило Постановление от 14.05.2022 №875 «О внесении изменений в некоторые акты Правительства Российской Федерации», которое позволяет через личный кабинет на портале госуслуг получить санкционированный доступ с использованием ЕСИА к информации из государственных, муниципальных и иных информационных систем, но только при использовании дополнительной аутентификации с помощью ЕБС или кода в СМС. Также внесены изменения в правила использования простой электронной подписи, устанавливающие возможность подписания простой ЭП для совершения с использованием ЕСИА значимых действий, с использованием кода СМС или ЕБС. Приравнять СМСку к ЕБС? Ну такое себе решение.
- Государственная дума 19 мая 2022 года приняла в первом чтении законопроект о внесении изменений в Федеральный закон «О почтовой связи», регулирующих деятельность в области специальной почтовой связи. Законопроект определяет понятие отправлений специальной почтовой связи, согласно которому к ним относятся секретные документы на бумажных или других материальных носителях.
-
Совет безопасности РФ
одобрил проект основ государственной политики в области обеспечения безопасности критической информационной инфраструктуры РФ. Текст пока не опубликован.
Правительство одобрило проект федерального закона «О внесении изменений в статью 21 Федерального закона “О почтовой связи” и Федеральный закон “Об информации, информационных технологиях и о защите информации”, который предусматривает создание национального удостоверяющего центра, обеспечивающего сайты в российском сегменте интернета специальными сертификатами безопасности для их доверенного использования пользователями.
-
Правительство внесло законопроект №127003-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях«, которым предлагается при осуществлении государственного контроля (надзора):
-
в случае предотвращения лицом, совершившим правонарушение, вредных последствий данного правонарушения либо добровольного возмещения им причиненного ущерба (устранения причиненного вреда) административный штраф назначается в минимальном размере, предусмотренном санкцией применяемой нормы
-
правило о замене административного наказания в виде административного штрафа на предупреждение за впервые совершенное правонарушение распространяется на всех субъектов административных правонарушений, выявленных в ходе осуществления государственного контроля (надзора), муниципального контроля
-
административный штраф за административные правонарушения, выявленные в ходе осуществления государственного контроля (надзора), муниципального контроля, может быть уплачен в половинном размере в течение двадцати дней со дня вынесения постановления по делу.
-
-
Президент подписал Федеральный закон от 28.05.2022 №145-ФЗ «О внесении изменения в статью 14.8 Кодекса Российской Федерации об административных правонарушениях», который с 01.09.2022 влечет наложение административного штрафа за отказ в заключении, исполнении, изменении или расторжении договора с потребителем в связи с отказом потребителя предоставить персональные данные. Ответственность не наступит в случаях, когда предоставление потребителем персональных данных является обязательным в соответствии с федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами или непосредственно связано с исполнением договора.
-
Госдума одобрила в первом чтении проект об усилении защиты персональных данных, о котором я уже
писал и который является одним из самых крупных изменений в области защиты ПДн за последние 10+ лет.
- Заместитель Председателя Правительства РФ Дмитрий Чернышенко 25.05.2022 выдал перечень поручений ДЧ-П10-8691, в котором потребовал от 21 ведомства немедленно завершить создание и начать функционирование штабов по борьбе с киберугрозами, о чем было было дано поручение Правительства еще 6 марта. Многие ведомства игнорируют эти вопросы, считая, что их «пронесет». Видимо, нет. А с учетом 250-го Указа Президента о персональной ответственности руководителей тем более. Минцифры опубликовало проект Постановления Правительства «О внесении изменения в состав сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, включая вид биометрических персональных данных», которое дополняет способы сдачи биометрических персональных данных граждан в ЕБС самостоятельной передачей через мобильное приложение (а не только через банк или МФЦ, как сейчас).
- Минцифры согласовало законопроект, ужесточающий ответственность компаний за утечку персональных данных клиентов. На самом деле еще рано обсуждать его текст, так как там, несмотря на согласование, есть несколько вариантов текста и какой из них в итоге будет внесен в Госдуму пока непонятно.
- ФСБ опубликовала проект приказа «Об определении переходного периода», который определяет переходный период длиною в год, в течение которого центрам ГосСОПКА допускается осуществлять мероприятия по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты в интересах организаций и органов, определенных в 250-м указе Президента без дополнительной аккредитации.
- ФСБ лпубликовала проект приказа «О внесении изменений в Положение о Национальном координационном центре по компьютерным инцидентам, утвержденное приказом ФСБ России от 24 июля 2018 г. № 366», которым закрепляется за НКЦКИ задачи, заключающейся в аккредитации центров ГосСОПКИ.
Что-то кучненько пошло. А ведь в стране бумаги не хватает. А тут такая активность у законотворческого принтера…
Заметка Дайджест изменений в российское законодательство по ИБ №24 была впервые опубликована на Бизнес без опасности .