Дайджест изменения НПА Российской Федерации по ЗПДн и ИБ (2 мая 2023)
Дата: 02.05.2023 г.
Автор статьи: Мария Моисеева — Специалист по защите информации в Альтирикс групп
Термины, сокращения и определения
Оператор — Государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Персональные данные (ПДн) — Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Роскомнадзор — Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
ФСТЭК России — Федеральная служба по техническому и экспортному контролю Российской Федерации.
Ключевые изменения законодательства в области защиты ПДн
На основании формы проверочного листа контролирующее обработку ведомство (Роскомнадзор) осуществляет проведение государственного надзора за обработкой ПДн операторов ПДн.
Указанный проверочный лист может дополнительно использоваться в рамках проведения внутренних аудитов процессов обработки и обеспечения безопасности ПДн с целью проведения самостоятельной оценки выполнения требований.
2) Утверждены подзаконные акты, регулирующие вопросы обработки биометрических ПДн, вступающие в силу с 01.06.2023:
- Постановление Правительства Российской Федерации от 17.03.2023 № 405 «Об утверждении Правил получения согласия, указанного в пункте 6 части 5 статьи 26 Федерального закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации», и формы согласия физического лица на размещение его биометрических персональных данных в региональном сегменте единой биометрической системы».
- Постановление Правительства Российской Федерации от 27.03.2023 № 478 «Об утверждении Правил представления физическим лицом отказа от сбора и размещения биометрических персональных данных в целях проведения идентификации и (или) аутентификации, отзыва такого отказа и письменного подтверждения многофункциональным центром предоставления государственных и муниципальных услуг представления физическим лицом указанных отказа и отзыва отказа, а также форм указанных отказа, отзыва отказа и письменного подтверждения их представления».
В случае изменений процессов обработки ПДн, предполагающих обработку биометрических ПДн субъектов ПДн, необходимо будет руководствоваться в своей деятельности вышеуказанными подзаконными актами (в том числе учитывать их требования во внутренних нормативных документах в области ПДн).
3) Государственной Думой прорабатывается инициатива по внесению изменений в Кодекс Российской Федерации об административных правонарушениях, предусматривающих введение наказания в виде административного штрафа (до 50 000 рублей для должностных лиц и до 700 000 рублей – для юридических лиц) за использование при передаче ПДн иностранных мессенджеров (Discord, Microsoft Teams, Skype for Business, Snapchat, Telegram, Threema, Viber, WhatsApp, WeChat), запрет на применение которых установлен частями 8-10 статьи 10 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».
Необходимо провести анализ ограничений по использованию иностранных мессенджеров и учитывать новые обстоятельства при планировании своей деятельности, связанной с обработкой ПДн.
Изменения в других областях информационной безопасности
1) ФСТЭК России разрабатывается проект методического документа «Руководство по управлению уязвимостями программного обеспечения и программно-аппаратных средств в органе (организации)». Документ предназначен для организации процессов управления уязвимостями в организациях и является основой для разработки детальных регламентов по управлению уязвимостями с учетом особенностей функционирования организаций и реализации взаимодействия между структурными подразделениями по вопросам устранения уязвимостей.
Положения методического документа с момента его утверждения рекомендуется применять при разработке и последующем плановом пересмотре внутренних нормативных документов по кибербезопасности, регламентирующих область управления уязвимостями.
Похожие статьи
Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» вносится ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»…
Смотреть видео
Федеральным законом от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» вносится ряд изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»…
Скачать Перечень мероприятий
Обновления от 08.09.22
Рассматриваемый приказ ФСБ России описывает, в каких случаях использовать СКЗИ в ГИС, как определить нужный класс СКЗИ, и какие требования предъявляются к помещениям, где располагаются СКЗИ, носители ключевой информации и серверы ГИС.
Скачать НПА