Журнал "Information Security/ Информационная безопасность" #4, 2020

Новое понятие "центр хранения и обработки данных" Недавно был опубликован проект федерального закона "О внесении изме- нений в Федеральный закон "О связи" и Федеральный закон "Об информации, информационных технологиях и о защи- те информации" 12 . В соответствии с пояснительной запис- кой к законопроекту документ упорядочи- вает обязанности операторов связи по предоставлению информации в органы власти в области связи. Законопроект позволит использовать информацию, полу- чаемую от операторов связи, а также центров хранения и обработки данных, для наполнения баз и банков данных госу- дарственных информационных систем, для их эксплуатации и для иных целей, предусмотренных законодательством. Законопроект вводит новые понятия, такие как: 1. Центр хранения и обработки данных (ЦХОД) – это специализированный объ- ект с собственными инженерными систе- мами для размещения оборудования, обеспечивающего хранение, обработку и доступ к данным, с гарантированными уровнями доступности, безопасности и управляемости. 2. Оператор центра хранения и обра- ботки данных – это организация, экс- плуатирующая центр хранения и обра- ботки данных и обеспечивающая его функционирование в качестве основного вида деятельности. Об определении угроз безопасности персональных данных На данный момент для общественного обсуждения представлен проект приказа Министерства труда и социальной защиты Российской Федерации "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах пер- сональных данных, эксплуатируемых Август-2020 обзоре изменений российского законодательства за август 2020 г. представлены: введение нового понятия “центра хранения и обработки данных", приказ Минтруда России об утверждении перечня актуальных угроз безопасности персональных данных, стандартизация терминологии в области обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, проект стандарта в области мониторинга информационной безопасности, методические рекомендации Минздрава России по категорированию объектов критической информационной инфраструктуры (КИИ), а также изменения в области лицензирования видов деятельности – новые перечни документации для лицензиатов ФСТЭК России, изменения в Положение о ФСТЭК России. В Татьяна Пермякова, аналитик Аналитического центра Уральского центра систем безопасности Данный проект федерального закона эксперты считают направленным на раз- рушение базовых принципов обработки ПДн. 21 июля 2020 г. Минкомсвязь России опубликовала уведомление о подготовке проекта федерального закона "О внесе- нии изменений в статью 13 Федераль- ного закона "О персональных данных" (в части уточнения принципов обработки персональных данных в государственных информационных системах)" 10 . Сам проект федерального закона был опубликован для общественного обсуж- дения 5 августа 2020 г. Согласно поясни- тельной записке к проекту федерального закона, с целью повышения информа- ционной безопасности государственных или муниципальных информационных систем (ГИС, МИС) и защищенности ПДн граждан РФ законопроектом пред- усмотрено дополнение ст. 13 ФЗ-152 следующими принципами: l минимизация состава обрабатывае- мых ПДн; l обязательность учета и регистрации всех действий и идентификации всех участников, связанных с обработкой ПДн в ГИС, МИС; l декларирование и согласование порядка обработки ПДн с целями их обработки; l хранение ПДн в электронном виде в ГИС, МИС по месту возникновения таких данных; l определение межведомственного запро- са как преимущественного способа полу- чения ПДн, обрабатываемых в ГИС, МИС, для исполнения полномочий государст- венных или муниципальных органов. В июле 2020 г. в Государственную Думу внесен законопроект № 992331-7 "О внесении изменений в Федеральный закон "О персональных данных" 11 , в части уточнения порядка обработки ПДн. Законопроект предполагает возмож- ность: l использовать в согласии на обработку ПДн не только основной документ, удо- стоверяющий личность субъекта ПДн, но и иной уникальный идентификатор субъекта ПДн, устанавливаемый в соот- ветствии с федеральными законами или соглашением сторон, позволяющий достоверно определить субъекта ПДн и установить его волеизъявление; l указывать в согласии на обработку ПДн несколько целей обработки ПДн и несколько лиц, осуществляющих обра- ботку ПДн по поручению оператора; l осуществлять обработку ПДн в допол- нительных целях в случае наличия согласия субъекта ПДн, содержащего информацию об указанных дополнительных целях. При этом по законопроекту для уни- чтожения ПДн необходимо применять СрЗИ, в составе которых реализована функция уничтожения информации, про- шедшие в установленном порядке про- цедуру оценки соответствия, проведен- ную ФСБ России или ФСТЭК России. Предлагается наделить Роскомнадзор полномочиями по установлению требо- ваний к обезличиванию ПДн и методам обезличивания Пдн. l 6 • ПРАВО И НОРМАТИВЫ 10 https://regulation.gov.ru/projects#npa=106181 11 https://sozd.duma.gov.ru/bill/992331-7 12 https://regulation.gov.ru/projects#npa=107649