Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (2 мая 2023)

Дата: 02.05.2023 г.
Автор статьи: Мария Моисеева — Специалист по защите информации в Альтирикс групп

Скачать НПА↓

Термины, сокращения и определения

Оператор — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные (ПДн) — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Роскомнадзор — Федеральная служба ‎по надзору в сфере связи, информационных технологий и массовых коммуникаций.

ФСТЭК России — Федеральная служба по техническому и экспортному контролю Российской Федерации.

Ключевые изменения законодательства в области защиты ПДн

1) Официально опубликован Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 10.01.2023 № 1 «О внесении изменений в форму проверочного листа (списка контрольных вопросов, ответы на которые свидетельствуют о соблюдении или несоблюдении контролируемым лицом обязательных требований), применяемого при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальными органами, утвержденную приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24.12.2021 № 253».

На основании формы проверочного листа контролирующее обработку ведомство (Роскомнадзор) осуществляет проведение государственного надзора за обработкой ПДн операторов ПДн.
Указанный проверочный лист может дополнительно использоваться в рамках проведения внутренних аудитов процессов обработки и обеспечения безопасности ПДн с целью проведения самостоятельной оценки выполнения требований.

2) Утверждены подзаконные акты, регулирующие вопросы обработки биометрических ПДн, вступающие в силу с 01.06.2023:

• Постановление Правительства Российской Федерации от 17.03.2023 № 405 «Об утверждении Правил получения согласия, указанного в пункте 6 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», и формы согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы».
• Постановление Правительства Российской Федерации от 27.03.2023 № 478 «Об утверждении Правил представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа и письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом указанных отказа и отзыва отказа, а также форм указанных отказа, отзыва отказа и письменного подтверждения их представления».

В случае изменений процессов обработки ПДн, предполагающих обработку биометрических ПДн субъектов ПДн, необходимо будет руководствоваться в своей деятельности вышеуказанными подзаконными актами (в том числе учитывать их требования во внутренних нормативных документах в области ПДн).

3) Государственной Думой прорабатывается инициатива по внесению изменений в Кодекс Российской Федерации об административных правонарушениях, предусматривающих введение наказания в виде административного штрафа (до 50 000 рублей для должностных лиц и до 700 000 рублей – для юридических лиц) за использование при передаче ПДн иностранных мессенджеров (Discord, Microsoft Teams, Skype for Business, Snapchat, Telegram, Threema, Viber, WhatsApp, WeChat), запрет на применение которых установлен частями 8-10 статьи 10 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».
Необходимо провести анализ ограничений по использованию иностранных мессенджеров и учитывать новые обстоятельства при планировании своей деятельности, связанной с обработкой ПДн.

Изменения в других областях информационной безопасности

1) ФСТЭК России разрабатывается проект методического документа «Руководство по управлению уязвимостями программного обеспечения и программно-аппаратных средств в органе (организации)». Документ предназначен для организации процессов управления уязвимостями в организациях и является основой для разработки детальных регламентов по управлению уязвимостями с учетом особенностей функционирования организаций и реализации взаимодействия между структурными подразделениями по вопросам устранения уязвимостей.

Положения методического документа с момента его утверждения рекомендуется применять при разработке и последующем плановом пересмотре внутренних нормативных документов по кибербезопасности, регламентирующих область управления уязвимостями.

В начало статьи ↑