Журнал "Information Security/ Информационная безопасность" #4, 2025

• 7 ПРАВО И НОРМАТИВЫ www.itsec.ru Август-2025 обзоре изменений за август поговорим о новых требованиях и методах обезличивания ПДн от Роскомнадзора; об обезличивании ПДн при получении от Минцифры России требования о предоставлении ПДн, полученных в результате обезличивания; разберем изменения в положении о госконтроле за обработкой ПДн; рассмотрим продление переходного периода для центров ГосСОПКА и изменения в форме направления све- дений по результатам категорирования объектов КИИ, а также изменения в порядке ведения реестра значимых объектов КИИ. В Требования к обезличиванию ПДн и методы обезличивания ПДн Приказ Роскомнадзора от 19.06.2025 № 140 "Об утверждении требований к обезличиванию персональных данных и методов обезличивания персональных данных, за исключением случаев, ука- занных в п. 9-1 ч. 1 ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" 12 официально опубликован 1 августа 2025 г. Вступил в силу 1 сентября 2025 г. Приказ Роском- надзора от 05.09.2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных дан- ных" признан утратившим силу. Согласно устанавливаемым требова- ниям при обезличивании персональных данных оператор должен обеспечить: l использование методов обезличива- ния ПДн, определенных Приказом Рос- комнадзора от 19.06.2025 № 140; l определение перед началом осу- ществления действий по обезличиванию ПДн состава ПДн, подлежащих обез- личиванию, субъектов, ПДн которых подлежат обезличиванию (массива ПДн, подлежащих обезличиванию); l оценку достаточности выбранного метода (методов) обезличивания ПДн для достижения целей обработки ПДн, полученных в результате обезличивания, на основании категорий субъектов, ПДн которых подлежат обезличиванию, кате- горий ПДн, подлежащих обезличиванию, и правовых оснований обработки ПДн, подлежащих обезличиванию; l невозможность без использования дополнительной информации опреде- ления принадлежности ПДн, полученных в результате обезличивания, субъекту ПДн путем применения методов обез- личивания; l использование информационных систем и (или) программ для электрон- ных вычислительных машин, которые предназначены и (или) используются для обезличивания ПДн, в которых обес- печиваются безопасность и конфиден- циальность ПДн, подлежащих обезличи- ванию и ПДн, полученных в результате обезличивания, в случае обезличивания ПДн с использованием средств автома- тизации; l исключение совместного хранения массива ПДн, подлежащих обезличива- нию, и ПДн, полученных в результате обезличивания; l учет осуществляемых действий по обезличиванию ПДн, действий (опера- ций), совершаемых с ПДн, полученными в результате обезличивания, в опреде- ленной оператором форме, позволяю- щей обеспечить подтверждение осу- ществленных оператором действий, по обезличиванию ПДн, действий (опера- ций), совершаемых с ПДн, полученными в результате обезличивания. В качестве методов обезличивания ПДн определены: l метод введения идентификаторов ПДн, подлежащих обезличиванию; l метод изменения состава или семан- тики ПДн, подлежащих обезличиванию; l метод перемешивания ПДн, подле- жащих обезличиванию; l метод декомпозиции ПДн, подлежа- щих обезличиванию. Дополнительно к указанным выше методам может применяться метод пре- образования массива ПДн, подлежащих обезличиванию, путем: l обобщения (агрегации) атрибутов ПДн 13 субъектов ПДн; l обобщения (агрегации) атрибутов ПДн субъектов ПДн, а также установления заданного количества различных значе- ний атрибутов ПДн; l обобщения (агрегации) атрибутов ПДн субъектов ПДн, а также установления заданного количества различных значе- ний атрибутов ПДн, позволяющего ото- бразить исходное распределение каж- дого значения атрибутов ПДн. Обезличивание ПДн при запросе Минцифры России Постановление Правительства Рос- сийской Федерации от 01.08.2025 № 1154 "Об утверждении требований к обезличиванию персональных данных, методов обезличивания персональных данных и Правил обезличивания персо- нальных данных" 14 официально опубли- ковано 5 августа 2025 г. Вступило в силу с 1 сентября 2025 г. В отличие от Приказа Роскомнадзора от 19.06.2025 № 140 данное Постанов- ление Правительства РФ устанавливает требования к обезличиванию ПДн при получении оператором от Минцифры России требования о предоставлении ПДн, полученных в результате обез- личивания ПДн, направляемого в соот- ветствии с ч. 2 ст. 13.1 Федерального закона от 27.07.2006 № 152-ФЗ "О пер- сональных данных". В случае Постановления Правитель- ства РФ от 01.08.2025 № 1154 к методам обезличивания ПДн отнесены: l метод введения идентификаторов; l метод изменения состава или семан- тики; l метод декомпозиции; l метод перемешивания; l метод преобразования. Изменения в положении о госконтроле за обработкой ПДн Постановление Правительства РФ от 27.08.2025 № 1286 "О внесении измене- ний в постановление Правительства Российской Федерации от 29 июня 2021 г. № 1046" 15 официально опубли- ковано 28 августа 2025 г. Документ вступил в силу с 5 сентября 2025 г. Постановление Правительства РФ от 27.08.2025 № 1286 вносит изменения в Положение о федеральном государст- венном контроле (надзоре) за обработ- кой персональных данных, утвержденное постановлением Правительства Россий- ской Федерации от 29 июня 2021 г. № 1046. В частности, скорректирована перио- дичность контрольных (надзорных) меро- приятий в зависимости от рисков при- чинения вреда (ущерба) охраняемым законом ценностям. В отношении объ- ектов контроля, отнесенных к категории высокого риска, проводятся одно пла- новое контрольное (надзорное) меро- приятие раз в два года или один обяза- 12 http://publication.pravo.gov.ru/document/0001202508010002 13 Элементы массива персональных данных, подлежащих обезличиванию, имеющие качественные или количественные значения применительно к каждому субъекту персональных данных 14 http://publication.pravo.gov.ru/document/0001202508050011 15 http://publication.pravo.gov.ru/document/0001202508280035