Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Законодательные итоги года

Законодательные итоги года

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Законодательные итоги года

Анастасия Заведенская
Аналитик Аналитического центра Уральского центра систем безопасности
Ноябрь 2019 года
В ноябрьском обзоре за 2019 год рассмотрим обновленную информацию от ФСТЭК России о том, соблюдение каких требований по обеспечению безопасности КИИ будет оцениваться при проведении проверок, а также несколько новостей в области субсидирования различных направлений информационной безопасности.

6 ноября 2019 г. на официальном сайте ФСТЭК России обновлен Перечень нормативных правовых актов или их отдельных частей, оценка соблюдения которых является предметом государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры1. Перечень утвержден приказом ФСТЭК России от 16.07.2019 г. № 135.

Надзорный орган указывает, соблюдение каких требований будет оцениваться при проведении контролирующих мероприятий (см. врезку).

Субсидирование отраслевого центра ГосСОПКА

13 ноября 2019 г. опубликован приказ Минкомсвязи России от 30 октября 2019 г. № 629 "О конкурсной комиссии Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации по предоставлению Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах"2.

Перечень нормативно-правовых актов или их отдельных частей, оценка соблюдения которых является предметов государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры:

  • Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ (части 1, 2, 4, 5, 12 статьи 7, статья 9, статья 10);
  • постановление Правительства РФ от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений" (пункты 1–18, 20, 21);
  • приказ ФСТЭК России от 21.12.2017 N 235;
  • приказ ФСТЭК России от 25.12.2017 N 239.

 

Приказ № 629 подготовлен для реализации постановления Правительства РФ от 07 октября 2019 г. № 1285 о субсидировании создания отраслевого центра ГосСОПКА. Он инициирует образование конкурсной комиссии для рассмотрения заявок на субсидирование, утверждает положение, определяющее порядок и сроки деятельности конкурсной комиссии, и устанавливает правила конкурсного отбора.

Следом, 22 ноября 2019 г., на сайте Минкомсвязи России опубликовано извещение о проведении конкурсного отбора на предоставление субсидии на создание отраслевого центра ГосСОПКА3. Заявки на участие в открытом конкурсном отборе принимались до 29 ноября. К участию заявились ФГУП МНИИ "Интеграл" и ООО "Центр информационной безопасности". Победителем, набравшим наибольшее количество баллов по оценкам конкурсной комиссии4, стало ФГУП МНИИ "Интеграл".

Субсидирование киберполигонов

14 ноября 2019 г. был опубликован приказ Минкомсвязи России от 11 ноября 2019 г. № 705 "О конкурсной комиссии Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации по проведению конкурсного отбора на предоставление Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации субсидий из федерального бюджета на создание киберполигона для обучения и тренировки специалистов и экспертов разного профиля, руководителей в области информационной безопасности и информационных технологий современным практикам обеспечения безопасности"5.

Приказом № 705 создается конкурсная комиссия для проведения отбора по предоставлению субсидий на создание киберполигонов (постановление Правительства РФ от 12 октября 2019 г. № 1320), определяются порядок и сроки деятельности конкурсной комиссии и правила конкурсного отбора.

Извещение о проведении конкурсного отбора было опубликовано 25 ноября6 на сайте Минкомсвязи России, а заявки на участие принимались до 29 ноября 2019 г. Победителем открытого конкурсного отбора, набравшим наибольшее количество баллов по итогам оценки заявок, признано ПАО "Ростелеком".

Субсидирование программы "Цифровая экономика Российской Федерации"

Опубликованным 25 ноября 2019 г. приказом Минкомсвязи России от 21 ноября 2019 г. № 755 "О конкурсной комиссии Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации по проведению конкурсного отбора на предоставление Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации субсидий из федерального бюджета на достижение отдельных результатов федерального проекта "Информационная безопасность" национальной программы "Цифровая экономика Российской Федерации"7 инициировано создание соответствующей комиссии.

Субсидии предоставляются на финансовое обеспечение расходов, связанных с реализацией следующих групп мероприятий:

  • разработка требований к операторам промышленного Интернета, проектов стандартов безопасности для киберфизических систем, включая устройства Интернета вещей;
  • создание системы отраслевого регулирования использования киберфизических систем, включая устройства Интернета вещей, и установление требований по идентификации участников информационного взаимодействия, а также регистрации оборудования сетей устройств Интернета вещей;
  • разработка и принятие комплекса стандартов информационной безопасности, обеспечивающего минимизацию рисков и угроз безопасного функционирования сетей связи общего пользования;
  • проведение анализа существующих и перспективных средств защиты информации;
  • разработка модели угроз информационной безопасности для персональных устройств сбора биометрических данных и дорожной карты по обеспечению информационной безопасности при использовании гражданами указанного класса технических средств;
  • создание технологии обработки инцидентов информационной безопасности с использованием искусственного интеллекта для повышения уровня автоматизации процессов принятия решений и уменьшения времени реакции на инциденты;
  • проведение мероприятий по развитию отечественной инфраструктуры телерадиовещания и обеспечению безопасности ее функционирования;
  • разработка информационно-справочной системы, позволяющей бизнесу определять свое соответствие требованиям российского и международного законодательства, а также отраслевым, национальным и международным стандартам в области информационной безопасности.
Декабрь 2019 года
В декабре 2019 года был официально опубликован федеральный закон, вносящий изменения в КоАП РФ относительно штрафов за правонарушения в обработке персональных данных с использованием баз данных, находящихся вне территории РФ. Департаментом информационной безопасности ЦБ РФ подготовлен проект изменений к Положению Банка России № 382-П.

Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации:

  • граждане от 30 тыс. руб. до 50 тыс. руб.;
  • должностные лица от 100 тыс. руб. до 200 тыс. руб.;
  • юридические лица от 1 млн руб. до 6 млн руб.

Повторное совершение вышеуказанного административного правонарушения:

  • граждане от 50 тыс. руб. до 100 тыс. руб.;
  • должностные лица от 500 тыс. руб. до 800 тыс. руб.;
  • юридические лица от 6 млн руб. до 18 млн руб.

Добавлены штрафы за нарушения при обработке ПДн

2 декабря опубликован Федеральный закон от 02.12.2019 № 405-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации"8 (далее – ФЗ № 405). Зтот закон, в частности, вносит поправки в КоАП относительно нарушений законодательства в области обработки персональных данных.

Административный штраф будет накладываться в случае, если оператор ПДн при сборе персональных данных будет использовать базы данных, расПоложенные вне территории РФ. Краткая сводка размеров штрафов представлена в врезке.

Проект изменений к Положению Банка России № 382-П

В декабре 2019 г. опубликован проект положения Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"9 (далее – проект Положения). Комментарии по проекту Положения в рамках публичного обсуждения принимались до 26 декабря 2019 г.

Хотя проекту Положения в явном виде и не присвоен номер, однако понятно, что он несет изменения в Положение Банка России от 09.06.2012 № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

В проекте Положения установлены требования по защите информации при осуществлении переводов денежных средств в отношении недавно введенных субъектов национальной платежной системы, в частности платежного агрегатора, поставщика платежного приложения, оператора услуг информационного обмена.

Вместе с тем одной из заявленных целей разработки проекта Положения является применение единого подхода к регулированию в отношении субъектов национальной платежной системы, касающихся защиты информации при осуществлении переводов денежных средств.

К основным изменения стоит отнести использование ГОСТ Р 57580.2–2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" при оценке соответствия уровням защиты информации. Аналогичная форма оценки соответствия ранее уже была введена в Положение Банка России от 17.04.2019 № 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" и в Положение Банка России от 17.04.2019 № 684-П Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".

___________________________________________
1 https://fstec.ru/normotvorcheskaya/perechen-obyazatelnykh-trebovanij/1957-perechen-aktov-utverzhden-prikazom-fstek-rossii-ot-16-iyulya-2019-g-n-135
2 http://publication.pravo.gov.ru/Document/View/0001201911130010
3 https://digital.gov.ru/ru/documents/6866/
4 https://digital.gov.ru/uploaded/files/protokol-p25-727pr.pdf
5 http://publication.pravo.gov.ru/Document/View/0001201911140004
6 https://digital.gov.ru/ru/documents/6898/#tdocumentcontent
7 http://publication.pravo.gov.ru/Document/View/0001201911250056
8 http://publication.pravo.gov.ru/ Document/View/0001201912020045
9 http://cbr.ru/analytics/na_vr/ project/?tab.current=t2#a_3043

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2019

Приобрести этот номер или подписаться

Статьи про теме

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"