Журнал "Information Security/ Информационная безопасность" #1, 2023

• 9 ПРАВО И НОРМАТИВЫ www.itsec.ru Февраль-2023 обзоре за февраль 2023 г. рассмотрим нормативные акты, касающиеся операторов персональных данных, субъектов критической информационной инфраструктуры, лиц, осуществляющих обработку гостайны, лицензиатов ФСТЭК России и ФСБ России, а также кредитных и некредитных организаций. В Порядок взаимодействия операторов ПДн с ГосСОПКА Приказ ФСБ России от 13.02.2023 г. № 77 "Об утверждении порядка взаимо- действия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютер- ных атак на информационные ресурсы РФ, включая информирование ФСБ Рос- сии о компьютерных инцидентах, повлек- ших неправомерную передачу (предо- ставление, распространение, доступ) персональных данных" 11 официально опубликован 20 февраля 2023 г. Приказ ФСБ России № 77 вступил в силу 1 марта 2023 г. Операторы персональных данных, у которых уже организованы каналы информационного взаимодействия с НКЦКИ (например, субъекты крити- ческой информационной инфраструк- туры), должны направлять информа- цию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн, в соответствии с опреде- ленными НКЦКИ форматами представ- ления информации о компьютерных инцидентах в ГосСОПКА. При этом используются уже принятые у опера- тора каналы информационного взаи- модействия, в том числе электронная почтовая связь и техническая инфра- структура НКЦКИ. Остальные операторы ПДн должны направлять информацию о компьютер- ных инцидентах путем заполнения уве- домления о факте неправомерной пере- дачи ПДн, содержащегося на офици- альном сайте Роскомнадзора в сети "Интернет". Операторы вправе обра- титься в НКЦКИ для оказания им содей- ствия в реагировании на выявленный компьютерный инцидент. Внеплановые проверки операторов ПДн Роскомнадзор получил возможность при согласовании с органами проку- ратуры осуществлять внеплановые контрольные (надзорные) мероприя- тия и внеплановые проверки по фак- там утечки ПДн в сеть "Интернет". Постановление Правительства РФ от 04.02.2023 № 161 "О внесении изме- нений в некоторые акты Правитель- ства РФ" 12 официально опубликовано 6 февраля 2023 г. ПП РФ № 161 дополнило постанов- ление Правительства РФ от 10 марта 2022 г. № 336 "Об особенностях орга- низации и осуществления государст- венного контроля (надзора), муници- пального контроля" нормой о том, что в 2022–2023 гг. внеплановые контроль- ные (надзорные) мероприятия, внепла- новые проверки могут проводиться при условии согласования с органами про- куратуры по решению руководителя, заместителя руководителя Роскомнад- зора в рамках федерального государст- венного контроля (надзора) за обра- боткой ПДн в отношении операторов, в случае если установлен факт распро- странения (предоставления) в инфор- мационно-телекоммуникационной сети "Интернет" баз данных (или их части), содержащих ПДн. Административная и уголовная ответственность, связанная с обработкой ПДн В феврале 2023 г. подписано поста- новление Государственной Думы Феде- рального Собрания РФ от 22.02.2023 № 3124-8 ГД 13 . Постановлением Госу- дарственной Думы "Об информации Министра цифрового развития, связи и массовых коммуникаций РФ М.И. Шадаева о ходе цифровой трансфор- мации и обеспечения информационной безопасности РФ" Государственная Дума Федерального Собрания РФ рекомен- дует следующее: l Правительству РФ разработать и в начале 2023 г. внести в Государственную Думу проекты федеральных законов, предусматривающие внесение измене- ний в Кодекс РФ об административных правонарушениях в части введения для лиц, совершивших нарушения законо- дательства РФ в сфере обработки ПДн, биометрических ПДн (включая сбор, запись, систематизацию, накопление, хранение, уточнение, обновление, изме- нение, извлечение, использование, пере- дачу, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение биометрических ПДн), оборотных административных штрафов , а также внесение изменений в Уголовный кодекс РФ в части введения уголовной ответственности за неза- конную обработку биометрических ПДн в случае возникновения соответствую- щих общественно опасных последствий; l Минцифры России рассмотреть вопрос о подготовке проекта федераль- ного закона, предусматривающего ком- пенсацию вреда физическим лицам со стороны операторов ПДн, допустивших утечку ПДн, в том числе в досудебном (добровольном) порядке. Изменения в приказ ФСТЭК России № 235 Для общественного обсуждения 21 февраля 2023 г. был представлен проект приказа ФСТЭК России "О вне- сении изменений в Требования к созда- нию систем безопасности значимых объ- ектов критической информационной инфраструктуры РФ и обеспечению их функционирования, утвержденные при- казом Федеральной службы по техни- ческому и экспортному контролю от 21 декабря 2017 г. № 235" 14 . Проект изменений нацелен на гармо- низацию приказа ФСТЭК России от 21 декабря 2017 г. № 235 с ролями, определенными Указом Президента РФ от 1 мая 2022 г. № 250 "О дополнитель- ных мерах по обеспечению информа- ционной безопасности РФ", – ответ- ственное лицо и структурное подразде- ление по безопасности. Проект измене- ний предлагает разрешить обеспечивать защиту значимых объектов КИИ спе- циалистам со средним профессиональ- ным образованием по специальности "информационная безопасность". Минпромторг России и отраслевой мониторинг в отношении субъектов КИИ Для общественного обсуждения 6 фев- раля 2023 г. был представлен проект приказа Минпромторга России "Об утверждении Порядка проведения в отношении субъектов критической информационной инфраструктуры РФ, осуществляющих деятельность в обла- сти оборонной, металлургической и химической промышленности, оценки актуальности и достоверности сведений, указанных в пункте 17 Правил катего- рирования объектов критической инфор- мационной инфраструктуры РФ, и опре- делении состава организаций, привле- каемых к оценке актуальности и досто- верности сведений, указанных в пункте 17 Правил категорирования 11 http://publication.pravo.gov.ru/Document/View/0001202302200021 12 http://publication.pravo.gov.ru/Document/View/0001202302060028 13 https://sozd.duma.gov.ru/bill/297029-8 14 https://regulation.gov.ru/projects#npa=136178