Журнал "Information Security/ Информационная безопасность" #1, 2021

7. В течение 30 рабочих дней с момен- та утверждения плана направить его копию в Минцифры России и Минпром- торг России. P.S. В качестве дополнения к теме импортозамещения стоит отметить инте- ресный факт, что опубликованная в фев- рале Роскомнадзором пирамида циф- ровых угроз 19 также упоминает как источник угроз оборудование, импорти- рованное из-за рубежа. Пирамида циф- ровых угроз приведена на рисунке. Экономическая значимость объектов критической информационной инфраструктуры ФСТЭК России в феврале 2021 г. был опубликован проект методических реко- мендаций по оценке показателей крите- риев экономической значимости объ- ектов КИИ 20 (далее – проект рекоменда- ций). Проект рекомендаций определяет методические подходы к оценке показа- телей критериев экономической значи- мости объектов КИИ, проводимой в соот- ветствии с Правилами категорирования объектов КИИ, утвержденными поста- новлением Правительства РФ от 8 фев- раля 2018 г. № 127. Следует отметить, что по постанов- лению Правительства РФ от 13.04.2019 № 452 "О внесении изменений в поста- новление Правительства Российской Федерации от 8 февраля 2018 г. № 127" субъекты КИИ, являющиеся государст- венными органами или учреждениями, должны были закончить процесс кате- горирования до 1 сентября 2020 г. Одна- ко проект рекомендаций публикуется впервые. Исходя из проекта рекомен- даций, регулятор также считает, что показатель ущерба бюджетам Россий- ской Федерации применим ко всем субъектам КИИ. Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении Информационным сообщением 21 от 10 февраля 2021 г. N 240/24/647 ФСТЭК России сообщает о разработке новой редакции Методики выявления уязви- мостей и недекларированных возмож- ностей в программном обеспечении (далее – Методика выявления уязвимо- стей и НДВ). Методика выявления уязвимостей и НДВ предназначена для организаций, осуществляющих создание специализи- рованных средств защиты информации, заявителей на осуществление сертифи- кации, а также для испытательных лабо- раторий и органов по сертификации, выполняющих работы по сертификации средств. Методика выявления уязвимо- стей и НДВ носит ограничительную пометку "ДСП" и предоставляется ФСТЭК России по мотивированному запросу. Изменения в приказ ФСТЭК России от 14.03.2014 № 31 20 февраля 2021 г. ФСТЭК России опубликовала проект приказа "О вне- сении изменений в Требования к 18 • ПРАВО И НОРМАТИВЫ 19 https://rkn.gov.ru/news/rsoc/news73380.htm 20 https://fstec.ru/component/attachments/download/2917 21 https://fstec.ru/normotvorcheskaya/informatsionnye-i-analiticheskie-materialy/2171-informatsionnoe-soobshchenie-fstek-rossii-ot- 10-fevralya-2021-g-n-240-24-647 22 https://regulation.gov.ru/Projects/List#npa=113431 Таблица 1. Административная ответственность за нарушение требований по обработке персональных данных Административное правонарушение Лицо Дейст- вующий размер штрафа, тыс. рублей Вводимый размер штрафа, тыс. рублей Вводимый размер штрафа при повторном соверше- нии право- нарушения Обработка ПДн в случаях, не предусмотренных законодательством, либо обработка ПДн, несовместимая с целями сбора ПДн Физическое лицо 1–3 2–6 4–12 Должностное лицо 5–10 10–20 20–50 Индивидуальный предприниматель – – 50–100 Юридическое лицо 30–50 60–100 100–300 Обработка ПДн без согласия в письменной форме в случаях, когда такое согласие должно быть получено, либо обработка ПДн с нарушением требований к составу сведений, включаемых в согласие в письменной форме Физическое лицо 3– 5 6–10 10–20 Должностное лицо 10–20 20–40 40–100 Индивидуальный предприниматель – – 100–300 Юридическое лицо 15–70 30–150 300–500 Невыполнение оператором обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике оператора в отношении обработки ПДн Физическое лицо 0,7–1,5 1,5–3 – Должностное лицо 3–6 6–12 – Индивидуальный предприниматель 5–10 10–20 – Юридическое лицо 15–30 30–60 – Невыполнение оператором обязанности по предоставлению субъекту ПДн информации, касающейся обработки его ПДн Физическое лицо 1–2 2–4 – Должностное лицо 4–6 8–12 – Индивидуальный предприниматель 10–15 20–30 – Юридическое лицо 20–40 40–80 – Невыполнение оператором в требуемые сроки требования субъекта ПДн или его представителя Роскомнадзора об уточнении ПДн, их блокировании или уничтожении Физическое лицо 1–2 2–4 12–30 Должностное лицо 4–10 8–20 30–50 Индивидуальный предприниматель 10–20 20–40 50–100 Юридическое лицо 20–45 50–90 300–500 Невыполнение оператором при обработке ПДн без использования средств автоматизации требований к такой обработке Физическое лицо 0,7–2 1,5–4 – Должностное лицо 4–10 8–20 – Индивидуальный предприниматель 10–20 20–40 – Юридическое лицо 25–50 50–100 – Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию ПДн либо несоблюдение установленных требований или методов по обезличиванию ПДн Должностное лицо 3–6 6–12 –