Журнал "Information Security/ Информационная безопасность" #3, 2021

• 7 ПРАВО И НОРМАТИВЫ www.itsec.ru Государственные информационные системы Постановление Правительства Россий- ской Федерации от 31.05.2021 г. № 837 "О внесении изменения в требования к порядку создания, развития, ввода в экс- плуатацию, эксплуатации и вывода из эксплуатации государственных информа- ционных систем и дальнейшего хранения содержащейся в их базах данных инфор- мации" 12 (далее – ПП РФ № 837) офици- ально опубликовано 1 июня 2021 г. ПП РФ № 837 увеличивает срок рас- смотрения Минцифры России, ФСБ Рос- сии и ФСТЭК России технических зада- ний на создание государственных инфор- мационных систем, а также срок рас- смотрения ФСБ России и ФСТЭК России моделей угроз безопасности информа- ции с 10 до 20 рабочих дней. Персональные данные. Государственный контроль (надзор) Постановление Правительства Россий- ской Федерации от 29.06.2021 г. № 1046 "Офедеральном государственном контроле (надзоре) за обработкой персональных данных" 13 (далее – ПП РФ№ 1046) офици- ально опубликовано 30 июня 2021 г. ПП РФ № 1046 вступает в силу с 1 июля 2021 г. и утверждает положение, устанавливающее порядок организации и осуществления государственного конт- роля (надзора) за обработкой ПДн. Как и ранее, реализация полномочий конт- рольно-надзорного органа осуществ- ляется Роскомнадзором. Ранее дей- ствующее постановление Правительства Российской Федерации от 13 февраля 2019 г. № 146 "Об утверждении Правил организации и осуществления государст- венного контроля и надзора за обработ- кой персональных данных" признано утратившим силу. Федеральный государственный конт- роль (надзор) осуществляется посред- ством проведения следующих контроль- ных (надзорных) мероприятий: l инспекционный визит; l документарная проверка; l выездная проверка. При этом согласно ПП РФ№ 1046 Рос- комнадзор может осуществлять меро- приятия по контролю без взаимодействия с контролируемым лицом в целях пред- упреждения, выявления, прогнозирования и пресечения нарушения требований. Для осуществления контроля (надзора) за обработкой вводится система оценки и управления рисками (см. табл. 2). При 12 http://publication.pravo.gov.ru/Document/View/0001202106010044 13 http://publication.pravo.gov.ru/Document/View/0001202106300055 Группа тяжести Признаки отнесения к группе тяжести Группа вероятности Признаки отнесения к группе вероятности А Обработка специальной категории ПДн и/или биометрических ПДн Сбор ПДн, в том числе в сети "Интернет", осуществляемый с использо- ванием баз данных, находящихся за пределами РФ Трансграничная передача ПДн на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физиче- ских лиц при автоматизированной обработке ПДн и не включенных в перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обра- ботке ПД и обеспечивающих адекватную защиту прав субъектов ПДн Передача третьим лицам ПДн, полученных в результате обезличивания с использованием методов обезличивания, утвержденных в соответ- ствии с законодательством РФ в области ПДн 1 Деятельность контролируемых лиц осуществляется с нарушениями требований законодательства РФ в области ПДн, ответственность за которые предусмотрена частями 1.1, 2.1, 5.1, 9 ст. 13.11 КоАП РФ Б Обработка ПДн в целях, отличных от заявленных целей обработки ПДн на этапе их сбора Обработка ПДн несовершеннолетних лиц в случаях, не предусмотрен- ных федеральными законами Обработка ПДн в ИСПДн, содержащих ПДн более чем 20 тыс. субъектов ПДн в пределах субъекта РФ или РФ в целом Сбор ПДн, в том числе в сети "Интернет", осуществляемый с использо- ванием иностранных программ и сервисов 2 Деятельность контролируемых лиц осуществляется с нарушениями требований законодательства РФ в области ПДн, ответственность за которые предусмотрена частями 1, 2, 5, 6, 8 ст. 13.11 КоАП РФ В Обработка ПДн близких родственников субъекта ПДн Обработка ПДн в ИСПДн, содержащих ПДн от 1 тыс. до 20 тыс. субъек- тов ПДн Трансграничная передача ПДн на территорию иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физиче- ских лиц при автоматизированной обработке ПДн и включенных в пере- чень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обра- ботке ПДн и обеспечивающих адекватную защиту прав субъектов ПДн Обезличивание ПДн, обработка ПДн, полученных в результате обез- личивания, с использованием методов обезличивания, утвержденных в соответствии с законодательством РФ в области ПДн, без передачи третьим лицам 3 Деятельность контролируемых лиц осуществляется с нарушениями требований законодательства РФ в области ПДн, ответственность за которые предусмотрена частями 4, 7 ст. 13.11 КоАП РФ Г Обработка ПДн в ИСПДн, содержащих ПДн менее чем 1 тыс. субъектов ПДн Обработка ПДн без предоставления в Роскомнадзор информации уведо- мительного характера, предоставление которой предусмотрено ФЗ № 152 Обработка ПДн, полученных из общедоступных источников ПДн Трансграничная передача ПДн на территорию иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физиче- ских лиц при автоматизированной обработке ПДн 4 Отсутствие обстоятельств, указанных в группах вероятности 1–3 Таблица 2