Журнал "Information Security/ Информационная безопасность" #5, 2022

• 9 ПРАВО И НОРМАТИВЫ www.itsec.ru регулирования в установленной сфере деятельности. По проекту ПП РФ в отно- шении субъектов КИИ, подведомствен- ных государственным органам и рос- сийским юридическим лицам, такой мониторинг должен будет осуществлять- ся соответствующими государственными органами и российскими юридическими лицами. Проектом ПП РФ предусматривается подтверждение отраслевыми ведомства- ми актуальности и достоверности све- дений путем ознакомления с объектами КИИ в условиях их эксплуатации. Кроме того, проектом ПП РФ предла- гается уточнение показателей критериев значимости и их значений, установлен- ных пунктами 2–5, 8–11 и 13 перечня показателей критериев значимости. Рас- смотрим некоторые из предлагаемых изменений. l Расчет отсутствия доступа к госуслу- гам предполагается дополнить учетом времени с момента приема запроса о предоставлении услуги, в течение кото- рого государственная услуга не может быть оказана. l Уточнено, что оценку снижения уровня дохода по всем видам деятельности необходимо производить также и орга- низациям оборонно-промышленного комплекса. l В показатель оценки ущерба бюд- жету РФ добавили (вернули) и ущерб бюджету субъектов РФ. При этом "вход- ные границы" для категории значимости снижены. l Для корректировки и дополнения предлагаются показатели, касающиеся финансовых организаций. Так, десятый показатель дополнен уточнением, о его применении к кредитным организациям, а в перечень показателей включены пункты 10.1–10.5 для некредитных финансовых организаций. l Уточнено, что для расчета снижения показателя государственного оборонного заказа вместо "продукции" берутся еди- ницы изделия. l Показатель оценки прекращения или нарушения функционирования объектов транспортной инфраструктуры дополнен оценкой и для транспортных средств, высокоавтоматизированных транспорт- ных средств. l Предлагается уточнить показатели, характеризующие прекращение или нарушение функционирования критиче- ских процессов на территории одного муниципального образования числен- ностью более 10 тыс. человек (ранее было 2 тыс. человек). Как отмечает регулятор в пояснительной записке, это должно позволить исключить из значи- мых объектов КИИ объекты, обеспечи- вающие функционирование мелких сель- ских поселений. В соответствии с п. 21 правил кате- горирования в случае изменения пока- зателей критериев значимости или их значений субъекты КИИ должны будут осуществить пересмотр установленных категорий значимости или решений об отсутствии необходимости присвое- ния указанным объектам таких кате- горий. Учет Роскомнадзором инцидентов в области ПДн Для общественного обсуждения 13 октября 2022 г. был представлен проект приказа Роскомнадзора "Об утверждении Порядка и условий взаи- модействия Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций с операторами в рамках ведения реестра учета инцидентов в области персональ- ных данных" 11 . Проект приказа описывает порядок уведомления операторами Роском- надзора о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональ- ных данных, повлекшей нарушение прав субъектов ПДн. По проекту при- каза требования должны вступить в силу с 1 марта 2023 г. Порядок взаимодействия представлен на рисунке ниже. Уведомление может направляться в виде документа на бумажном носителе или в форме электронного документа посредством специальных электронных форм подачи уведомлений 12 . В случае если Роскомнадзором будет выявлен факт неправомерного распро- странения базы данных, включающей в себя ПДн, содержание которой указы- вает на ее принадлежность к конкрет- ному оператору, то такому оператору направляется требование о необходи- мости представить уведомление. Если оператором не подтверждается факт утечки ПДн и (или) не установлена при- надлежность скомпрометированной базы данных оператору, оператором направляется уведомление с предостав- лением акта о проведенном внутреннем расследовании, подтверждающем отсут- ствие факта утечки ПДн и (или) неуста- новления принадлежности скомпроме- тированной базы данных. В случае если оператором, Роском- надзором или иным заинтересованным лицом выявлен факт утечки ПДн, о кото- ром оператор уже уведомлял ранее, то оператором направляется уведомление с указанием даты и номера ранее направленного уведомления. Взаимодействие Роскомнадзора и ФСБ России при инцидентах в области ПДн 14 октября 2022 г. для общественного обсуждения был представлен проект совместного приказа Роскомнадзора и ФСБ России "Об утверждении Порядка передачи информации о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставле- ние, распространение, доступ) персо- нальных данных" 13 . Проект приказа устанавливает поря- док передачи Роскомнадзором и ФСБ России друг другу полученной от опера- торов информации (за исключением информации, составляющей государст- венную тайну) о компьютерных инци- дентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) ПДн. По про- екту порядок должен вступить в силу с 1 марта 2023 г. Обработка ПДн Роскомнадзором Для общественного обсуждения пред- ставлен проект приказа Роскомнадзора "Об обработке персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций" 14 . В проект приказа включены следую- щие четыре документа: 1. Правила обработки ПДн. 2. Правила осуществления внутреннего контроля соответствия обработки ПДн требованиям к защите ПДн. 3. Должностная инструкция ответствен- ного за организацию обработки ПДн. 4. Типовая форма разъяснения субъ- екту ПДн юридических последствий отка- за предоставить свои ПДн. Сертификация средств защиты информации ФСТЭК России Приказ ФСТЭК России от 19.09.2022 № 172 "О внесении изменений в Положе- ние о системе сертификации средств защиты информации, утвержденное при- казом Федеральной службы по техниче- скому и экспортному контролю от 3 апреля 2018 г. № 55" 15 (далее – приказ ФСТЭК России №172) официально опубликован 19 октября 2022 г. Приказ ФСТЭК России № 172 коррек- тирует Положение о системе сертифи- кации средств защиты информации (СрЗИ) ФСТЭК России. Одним из важных нововведений является уменьшение сроков сертификации СрЗИ: l ФСТЭК России должен рассматривать заявку на сертификацию в течение 15 календарных дней со дня получения заявки; 11 https://regulation.gov.ru/projects#npa=132272 12 https://pd.rkn.gov.ru/incidents/form/ 13 https://regulation.gov.ru/projects#npa=132338 14 https://regulation.gov.ru/projects#npa=132621 15 http://publication.pravo.gov.ru/Document/View/0001202210190024