Журнал "Information Security/ Информационная безопасность" #4, 2022

Операторам следует готовиться к следующим изменениям, вступающим в силу с 1 марта 2023 г. Необходимо будет провести оценку вреда, который может быть причинен субъектам ПДн в случае нарушения ФЗ № 152, в соответствии с требованиями, которые будут разработаны Роскомнад- зором. Проект указанных требований 5 был представлен Роскомнадзором на общественное обсуждение 19 августа 2022 г. Общественные обсуждения про- длились до 21 сентября 2022 г. Оценка вреда субъектам ПДн на текущий момент подразумевает учет степени вреда толь- ко в случае нарушения определенных законодательством норм по обработке ПДн. Прямой связи оценки вреда с коли- чеством субъектов, чьи ПДн обрабаты- ваются, категориями обрабатываемых ПДн и иными показателями проект мето- дики оценки вреда не предусматривает. Уничтожение ПДн необходимо будет подтверждать в соответствии с требо- ваниями, установленными Роскомнад- зором. Проект требований 6 по подтвер- ждению уничтожения находился на пуб- личном обсуждении с 19 августа 2022 г. по 15 сентября 2022 г. Подразумевается, что документами, подтверждающими уничтожение ПДн, обрабатываемых опе- ратором с использованием средств авто- матизации и без использования средств автоматизации, являются акт об уни- чтожении ПДн и (или) выгрузка из жур- нала регистрации событий в информа- ционной системе ПДн, соответствующие проекту требований. Вступят в силу корректировки статьи, регламентирующей требования к транс- граничной передаче ПДн. В частности, оператор до начала осуществления трансграничной передачи обязан уве- домить Роскомнадзор о своем намере- нии. Отдельно отмечается, что операто- ры, которые осуществляли трансгранич- ную передачу ПДн до 1 сентября 2022 г. и продолжают осуществлять такую пере- дачу после указанной даты, обязаны не позднее 1 марта 2023 г. направить в Роскомнадзор уведомления об осу- ществлении передачи. Так, на своем официальном сайте Роскомнадзор опуб- ликовал следующие пояснения по этой теме 7 : операторов, которые уже сейчас передают данные за границу, закон обя- зал направить в Роскомнадзор уведом- ление о трансграничной передаче до 1 марта 2023 г., чтобы в дальнейшем не приостанавливать свою деятельность. Уведомлять необходимо один раз для каждой страны, в которую будут пере- даваться данные, а не о каждой транз-акции. Представлена также элек- тронная форма подачи уведомлений о трансгра- ничной передаче Пдн 8 . Роскомнадзором будет утвержден перечень ино- странных государств, обеспечивающих адекват- ную защиту прав субъек- тов ПДн, в новом форма- те. В перечень будут включены и государства, являющиеся сторонами Конвенции Сове- та Европы о защите физических лиц при автоматизированной обработке ПДн, и иностранные государства, не являю- щиеся сторонами Конвенции Совета Европы. Советующий проект перечня опубликован на федеральном портале проектов нормативных правовых актов 19 июля 2022 г. 9 Исполнение Указа Президента РФ № 250 Постановление Правительства Рос- сийской Федерации от 15.07.2022 г. № 1272 "Об утверждении типового поло- жения о заместителе руководителя орга- на (организации), ответственном за обес- печение информационной безопасности в органе (организации), и типового поло- жения о структурном подразделении в органе (организации), обеспечиваю- щем информационную безопасность органа (организации)" 10 (далее – ПП РФ № 1272) официально опубликовано 19 июля 2022 г. ПП РФ № 1272 выпущено в целях исполнения требований подп. "а" п. 3 Указа Президента Российской Федера- ции от 1 мая 2022 г. № 250 "О дополни- тельных мерах по обеспечению инфор- мационной безопасности Российской Федерации". Одна из важных норм, на которую стоит обратить внимание: к заместителю руководителя органа (организации), назначаемому ответственным за обес- печение информационной безопасности, предъявляются квалификационные тре- бования. Ответственное лицо должно иметь высшее образование (не ниже уровня специалитета, магистратуры) по направлению обеспечения ИБ. Если ответственное лицо имеет высшее обра- зование по другому направлению под- готовки (специальности), оно должено пройти обучение по программе профес- сиональной переподготовки по направ- лению "Информационная безопасность". Подразделение, обеспечивающее ИБ, должно быть в прямом подчинении либо заместителю руководителя, ответствен- ному за обеспечение ИБ, либо иным лицам из состава руководства органи- зации при условии осуществления кури- рования со стороны руководителя органа (организации). Эксплуатация ЗОКИИ Опубликованным 14 июля 2022 г. Федеральным законом от 14.07.2022 г. № 255-ФЗ "О контроле за деятельностью лиц, находящихся под иностранным влиянием" 11 было установлено следую- щее ограничение: иностранный агент не вправе осуществлять эксплуатацию значимых объектов критической инфор- мационной инфраструктуры и осуществ- лять деятельность по обеспечению без- опасности значимых объектов критиче- ской информационной инфраструктуры. Изменения в ФЗ об ЭП Федеральный закон от 14.07.2022 г. № 339-ФЗ "О внесении изменений в отдельные законодательные акты Рос- сийской Федерации" 12 (далее – ФЗ № 339) опубликован 22 июля 2022 г. ФЗ № 339 внес поправки в Федеральный закон от 06.04.2011 г. № 63-ФЗ "Об электронной подписи", вступившие в силу 14.07.2022 г. Изменения, в частности, коснулись передоверия для отдельных категорий лиц и возможности выдачи ключа про- верки электронной подписи юридиче- ского лица, не являющегося квалифи- цированным сертификатом, физиче- скому лицу, действующему от имени юридического лица на основании дове- ренности, а также возможности не ука- зывать физическое лицо в сертификате ключа проверки электронной подписи, выданном юридическому лицу для авто- матического создания и (или) автомати- ческой проверки электронной подписи в информационной системе. • 7 ПРАВО И НОРМАТИВЫ www.itsec.ru 5 https://regulation.gov.ru/projects#npa=130696 6 https://regulation.gov.ru/projects#npa=130676 7 https://rkn.gov.ru/news/rsoc/news74484.htm 8 https://pd.rkn.gov.ru/cross-border-transmission/form/ 9 https://regulation.gov.ru/projects#npa=129709 10 http://publication.pravo.gov.ru/Document/View/0001202207190035 11 http://publication.pravo.gov.ru/Document/View/0001202207140018 12 http://publication.pravo.gov.ru/Document/View/0001202207140102