Журнал "Information Security/ Информационная безопасность" #6, 2022

8 • ПРАВО И НОРМАТИВЫ товления единицы продукции, взамен оценки "времени выпуска продукции (работ, услуг)". Напомним, что по правилам категори- рования субъектам КИИ в случае измене- ния показателей критериев значимости объектов КИИ или их значений потребуется осуществить пересмотр (обратите внима- ние: пересмотр, а не повторное/перекате- горирование) установленных категорий значимости или решений об отсутствии необходимости присвоения категорий. В случае если категория значимости будет изменена, сведения о результатах пере- смотра категории необходимо направить во ФСТЭК России. С 21 марта 2023 г. субъектам КИИ при категорировании также потребуется учи- тывать перечни типовых отраслевых объ- ектов КИИ, которые могут формироваться государственными органами и россий- скими юридическими лицами, выполняю- щими функции по разработке, проведе- нию или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с ФСТЭК России. На момент написания настоящей статьи в общем доступе примеры переч- ней типовых отраслевых объектов КИИ опубликованы не были, имеются лишь примеры объектов КИИ, функционирую- щих в сфере здравоохранения (прило- жение 4 к Методическим рекомендациям по категорированию объектов критиче- ской информационной инфраструктуры сферы здравоохранения 17 ). КоАП и КИИ Федеральный закон № 518-ФЗ от 19.12.2022 г. "О внесении изменений в отдельные законодательные акты Рос- сийской Федерации" 18 официально опуб- ликован 19 декабря 2022 г. и вступил в силу в день опубликования. Он вносит поправки в статьи Кодекса Российской Федерации об административных пра- вонарушениях, устанавливающие ответ- ственность за повторное непредставле- ние или нарушение сроков представле- ния во ФСТЭК России сведений о резуль- татах категорирования объектов КИИ. Формы уведомлений Роскомнадзора Приказ Роскомнадзора № 180 от 28.10.2022 г. "Об утверждении форм уведомлений о намерении осуществлять обработку персональных данных, об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных, о пре- кращении обработки персональных дан- ных" 19 официально опубликован 15 декабря 2022 г. и вступил в силу 26 декабря 2022 г., соответствующие формы уведомлений размещены на пор- тале персональных данных регулятора с 26 декабря 2022 г. Приказом РКН № 180 утверждено три формы: l уведомления о намерении осуществ- лять обработку ПДн; l уведомления об изменении сведений, содержащихся в уведомлении о наме- рении осуществлять обработку ПДн; l уведомления о прекращении обра- ботки ПДн. Напомним, что с 1 сентября 2022 г. вступили в силу изменения в закон "О персональных данных". Теперь опе- раторы должны уведомлять Роскомнад- зор о начале или осуществлении любой обработки ПДн, за исключением случаев, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка, транспортной безопасности, или если оператор обра- батывает данные исключительно без средств автоматизации. Формы, утвер- жденные приказом РКН№ 180, приводят состав собираемых данных в соответ- ствие с изменениями закона "О персо- нальных данных". Изменения в проверочные листы для контроля за обработкой ПДн На общественное обсуждение 13 декаб- ря 2022 г. был представлен проект при- каза Роскомнадзора "О внесении изме- нений в форму проверочного листа (спис- ка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), при- меняемого при осуществлении феде- рального государственного контроля (над- зора) за обработкой персональных дан- ных Федеральной службой по надзору в сфере связи, информационных техноло- гий и массовых коммуникаций и ее тер- риториальными органами, утвержденную приказом Федеральной службы по над- зору в сфере связи, информационных технологий и массовых коммуникаций от 24 декабря 2021 г. № 253" 20 . Проект приказа РКН также направлен на приведение в соответствие измене- ниям в законодательстве списка конт- рольных вопросов по соблюдению тре- бований по обработке ПДн. Например, в проверочные листы пред- лагается добавить вопросы о соблюдении: l требований к поручению обработки ПДн третьему лицу; l требований по уведомлению Роском- надзора о намерении осуществлять трансграничную передачу ПДн; l требований по уведомлению Роском- надзора о факте неправомерной или слу- чайной передачи (предоставления, рас- пространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, и т.д. Контроль утечек ПДн для аккредитованных ИТ-компаний На общественное обсуждение 15 декаб- ря 2022 г. был представлен проект поста- новления Правительства РФ "О внесении изменений в некоторые акты Прави- тельства Российской Федерации" 21 . Указанный проект, в частности, пред- лагает внесение изменений в постанов- ление Правительства Российской Феде- рации № 448 "Об особенностях осу- ществления государственного контроля (надзора), муниципального контроля в отношении аккредитованных организа- ций, осуществляющих деятельность в области информационных технологий, и о внесении изменений в некоторые акты Правительства Российской Федерации". В проекте предлагается разрешить осу- ществление внеплановых контрольных (надзорных) мероприятий федерального государственного контроля (надзора) за обработкой ПДн в отношении аккреди- тованных организаций, осуществляющих деятельность в области информацион- ных технологий, в случае, если установ- лен факт распространения (предостав- ления) в сети "Интернет" баз ПДн (или их части), имеющих признаки принадлеж- ности к аккредитованной организации. КоАП и ПДн Законопроект № 181342-7 "О внесении изменений в Кодекс Российской Феде- рации об административных правонару- шениях" 23 декабря был одобрен Советом Федерации и направлен президенту РФ. Законопроект № 181342-7 предлагает дополнить КоАП РФ нормой о возмож- ности возбуждения дела об админи- стративном правонарушении Роском- надзором по итогам проведения конт- рольных (надзорных) мероприятий без взаимодействия с контролируемым лицом, например при нарушениях, пред- усмотренных ч. 1–21 и 4 ст. 13, ч. 3, 5 и 51 ст. 13.11, ч. 6 ст. 13.11, и др. Ст. 13.11 КоАП определяет нарушения законодательства РФ в области ПДн. Требования по безопасности информации к средствам контейнеризации Информационным сообщением от 1 декабря 2022 г. N 240/24/6265 22 ФСТЭК России сообщает об утверждении Тре- бований по безопасности информации к средствам контейнеризации. Указанный документ предназначен для организаций, осуществляющих разработ- ку средств контейнеризации, заявителей на осуществление сертификации, а также для испытательных лабораторий и орга- нов по сертификации, выполняющих рабо- ты по сертификации средств защиты информации на соответствие обязатель- ным требованиям по безопасности инфор- 17 https://lib.itsec.ru/link/?to=minzdrav-1618995871 18 http://publication.pravo.gov.ru/Document/View/0001202212190005 19 http://publication.pravo.gov.ru/Document/View/0001202212150022 20 https://regulation.gov.ru/projects#npa=134307 21 https://regulation.gov.ru/projects#npa=134433