Журнал "Information Security/ Информационная безопасность" #5, 2020

l обработка ПДн в государственных или муниципальных информационных системах ПДн; l предоставление субъекту ПДн инфор- мации, касающейся обработки его ПДн; l обработка ПДн в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации (в части установления правовых оснований для осуществления такой обработки и ее прекращения); l защита прав субъектов ПДн при при- нятии решений на основании исключи- тельно автоматизированной обработки их ПДн; l действия оператора при сборе ПДн; l обеспечение выполнения оператором обязанностей, предусмотренных Феде- ральным законом "О персональных дан- ных" от 27.07.2006 г. № 152-ФЗ; l действия оператора при обращении к нему субъекта ПДн либо при получении запроса субъекта ПДн или его предста- вителя; l устранение нарушений законодатель- ства, допущенных при обработке ПДн, по уточнению, блокированию и уничто- жению ПДн; l уведомление уполномоченного органа по защите прав субъектов ПДн о наме- рении осуществлять обработку ПДн; l порядок и условия назначения лица, ответственного за организацию обра- ботки ПДн в организации; l полномочия лица, ответственного за организацию обработки ПДн в органи- зации; l хранение и уничтожение ПДн; l обработка ПДн, осуществляемая без использования средств автоматизации; l обеспечение безопасности ПДн при их обработке; l обезличивание ПДн. Следует отметить, что была полу- чена отрицательная оценка регули- рующего воздействия Проекта ФЗ. В частности, отмечается, что исполь- зуемые разработчиком в Проекте ФЗ формулировки не позволяют систе- матизировать обязательные нормы в полной мере, поскольку перечень групп обязательных требований не является закрытым. Кроме того, отме- чается, что систематизация обяза- тельных требований должна иметь четкую структуру и определять все конкретные требования, которые будут полноценно раскрыты в подзаконных актах. Обеспечение безопасности значимых объектов КИИ 14 сентября 2020 г. официально опуб- ликован приказ ФСТЭК России от 20.02.2020 № 35 "О внесении изменений в Требования по обеспечению безопас- ности значимых объектов критической информационной инфраструктуры Рос- сийской Федерации, утвержденные при- казом Федеральной службы по техниче- скому и экспортному контролю от 25 декабря 2017 г. № 239" 6 (далее – приказ № 35). Приказ № 35 был подписан ФСТЭК России еще 20 февраля 2020 г., но регистрацию в Минюсте России прошел только в сентябре. В целом основные изменения, вводимые приказом № 35, были представлены еще в проекте при- каза ФСТЭК России, который рассмат- ривался в обзоре изменений законода- тельства за февраль 7 . Из новых положений в области защиты значимых объектов критической инфор- мационной инфраструктуры (КИИ), вво- димых приказом №35 и вступивших в силу с 25 сентября 2020 г., можно выде- лить следующие: 1. Модернизацией теперь официально считается изменение архитектуры значи- мого объекта КИИ, в том числе подси- стемы его безопасности, в соответствии с отдельным техническим заданием (ТЗ) на модернизацию значимого объекта КИИ и/или ТЗ (частным ТЗ) на модерни- зацию подсистемы безопасности значи- мого объекта. 2. Оценка выполнения требований по безопасности, предъявляемых к про- граммным и программно-аппаратным средствам, в том числе средствам защи- ты информации (СрЗИ), должна вклю- чаться в программы и методики предва- рительных испытаний. 3. Удаленный доступ к программным и программно-аппаратным средствам, в том числе СрЗИ, для обновления или управления можно предоставлять не только работникам субъекта КИИ, как это было раньше, но также работниками его дочерних и зависимых обществ. При этом сделано послабление и для предо- ставления удаленного доступа другим лицам, кроме вышеупомянутых, однако только при условии наличия компенси- рующих мер по защите, установленных приказом № 35. 3. Теперь на территории РФ должны размещаться не только технические средства, осуществляющие хранение и обработку информации, значимых объ- ектов КИИ первой категории, но и тех- нические средства объектов КИИ второй категории значимости. С 1 января 2023 г. вступят в силу тре- бования приказа № 35 к оценке соот- ветствия СрЗИ в форме приемки или испытаний, а также к прикладному про- граммному обеспечению (ПО) значимых • 5 ПРАВО И НОРМАТИВЫ www.itsec.ru 6 http://publication.pravo.gov.ru/Document/View/0001202009140010 7 См. Заведенская А.А. Начинаем год с новых требований законодательства // Information Security/Информационная безопасность. 2020. № 1. С. 11–13. Реклама