В Compliance Дайджесте собраны ключевые изменения требований регуляторов по информационной безопасности за февраль 2021 года. Изменений в феврале было много, поэтому для удобства вся информация была поделена на несколько категорий:

- Изменения к КОАП касаются роста штрафов за нарушение законодательства РФ в области персональных данных, которые вступают в силу с 1 сентября 2021 года. Для удобства мы составили таблицу со сравнением сумм штрафов в предыдущей и новой редакциях документа.

- Изменения законодательства по обработке и защите персональных данных касаются проверки простой электронной подписи, уникального идентификатора для подтверждения личности, оформления согласия на обработку персональных данных.

- Изменения Минцифры России касаются сокращения сроков перехода на российское ПО объектов КИИ, требований к обработке биометрических данных, сценариев использования цифровых профилей граждан, правил формирования и ведения реестра отечественного ПО.

- Изменения от ФСБ России касаются требований к доверенным лицам удостоверяющего центра федерального органа исполнительной власти.

- Изменения от ФСТЭК России касаются утверждения новой методики оценки угроз безопасности, требований применения сертифицированных СЗИ в зависимости от класса защищенности АСУ ТП, порядка оценки показателей критериев экономической значимости объектов КИИ.

- Изменения в финансовом секторе касаются перечня угроз БПДн для биометрических ИСПДн, связанных с ЕБС, и отдельно для ИСПДн, не связанных с ЕБС, и публикации версии 1.1 стандарта PCI Secure Software Lifecycle (SLC).

1. Изменения КОАП

1.1. В Кодекс Российской Федерации об административных правонарушениях внесены изменения, предусматривающие увеличение штрафов за нарушение законодательства РФ в области персональных данных.

Изменения вступают в силу 1 сентября 2021 г.

Статья КОАП Предыдущая редакция Новая редакция

Ст. 13.11, п. 1

Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных

от 1 тыс. до 3 тыс. рублей для граждан 

от 5 тыс. до 10 тыс. рублей для должностных лиц 

от 30 тыс. до 500 тыс. рублей для юридических лиц 

 

от 2 тыс. до 6 тыс. рублей для граждан 

от 10 тыс. до 20 тыс. рублей для должностных лиц 

от 60 тыс. до 100 тыс. рублей для юридических лиц 

 

Ст. 13.11, п. 1.1

Повторное совершение административного правонарушения, предусмотренного частью 1 настоящей статьи

-

от 4 тыс. до 12 тыс. рублей для граждан

от 12 тыс. до 50 тыс. рублей для должностных лиц

от 50 тыс. до 100 тыс. рублей для ИП

от 100 тыс. до 300 тыс. рублей для юридических лиц

Ст. 13.11, п. 2

Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено

от 3 тыс. до 5 тыс. рублей для граждан 

от 10 тыс. до 20 тыс. рублей для должностных лиц 

от 15 тыс. до 70 тыс. рублей для юридических лиц 

от 6 тыс. до 10 тыс. рублей для граждан 

от 20 тыс. до 40 тыс. рублей для должностных лиц 

от 30 тыс. до 150 тыс. рублей для юридических лиц 

Ст. 13.11, п. 2.1

Повторное совершение административного правонарушения, предусмотренного частью 2 настоящей статьи

-

от 10 тыс. до 20 тыс. рублей для граждан

от 40 тыс. до 100 тыс. рублей для должностных лиц

от 100 тыс. до 300 тыс. рублей для ИП

от 300 тыс. до 500 тыс. рублей для юридических лиц

Ст. 13.11, п. 3

Неопубликование Политики в отношении обработки ПДн

 

от 700 до 1,5 тыс. рублей для граждан 

от 3 тыс. до 6 тыс. рублей для должностных лиц 

от 5 тыс. до 10 тыс. рублей для ИП

от 15 тыс. до 30 тыс. рублей для юридических лиц 

от 1,5 тыс. до 3 тыс. рублей для граждан 

от 6 тыс. до 12 тыс. рублей для должностных лиц от 20 тыс. до 30 тыс. рублей для ИП

от 40 тыс. до 80 тыс. рублей для юридических лиц 

Ст. 13.11, п. 4

Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных

от 1 тыс. до 2 тыс. рублей для граждан 

от 4 тыс. до 6 тыс. рублей для должностных лиц 

от 10 тыс. до 15 тыс. рублей для ИП

от 20 тыс. до 40 тыс. рублей для юридических лиц 

от 2 тыс. до 4 тыс. рублей для граждан 

от 8 тыс. до 12 тыс. рублей для должностных лиц 

от 20 тыс. до 30 тыс. рублей для ИП

от 40 тыс. до 80 тыс. рублей для юридических лиц 

 

Ст. 13.11, п. 5

Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки

от 1 тыс. до 2 тыс. рублей для граждан 

от 4 тыс. до 10 тыс. рублей для должностных лиц 

от 10 тыс. до 20 тыс. рублей для ИП

от 25 тыс. до 45 тыс. рублей для юридических лиц 

 

от 2 тыс. до 4 тыс. рублей для граждан 

от 8 тыс. до 20 тыс. рублей для должностных лиц 

от 20 тыс. до 40 тыс. рублей для ИП

от 50 тыс. до 90 тыс. рублей для юридических лиц 

 

Ст. 13.11, п. 6

Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ

от 700 до 2 тыс. рублей для граждан 

от 4 тыс. до 10 тыс. рублей для должностных лиц 

от 10 до 20 тыс. рублей для ИП

от 25 тыс. до 50 тыс. рублей для юридических лиц 

 

от 1,5 тыс. до 4 тыс. рублей для граждан 

от 8 тыс. до 20 тыс. рублей для должностных лиц 

от 20 тыс. до 40 тыс. рублей для ИП

от 50 тыс. до 100 тыс. рублей для юридических лиц 

 

Ст. 13.11, п. 7

Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных

от 3 тыс. до 6 тыс. рублей для должностных лиц 

 

от 6 тыс. до 12 тыс. рублей для должностных лиц 

 

 

В раздел 13 КОАП также внесены изменения в статью 13.15 «Злоупотребление свободой массовой информации» и добавлены новые статьи:

- Статья 13.42. Нарушение требований законодательства к установке технических средств противодействия угрозам устойчивости, безопасности и целостности функционирования на территории Российской Федерации информационно-телекоммуникационной сети «Интернет» и сети связи общего пользования либо технических средств контроля за соблюдением операторами связи, собственниками или иными владельцами технологических сетей связи требований законодательства, предусматривающих ограничение доступа к информации.

- Статья 13.43. Нарушение требований законодательства к обеспечению функционирования точек обмена трафиком либо требований законодательства к обеспечению устойчивого функционирования средств связи, обеспечивающих взаимодействие с иными средствами связи.

- Статья 13.44. Неисполнение обязанности по использованию в целях выявления в информационно-телекоммуникационной сети «Интернет» сетевых адресов, соответствующих доменным именам технических и программных средств (в том числе средств связи), функционирующих в соответствии с установленными уполномоченным федеральным органом исполнительной власти требованиями, а также национальной системы доменных имен.

- Статья 13.45. Нарушение требований законодательства о централизованном управлении сетью связи общего пользования.

- Статья 13.46. Неисполнение обязанности по реализации требований к сетям и средствам связи, используемым для проведения мероприятий уполномоченными государственными органами, осуществляющими оперативно-розыскную деятельность или обеспечение безопасности Российской Федерации. 

2. Изменения законодательства по обработке и защите персональных данных

2.1. Для общественного обсуждения опубликован проект постановления Правительства Российской Федерации «Об утверждении требований к проверке простой электронной подписи, которой в соответствии с частями 5 и 23 статьи 14.1 Федерального закона «Об информации, информационных технологиях и о защите информации» подписаны согласия на обработку персональных данных и биометрических персональных данных, при хранении указанных согласий»

2.2. В первом чтении Госдумой принят законопроект, устанавливающий возможность для граждан подтверждать личность с помощью уникального идентификатора субъекта персональных данных. 

2.3. Законопроект об оформлении согласия на обработку персональных данных принят Государственной Думой в первом чтении:

- Законопроектом устанавливается возможность предоставления согласия на обработку персональных данных сразу в различных целях и несколькими лицами по поручению оператора, в том числе в дополнительных целях, отличных от первоначальных целей сбора персональных данных.

- Предлагается также установить обязанность оператора использовать средства защиты информации, с функцией уничтожения информации, прошедшие в установленном порядке процедуру оценки соответствия в ФСБ России или ФСТЭК России.

- К ведению Роскомнадзора предлагается отнести установление требований к обезличиванию персональных данных и методов обезличивания персональных данных.

3. Изменения от Минцифры

3.1. Минцифры вновь представило для общественного обсуждения проект постановления Правительства Российской Федерации «Об утверждении требований к программному обеспечению, телекоммуникационному оборудованию и радиоэлектронной продукции, используемым на объектах критической информационной инфраструктуры, и порядок перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции».

Ранее сообщалось, что Минцифры предлагает ускорить на год переход на российское программное обеспечение для объектов критической информационной инфраструктуры. Согласно инициативе ведомства, субъектам КИИ до 1 января 2023 года будет необходимо перейти на преимущественное использование российского ПО, а до 1 января 2024 года – на преимущественное использование российского оборудования. 

3.2. Опубликован для общественного обсуждения проект приказа Минцифры «О внесении изменений в приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25.06.2018 № 323 «Об утверждении форм подтверждения соответствия информационных технологий и технических средств, предназначенных для обработки биометрических персональных данных в целях проведения идентификации, требованиям к информационным технологиям и техническим средствам, предназначенным для указанных целей».

Проект приказа разработан во исполнение пункта 2 части 13 статьи 14.1 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». 

3.3. Минцифры опубликовало «Сценарии использования инфраструктуры цифрового профиля гражданина», применяемые в рамках госэксперимента по повышению эффективности электронного документооборота между физлицами, банками и госучреждениями.

Одной из функций цифрового профиля является предоставление третьим лицам сведений из ЕСИА или других ГИС, обменивающихся данными с ЕСИА через СМЭВ, с согласия и в интересах гражданина – например, банку для заполнения кредитной заявки. В этом случае взаимодействие граждан с цифровым профилем сводится исключительно к подтверждению согласия на предоставление запрошенных организацией сведений, говорится в документе. 

3.4. Опубликован доработанный на основании замечаний проект постановления Правительства «О внесении изменений в правила формирования и ведения единого реестра российских программ для электронных вычислительных машин и баз данных и единого реестра программ для электронных вычислительных машин и баз данных из государств – членов Евразийского экономического союза, утвержденные постановлением Правительства Российской Федерации от 16 ноября 2015 г. № 1236».

В документе большое внимание уделяется требованиям к локализации производителей ПО. На территории России должен располагаться: исходный и объектный код, а также средства, которые необходимы для использования и обслуживания продуктов.

Проект НПА обязывает разработчика ПО предоставлять техническую поддержку и гарантийное обслуживание. У подающей заявку компании должен быть штат квалифицированных специалистов и соответствующие технические возможности.

Также к процедуре рассмотрения документов на включение в реестр ПО планируют подключить специализированные экспертные организации.

Из проекта НПА исключили:

- необходимость подтверждать «существенную доработку» свободно распространяемого программного продукта с открытым кодом российским разработчикам;

- упоминание о квоте для представителей отечественных ассоциаций разработчиков на участие в экспертном совете по ПО;

- требования вносить в реестр каждую программу, поставляемую в сборниках ПО, по отдельности.

4. Изменения от ФСБ России

4.1. Для общественного обсуждения опубликован проект приказа ФСБ России «Об утверждении организационно-технических требований в области информационной безопасности к доверенным лицам удостоверяющего центра федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц». 

5. Изменения от ФСТЭК России

5.1. ФСТЭК России утвердила новую «Методику оценки угроз безопасности», отменив «Методику определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (ФСТЭК России, 2008 г.) и «Методику определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры» (ФСТЭК России, 2007 г.).

Методика должна применяться для оценки угроз безопасности информации в системах и сетях, решение о создании или модернизации (развитии) которых принято после даты ее утверждения (после 15 февраля 2021 года), а также в эксплуатируемых системах и сетях.

Модели угроз безопасности информации систем и сетей, разработанные и утвержденные до утверждения методики, продолжают действовать и подлежат изменению в соответствии с настоящей Методикой при развитии (модернизации) соответствующих систем и сетей.

Методический документ должен применяться совместно с банком данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru).

5.2. ФСТЭК России подготовила и представила для общественного обсуждения изменения в «Требования к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей среды», утвержденные приказом ФСТЭК России от 14.03.2014 № 31.

Изменения касаются применения сертифицированных средств защиты информации, соответствующих тому или иному уровню доверия, в зависимости от класса защищенности автоматизированных систем управления.

5.3. ФСТЭК проинформировала об утверждении «Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении», опубликовав информационное сообщение от 10 февраля 2021 г. № 240/24/647.

Новая редакция «Методики выявления уязвимостей и недекларированных возможностей в программном обеспечении» была утверждена 25 декабря 2020 г.

Методика предназначена для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию программных, программно-технических средств технической защиты информации, средств обеспечения безопасности информационных технологий, включая защищенные средства обработки информации, заявителей на осуществление сертификации, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств на соответствие обязательным требованиям по безопасности информации.

С 1 апреля 2021 г. испытания программного обеспечения по выявлению уязвимостей и недекларированных возможностей должны проводиться в соответствии с новой методикой.

5.4. ФСТЭК опубликовала проект методического документа «Рекомендации по оценке показателей критериев экономической значимости объектов критической информационной инфраструктуры Российской Федерации».

Документ детализирует порядок оценки показателей критериев экономической значимости объектов КИИ, проводимой в соответствии с «Правилами категорирования объектов критической информационной инфраструктуры РФ», утвержденными постановлением Правительства РФ от 8 февраля 2018 г. № 127. 

6. Изменения в финансовом секторе

6.1. Банк России опубликовал проект указания «О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, при взаимодействии организаций финансового рынка с единой биометрической системой с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных».

Проект данного указания в случае его принятия отменит ныне действующее указание Банка России от 9 июля 2018 года № 4859-У.

Проект указания распространяется при совершении следующих операций:

- размещении или обновлении БПДн в ЕБС банками с универсальной лицензией и с базовой лицензией;

- идентификации клиентов с использованием ЕБС при приеме на обслуживание клиентов для совершения операций (сделок) организациями финансового рынка и при проверке соответствия БПДн лица, содержащихся в ЕБС, в случае возникновения подозрения у организаций финансового рынка, к которым помимо кредитных организаций отнесены:

  • профессиональные участники рынка ценных бумаг;
  • операторы инвестиционных платформ;
  • страховые организации, страховые брокеры и лизинговые компании;
  • организации федеральной почтовой связи;
  • ломбарды;
  • организаторы азартных игр;
  • управляющие компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов;
  • организации, оказывающие посреднические услуги при осуществлении сделок купли-продажи недвижимого имущества;
  • операторы по приему платежей;
  • микрофинансовые организации;
  • негосударственные пенсионные фонды в части осуществления деятельности по негосударственному пенсионному обеспечению;
  • операторы связи, имеющие право самостоятельно оказывать услуги подвижной радиотелефонной связи;
  • операторы финансовых платформ;
  • и многие другие организации, определенные в пункте 5.8 статьи 7 Федерального закона № 115-ФЗ;

- открытии и ведении счета (вклада) клиентов и выдача кредита клиентам, банками с универсальной лицензией (вступит в силу с 01.01.2022).

Проектом указания предусмотрена возможность осуществления сбора БПДн с целью передачи в ЕБС с использованием мобильных (переносных) устройств вычислительной техники (планшетов).

Требования по использованию СКЗИ (УКЭП) класса КВ остались в силе при осуществлении отдельных операций.

6.2. Банк России опубликовал проект указания о перечне угроз БПДн для биометрических ИСПДн, не связанных с ЕБС, – «О перечне угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций финансового рынка, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой биометрической системы, а также актуальных при взаимодействии организаций финансового рынка, иных организаций, индивидуальных предпринимателей с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных».

Проектом указания предусмотрено:

- использование СКЗИ класса КС1 и КС2 при сборе БПДн для биометрических ИСПДн, не связанных с ЕБС;

- при обработке информации о степени соответствия БПДн биометрическому образцу для организаций и при передаче БПДн при взаимодействии с ИС организаций финансового рынка, реализующих усиленный и стандартный уровни защиты, использование СКЗИ класса КВ, а для организаций, реализующих минимальный уровень защиты, использование СКЗИ класса КС3. 

6.3. Официально опубликовано положение Банка России от 23.12.2020 № 747-П «О требованиях к защите информации в платежной системе Банка России» (вступает в силу 25 февраля 2021 г. за исключением положений, для которых установлены иные сроки вступления в силу).

Положение № 747-П отменяет положение Банка России от 9 января 2019 года № 672-П «О требованиях к защите информации в платежной системе Банка России». 

6.4. Совет по стандартам безопасности PCI (PCI SSC) опубликовал версию 1.1 стандарта PCI Secure Software Lifecycle (SLC) и сопутствующую программную документацию. Стандарт PCI Secure SLC – это один из двух стандартов, которые являются частью PCI Software Security Framework (SSF).