Журнал "Information Security/ Информационная безопасность" #2, 2022

жающей природной среды. Аттестация иных объектов информатизации прово- дится в соответствии с приказом ФСТЭК России № 77 по решению владельца объекта информатизации. В случае при- нятия такого решения положения Поряд- ка аттестации должны реализовываться в полном объеме, за исключением пп. 27 и 32 Порядка аттестации, – это пункты, устанавливающие требования по отправ- ке аттестационных материалов во ФСТЭК России органами по аттестации и представлению владельцами объектов информатизации в ФСТЭК России про- токолов контроля защиты информации на аттестованных объектах. Контрольные вопросы Минцифры России в сфере идентификации и (или) аутентификации Приказ Минцифры России от 25.02.2022 г. № 142 "Об утверждении формы проверочного листа (списка конт- рольных вопросов), используемого Мини- стерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении феде- рального государственного контроля (надзора) в сфере идентификации и (или) аутентификации" 23 (далее – при- каз Минцифры № 142) был официально опубликован 15 апреля 2022 г. Приказ Минцифры № 142 вступает в силу с 1 сентября 2022 г. Приказ Минцифры № 142 направлен на установление контрольных вопросов при проверке выполнения требований ст. 14.1 Федерального закона от 27.07.2006 г. № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее – 149-ФЗ) в части использования ПДн при идентификации и (или) аутентификации. Аккредитация владельцев и операторов ГИС, применяемых для осуществления идентификации и (или) аутентификации 5 апреля 2022 г. Минцифры России опубликовало для общественного обсуж- дения проект постановления Правитель- ства Российской Федерации "Об утвер- ждении Требований для прохождения аккредитации государственных органов, являющихся владельцами и (или) опе- раторами государственных информа- ционных систем, с применением которых осуществляется идентификация и (или) аутентификация, а также Правил про- хождения такой аккредитации" 24 (далее – проект ПП РФ). Проект ПП РФ разработан во испол- нение ч. 18.14 ст. 14.1 149-ФЗ, которой предусмотрено, что в случае, если для реализации установленных норматив- ными правовыми актами полномочий государственных органов, и (или) орга- нов местного самоуправления, и (или) организаций, осуществляющих отдель- ные публичные полномочия, необходима обработка видов биометрических ПДн, не соответствующих размещаемым в единой биометрической системе (ЕБС), идентификация и (или) аутентификация для реализации указанных полномочий осуществляются с применением иных ГИС, владельцами и (или) операторами которых являются государственные орга- ны, прошедшие аккредитацию на право владения такими ГИС и (или) осуществ- ления функций их операторов в порядке и в соответствии с требованиями, кото- рые установлены Правительством Рос- сийской Федерации. Проектом ПП РФ предлагаются тре- бования для прохождения аккредитации государственных органов, являющихся владельцами и операторами либо толь- ко операторами ГИС, с применением которых осуществляется идентифика- ция и (или) аутентификация, а также являющихся только владельцами таких систем. В последнем случае требования предъявляются в том числе к организа- ции, выполняющей функции оператора ГИС, с применением которой осуществ- ляется идентификация и (или) аутенти- фикация. Изменения в федеральный закон о ПДн В Государственную Думу внесен зако- нопроект № 101234-8 "О внесении изме- нений в Федеральный закон "О персо- нальных данных" и иные законодатель- ные акты Российской Федерации по вопросам защиты прав субъектов пер- сональных данных" 25 . Из основных изменений, предлагае- мых для внесения в Федеральный закон от 27.07.2006 г. № 152-ФЗ "О персо- нальных данных" (далее – 152-ФЗ), стоит отметить следующие пункты: 1. Появление лица, осуществляющего обработку по поручению оператора. Ана- логичный вариант есть, например, в европейских нормах (GDPR) – процес- сор/обработчик. При этом ответствен- ность перед субъектом ПДн за действия лица, осуществляющего обработку ПДн, будет нести оператор. Лицо, осуществ- ляющее обработку ПДн, несет ответ- ственность перед оператором. 2. Расширение понятия "трансгранич- ная передача ПДн" и изменение подхо- дов к трансграничной передаче ПДн. 3. Роскомнадзором будут установлены требования по оценке вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ. 4. Операторы будут обязаны обес- печивать непрерывное взаимодействие с государственной системой обнаруже- ния, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), включая информирование о компьютерных инци- дентах, повлекших неправомерные доступ, представление, распростране- ние, передачу ПДн. 5. Операторы будут обязаны в течение 24 часов уведомить Роскомнадзор в слу- чае установления факта неправомерного или случайного доступа, предоставления, распространения, передачи ПДн, повлек- ших нарушение прав субъектов ПДн. Аналогичные нормы есть в GDPR. l 8 • ПРАВО И НОРМАТИВЫ Ваше мнение и вопросы присылайте по адресу is@groteck.ru 23 Приказ Минцифры России “Об утверждении формы проверочного листа (списка контрольных вопросов), используемого Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентифи- кации" http://publication.pravo.gov.ru/Document/View/0001202204150004 24 Проект Постановления Правительства Российской Федерации “Об утверждении Требований для прохождения аккредитации государственных органов, являющихся владельцами и (или) операторами государственных информационных систем, с при- менением которых осуществляется идентификация и (или) аутентификация, а также Правил прохождения такой аккредитации" https://regulation.gov.ru/pro- jects#npa=126373 25 Законопроект “О внесении изменений в Федеральный закон “О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных" https://sozd.duma.gov.ru/bill/101234-8