Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (30 мая 2023)
Дата: 30.05.2023 г.
Автор статьи: Мария Моисеева — Специалист по защите информации в Альтирикс групп
Термины, сокращения и определения
Оператор — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
ФСТЭК России — Федеральная служба по техническому и экспортному контролю Российской Федерации.
Ключевые изменения законодательства в области защиты ПДн
Утверждены подзаконные акты, регулирующие вопросы обработки биометрических ПДн:
- Постановление Правительства Российской Федерации от 22.05.2023 № 810 «Об утверждении Правил аккредитации организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, оснований ее приостановления и прекращения и признании утратившим силу постановления Правительства Российской Федерации от 20.10.2021 № 1799».
- Постановление Правительства Российской Федерации от 25.05.2023 № 815 «Об утверждении перечня случаев, при которых аутентификация с использованием информационных систем организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, не допускается, и перечня случаев, при которых допускается использование биометрических персональных данных, согласие физического лица на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа которой в порядке, предусмотренном законодательством Российской Федерации в области использования электронных подписей, обладает организация, осуществляющая аутентификацию на основе биометрических персональных данных физических лиц».
- Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 17.04.2023 № 378 «Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица соответствующим векторам единой биометрической системы и определении степени взаимного соответствия биометрических персональных данных и векторов единой биометрической системы, достаточной для проведения идентификации и (или) аутентификации» (Зарегистрирован 23.05.2023 № 73396).
- Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 05.05.2023 № 445 «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в единой биометрической системе, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов с единой биометрической системой, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных» (Зарегистрирован 26.05.2023 № 73486).
- Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 05.05.2023 № 446 «Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, векторов единой биометрической системы, проверке и передаче информации о степени соответствия векторов единой биометрической системы предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих аутентификацию на основе биометрических персональных данных физических лиц, за исключением организаций финансового рынка, и единой биометрической системы, а также актуальных при взаимодействии информационных систем государственных органов, органов местного самоуправления, Центрального банка Российской Федерации, организаций, за исключением организаций финансового рынка, индивидуальных предпринимателей, нотариусов с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных» (Зарегистрирован 26.05.2023 № 73487).
В случае изменений процессов обработки ПДн, предполагающих обработку биометрических ПДн субъектов ПДн, необходимо будет руководствоваться в своей деятельности вышеуказанными подзаконными актами (в том числе учитывать их требования во внутренних нормативных документах в области ПДн).
Изменения в других областях информационной безопасности
17.05.2023 ФСТЭК России утвердила методический документ «Руководство по организации процесса управления уязвимостями в органе (организации)». Документ предназначен для организации процессов управления уязвимостями в организациях и является основой для разработки детальных регламентов по управлению уязвимостями с учетом особенностей функционирования организаций и реализации взаимодействия между структурными подразделениями по вопросам устранения уязвимостей.
Положения методического документа рекомендуется применять при разработке и последующем плановом пересмотре внутренних нормативных документов по кибербезопасности, регламентирующих область управления уязвимостями.
Утечки персональных данных
28.04.2023 «АльфаСтрахование», являющаяся оператором ПДн, объявила, что проверяет информацию об утечке ПДн клиентов с портала компании и из приложения. По информации исследователей, размещенный в сети файл содержит 1 000 000 строк, в том числе 971 724 уникальных адресов электронной почты и 807 950 уникальных телефонов. Структура разглашенных ПДн такова: ФИО, дата рождения, адрес электронной почты, телефон, хеш пароля.
Рекомендуется направить исходящий запрос в отношении АО «АльфаСтрахование», в случае если с компанией осуществляется сотрудничество, например, в рамках прикрепления работников к программе дополнительного медицинского страхования, с целью уточнения сведений по факту предполагаемой утечки ПДн, а также с целью получения подтверждения реализации АО «АльфаСтрахование» мер по обработке и защите ПДн, установленных законодательством в области ПДн.
Похожие статьи
Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» вносится ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»…
Смотреть видео
Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» вносится ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»…
Скачать Перечень мероприятий
Обновления от 08.09.22
Рассматриваемый приказ ФСБ России описывает, в каких случаях использовать СКЗИ в ГИС, как определить нужный класс СКЗИ, и какие требования предъявляются к помещениям, где располагаются СКЗИ, носители ключевой информации и серверы ГИС.
Скачать НПА