Журнал "Information Security/ Информационная безопасность" #6, 2022

l ФИО субъектов или иную информа- цию, относящуюся к определенным физическим лицам, чьи ПДн были уни- чтожены; l перечень категорий уничтоженных ПДн; l наименование ИСПДн, из которой были уничтожены ПДн; l причину уничтожения ПДн; l дату уничтожения ПДн. Однако, если выгрузка из журнала не позволяет указать отдельные сведения, недостающие сведения могут быть вне- сены в акт об уничтожении ПДн. Требования к оценке вреда, который может быть причинен субъектам ПДн Приказ Роскомнадзора № 178 от 27.10.2022 г. "Об утверждении Требований к оценке вреда, который может быть при- чинен субъектам персональных данных в случае нарушения Федерального закона "О персональных данных" 3 был офици- ально опубликован 29 ноября 2022 г. Он вступает в силу с 1 марта 2023 г. и будет действовать до 1 марта 2029 г. Согласно приказу РКН № 178 оценка вреда, который может быть причинен субъектам ПДн, должна осуществляться ответственным за организацию обра- ботки ПДн либо комиссией, образуемой оператором. Оператор определяет одну из степеней вреда, который может быть причинен субъекту ПДн, – высокую, среднюю и низкую. Критерии установления оценки вреда установлены приказом РКН№ 178 и, в частности, основываются на катего- риях обрабатываемых ПДн или особен- ностях реализации оператором закона о ПДн. Результат оценки вреда должен быть оформлен актом. В случае если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке ПДн субъекту ПДн могут быть причинены различные степени вреда, подлежит при- менению более высокая степень вреда. СКЗИ в ГИС Приказ ФСБ России № 524 от 24.10.2022 г. "Об утверждении Требова- ний о защите информации, содержа- щейся в государственных информацион- ных системах, с использованием шиф- ровальных (криптографических) средств" 4 официально опубликован 23 ноября 2022 г. Он вступает в силу по истечении одного года со дня его официального опубликования, то есть 23 ноября 2023 г. Приказом ФСБ России № 524 опре- делено, что информация, содержащаяся в ГИС, подлежит защите с использова- нием СКЗИ в следующих случаях: l законодательными и иными норма- тивными правовыми актами РФ пред- усмотрена обязанность по защите информации, содержащейся в ГИС, с использованием СКЗИ; l в ГИС осуществляется передача информации по каналам связи, проходя- щим за пределами контролируемой зоны; l необходимо обеспечить юридическую значимость электронных документов и их защиту от подделки; l в ГИС осуществляется хранение данных на носителях информации, предназна- ченных для записи, хранения и воспроиз- ведения информации, обрабатываемой с использованием средств вычислительной техники, несанкционированный доступ к которым со стороны третьих лиц не может быть исключен с помощью некриптогра- фических методов и способов. Необходимость использования СКЗИ для защиты информации, содержащейся в ГИС, подлежит обоснованию в модели угроз безопасности информации, техни- ческом проекте и техническом задании на создание (развитие) ГИС. При этом модель угроз безопасности информации и (или) техническое задание на создание (развитие) ГИС подлежат согласованию с ФСБ России в части криптографиче- ской защиты информации. Допускается использование только СКЗИ, сертифи- цированных ФСБ России. Лицензирование деятельности, связанной с СКЗИ Проект приказа ФСБ России "Об утверждении Административного регла- мента ФСБ России по предоставлению государственной услуги по лицензиро- ванию деятельности по разработке, про- изводству, распространению шифро- вальных (криптографических) средств, информационных систем и телекомму- никационных систем, защищенных с использованием шифровальных средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифро- вальных средств, информационных систем и телекоммуникационных систем, защищенных с использованием шиф- ровальных средств..." 5 был представлен для общественного обсуждения в ноябре 2022 г. Проектом приказа ФСБ России пред- полагается признать утратившим силу приказ ФСБ России № 641 от 29.12.2020 г., утверждающий действую- щий на текущий момент Администра- тивный регламент. Проект приказа ФСБ России разрабо- тан в целях приведения ведомственного правового акта в соответствие нормам Федерального закона № 99-ФЗ от 04.05.2011 г. "О лицензировании отдель- ных видов деятельности", а также Пра- вилам разработки и утверждения адми- нистративных регламентов предостав- ления государственных услуг, утвер- жденным постановлением Правитель- ства Российской Федерации № 1228 от 20.07.2021 г. Кроме того, проектом при- каза ФСБ России устанавливается запрет на осуществление лицензируе- мой деятельности, связанной с шифро- вальными средствами, иностранными юридическими лицами. Дополнительные требования к отечественному ПО Проект постановления Правительства Российской Федерации "О внесении изменений в некоторые акты Правитель- ства Российской Федерации" 6 был пред- ставлен для общественного обсуждения Минцифры России 21 ноября 2022 г. • 5 ПРАВО И НОРМАТИВЫ www.itsec.ru 3 http://publication.pravo.gov.ru/Document/View/0001202211290004 4 http://publication.pravo.gov.ru/Document/View/0001202211230034 5 https://regulation.gov.ru/projects#npa=132843 6 https://regulation.gov.ru/projects#npa=133695 Реклама