12.04.2021В Compliance Дайджесте собраны ключевые изменения требований регуляторов по информационной безопасности за март 2021 года, в том числе рекомендации и указания Центрального Банка России по усилению информационной работы кредитных организаций с клиентами и установлению критериев для мобильных приложений банков при открытии счетов, информация о проекте приказа ФСТЭК России об изменениях системы сертификации средств защиты информации, информация о проектах Минцифры о проверке биометрических персональных данных физических лиц и увеличении срока рассмотрения технических заданий на создание ГИС со стороны Минцифры, ФСБ России и ФСТЭК России, а также срока рассмотрения моделей угроз безопасности информации со стороны ФСБ России и ФСТЭК России.
1. Центральный Банк России опубликовал «Методические рекомендации по усилению кредитными организациями информационной работы с клиентами в целях противодействия несанкционированным операциям» (утв. Банком России 19.02.2021 № 3-МР).
2. Центральный Банк России опубликовал проект указания «Об установлении критериев для мобильных приложений банков, посредством которых обеспечивается возможность клиентам – физическим лицам открывать счета (вклады) в рублях, а также получать кредиты в рублях без личного присутствия после проведения идентификации клиента – физического лица в порядке, предусмотренном пунктом 5.8 статьи 7 Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
3. Центральный Банк России опубликовал план подготовки нормативных актов Банка России в 2021 году.
4. Госдума приняла в первом чтении законопроект о переносе вступления в силу с 1 апреля 2021 года на 1 июля 2022 года нового порядка идентификации лиц удостоверяющими центрами (УЦ) при получении сертификата ключей проверки электронных подписей (СЭП).
5. ФСТЭК России представила для общественного обсуждения проект ведомственного приказа «О внесении изменений в Положение о системе сертификации средств защиты информации, утвержденное приказом Федеральной службы по техническому и экспортному контролю от 3 апреля 2018 г. № 55», который предлагает следующие изменения:
- сертификация СрЗИ иностранного производства, в отношении которых нормативными правовыми актами РФ установлены ограничения или запреты на их использование в РФ, в системе сертификации ФСТЭК России не осуществляется;
- серийно производимое СрЗИ считается сертифицированным, если оно произведено в период срока действия сертификата соответствия на его серийное производство;
- для единичного образца или партии СрЗИ срок действия сертификата соответствия не устанавливается;
- условием действия сертификата соответствия является соответствие средства защиты информации требованиям по безопасности информации и осуществление заявителем его технической поддержки;
- вносятся требования к маркировке сертифицированных СрЗИ;
- порядок отбора образца для испытаний и т. п.
Изменения в приказе устанавливают, что в отношении биометрических персональных данных, используемых в соответствии с 149-ФЗ, степень взаимного соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных, достаточная для проведения идентификации физического лица, составляет не менее 0,9999.
7. Правительством РФ опубликован законопроект «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации», который вносит ряд изменений в Федеральный закон «О персональных данных», касающихся реализации экспериментальных правовых режимов в сфере цифровых инноваций, и согласно которому Минцифре предлагается определить порядок уничтожения персональных данных, полученных в результате обезличивания, хранящихся у субъекта экспериментального правового режима, в случае прекращения статуса субъекта экспериментального правового режима, а само уничтожение таких персональных данных предлагается осуществлять с использованием прошедших в установленном порядке процедур оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.
8. Официально опубликован приказ Федеральной службы безопасности Российской Федерации от 29.01.2021 № 31 «О внесении изменений в приказ ФСБ России от 27 декабря 2011 г. № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи», зарегистрированный в Минюсте 09.03.2021 и вступающий в силу с 01.09.2021 и действующий до 01.09.2027.
9. Минцифра опубликовала проект постановления Правительства РФ «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации», утвержденных постановлением Правительства Российской Федерации от 6 июля 2015 г. № 676.
Проектом постановления предусматривается увеличение срока рассмотрения Минцифры, ФСБ России и ФСТЭК России технических заданий на создание государственных информационных систем, а также срока рассмотрения ФСБ России и ФСТЭК России моделей угроз безопасности информации с 10 до 20 рабочих дней.
10. Роскомнадзор представил для общественного обсуждения проект ведомственного приказа «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций».
Указанный проект направлен на реализацию части 7 статьи 10.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и обеспечение получения оператором согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
