Журнал "Information Security/ Информационная безопасность" #3, 2023

4 • ПРАВО И НОРМАТИВЫ Ограничение трансграничной передачи персональных данных Проект постановления Правительства РФ "О внесении изменения в Правила принятия решения уполномоченным органом по защите прав субъектов пер- сональных данных о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и закон- ных интересов граждан, утвержденные постановлением Правительства РФ "Об утверждении Правил принятия реше- ния уполномоченным органом по защите прав субъектов персональных данных о запрещении или об ограничении транс- граничной передачи персональных дан- ных в целях защиты нравственности, здоровья, прав и законных интересов граждан" 1 представлен к общественным обсуждениям 2 мая 2023 г. Доработанный по результатам обсуж- дений проект постановления Правитель- ства РФ вносит уточнение в порядок при- нятия решения о запрещении или об ограничении трансграничной передачи ПДн, уточняя случаи, когда уведомление от оператора не подлежит рассмотрению. Ограничения использования иностранных мессенджеров Перечень информационных систем и (или) программ для электронных вычис- лительных машин, указанных в ч. 8 ст. 10 Федерального закона от 27.07.2006 № 149-ФЗ "Об информации, информа- ционных технологиях и о защите инфор- мации" 2 опубликован Роскомнадзором 5 мая 2023 г. Указанные в перечне иностранные мес- сенджеры запрещается использовать ряду лиц для передачи платежных доку- ментов и (или) предоставления инфор- мации, содержащей ПДн граждан РФ, данные о переводах денежных средств в рамках применяемых форм безналич- ных расчетов, сведения, необходимые для осуществления платежей и сведения о счетах (вкладах) граждан РФ в банках. Изменения в Положение о ФСТЭК России Указ Президента РФ от 22.05.2023 № 366 "О внесении изменений в Поло- жение о Федеральной службе по техни- ческому и экспортному контролю, утвер- жденное Указом Президента РФ от 16 августа 2004 г. № 1085" 3 официально опубликован 22 мая 2023 г. Согласно Указу № 366 ФСТЭК России сформирует перечень организаций, кото- рые аккредитованы ФСТЭК России или имеют лицензии ФСТЭК России, осу- ществляют деятельность по обеспечению информационной безопасности РФ и прекращение работы которых в военное время создаст предпосылки для нару- шения устойчивого функционирования информационной инфраструктуры РФ. Аутентификация на основе биометрических персональных данных Постановление Правительства РФ от 25.05.2023 № 815 4 "Об утверждении перечня случаев, при которых аутенти- фикация с использованием информа- ционных систем организаций, осуществ- ляющих аутентификацию на основе био- метрических персональных данных физических лиц, не допускается, и переч- ня случаев, при которых допускается использование биометрических персо- нальных данных, согласие физического лица на обработку которых подписано простой электронной подписью, правом создания (замены) и выдачи ключа кото- рой в порядке, предусмотренном зако- нодательством РФ в области использо- вания электронных подписей, обладает организация, осуществляющая аутенти- фикацию на основе биометрических пер- сональных данных физических лиц" офи- циально опубликовано 26 мая 2023 г. ПП РФ № 815 вступает в силу с 1 июня 2023 г. и действует до 1 июня 2029 г. Утверждены перечни случаев, когда не допускается аутентификация с использованием информационных систем организаций, осуществляющих ее на основе биометрических ПДн физи- ческих лиц (в указанный перечень, например, вошло установление личности физического лица в случаях, когда в соответствии с законодательством РФ требуется предъявление документа, удо- стоверяющего личность такого физиче- ского лица; проведение медицинских осмотров с использованием медицинских изделий, обеспечивающих автоматизи- рованную дистанционную передачу информации о состоянии здоровья работников и дистанционный контроль состояния их здоровья); допускается использование биометрических ПДн, согласие на обработку которых подпи- сано простой электронной подписью, правом создания (замены) и выдачи ключа которой обладает осуществляю- щая аутентификацию организация. Руководство по организации процесса управления уязвимостями от ФСТЭК России "Методический документ ФСТЭК Рос- сии. Руководство по организации про- цесса управления уязвимостями в органе (организации)" 5 утвержден ФСТЭК Рос- сии 17 мая 2023 г. Методический документ подлежит при- менению государственными органами, Обзор изменений в законодательстве обзоре за май 2023 г. рассмотрим изменения в правила ограничения трансграничной передачи ПДн, изменения в поло- жение о ФСТЭК России. Уточним, какие иностранные мессенд- жеры попадают под ограничения в использовании, рассмотрим требования к аутентификации на основе биометрических ПДн и НПА в сфере ЕБС, методические рекомендации ФСТЭК Рос- сии к процессу управления уязвимостями и другие изменения. В Анастасия Заведенская, независимый эксперт по информационной безопасности Май-2023 1 https://regulation.gov.ru/projects#npa=137948 2 https://rkn.gov.ru/docs/Perechen6_informacionnykh_sistem_05052023.pdf 3 http://publication.pravo.gov.ru/document/0001202305220010?index=2 4 http://publication.pravo.gov.ru/document/0001202305260020?index=1 5 https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-17-maya-2023-g