Журнал "Information Security/ Информационная безопасность" #5, 2024

6 • ПРАВО И НОРМАТИВЫ альному страхованию) на преимуще- ственное применение доверенных про- граммно-аппаратных комплексов (ДПАК) на принадлежащих им значимых объ- ектах КИИ. Изменения в правах пользователей программ и баз данных Законопроект № 509708-8 "О внесении изменений в ст. 1280 ч. 4 Гражданского кодекса Российской Федерации" 9 16 октября 2024 г. был принят в первом чтении. Законопроектом № 509708-8 предла- гается дополнить пунктами ст. 1280 ч. 4 Гражданского кодекса Российской Феде- рации. Ст. 1280 регламентирует права пользователя программы для ЭВМ и базы данных. Изменениями предлага- ется определить, что лицо, правомерно владеющее экземпляром программы для ЭВМ или экземпляром базы данных, (пользователь) вправе без разрешения автора или иного правообладателя и без выплаты дополнительного вознаграж- дения изучать, исследовать или испы- тывать функционирование такой про- граммы и (или) базы данных в целях выявления недостатков для их безопас- ного использования или поручить иным лицам осуществить эти действия. При этом установлено, что изучение, исследование или испытание программы могут проводиться только в отношении экземпляров программ для ЭВМ или базы данных, функционирующих на тех- нических средствах пользователя. Ука- зывается также, что выявленная пользо- вателем или лицом, действующим по его поручению, информация о недостатках не может быть передана третьим лицам, за исключением правообладателя. Зако- нопроект № 509708-8 определяет, что при выявлении недостатков безопасного использования программы для ЭВМ и (или) базы данных необходимо сообщить о них правообладателю в тече- ние пяти рабочих дней со дня выявления. По оценкам экспертов, планируется, что этот законопроект узаконит дея- тельность специалистов, которые тести- руют системы на уязвимости. Перечень индикаторов риска нарушения требований при госконтроле за обработкой ПДн Проект приказа Минцифры России "О внесении изменения в перечень инди- каторов риска нарушения обязательных требований при осуществлении феде- рального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Мини- стерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187" 10 был представлен к обсужде- нию 1 октября 2024 г. В перечень индикаторов риска нару- шения обязательных требований при осуществлении федерального государст- венного контроля (надзора) за обработ- кой персональных данных (ПДн) пред- лагается добавить следующий индикатор риска: "наличие у контролирующего орга- на информации о двух и более случаях в течение календарного года трансгра- ничной передачи ПДн при помощи про- граммных средств, владельцем которых является иностранное юридическое лицо или иностранное физическое лицо, функ- ционал которых предполагает передачу ПДн, со стороны контролируемого лица, которое не уведомляло контролирующий орган о своём намерении осуществлять трансграничную передачу ПДн". Перечень индикаторов риска нарушения требований при госконтроле в сфере идентификации и (или) аутентификации Приказ Минцифры России от 16.09.2024№773 "Об утверждении переч- ня индикаторов риска нарушения обяза- тельных требований при осуществлении федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации" 11 был официально опуб- ликован 22 октября 2024 г. Приказом Минцифры России от 16.09.2024 № 773 отменен действующий ранее приказ Минцифры России от 06.12.2021 № 1308 "Об утверждении перечня индикаторов риска нарушения обязательных требований при осуществ- лении федерального государственного контроля (надзора) в сфере идентифи- кации и (или) аутентификации". В част- ности, в перечень индикаторов риска добавлен новый индикатор: "поступление в Минцифры России заявления об аккре- дитации организации, осуществляющей аутентификацию на основе биометри- ческих ПДн физических лиц, содержа- щего информацию о работнике, непо- средственно осуществляющем деятель- ность по аутентификации на основе био- метрических ПДн, имеющем высшее образование в области информационных технологий или информационной без- опасности, который ранее был заявлен как работник, осуществляющий такую деятельность, аккредитованной органи- зации, осуществляющей аутентифика- цию на основе биометрических ПДн физических лиц". Изменения в правила принятия решения о запрещении или об ограничении трансграничной передачи ПДн Постановление Правительства Рос- сийской Федерации от 14.10.2024 № 1371 "О внесении изменения в поста- новление Правительства Российской Федерации от 16 января 2023 г. № 24" 12 было официально опубликовано 15 октября 2024 г. Постановлением Правительства РФ от 14.10.2024 № 1371 внесены измене- ния в Правила принятия решения упол- номоченным органом по защите прав субъектов ПДн о запрещении или об ограничении трансграничной передачи ПДн в целях защиты нравственности, здоровья, прав и законных интересов граждан, утвержденные постановлением Правительства РФ от 16.01.2023 № 24. Постановлением Правительства РФ сделано уточнение о случаях решения о запрещении трансграничной передачи ПДн в целях защиты нравственности, здоровья, прав и законных интересов граждан. В измененной редакции одним из случаев для принятия решения о запрещении трансграничной передачи ПДн является: "иностранное юридиче- ское лицо, которому планируется транс- граничная передача ПДн, включено в перечень иностранных и международ- ных организаций, деятельность которых признана нежелательной на территории Российской Федерации". Актуализация стандарта по разработке безопасного программного обеспечения В октябре 2024 г. на сайте ФСТЭК России опубликован приказ Росстан- дарта от 24 октября 2024 г. № 1504-ст "Об утверждении национального стан- дарта ГОСТ Р 56939-2024 "Защита информации. Разработка безопасного программного обеспечения. Общие тре- бования" 13 . ГОСТ Р 56939-2024 "Защита инфор- мации. Разработка безопасного про- граммного обеспечения. Общие требо- вания" вводится в действии с 20 декабря 2024 г. взамен ГОСТ Р 56939-2016. ГОСТ Р 56939-2024 устанавливает общие требования к содержанию и порядку выполнения работ, связанных с созданием безопасного программного обеспечения и устранением выявленных недостатков ПО, в том числе уязвимо- стей. Стандарт предназначен для раз- работчиков и производителей ПО, а также для организаций, выполняющих оценку соответствия процессов разра- ботки ПО положениям настоящего стан- 9 https://sozd.duma.gov.ru/bill/509708-8 10 https://regulation.gov.ru/Regulation/Npa/PublicView?npaID=151217 11 http://publication.pravo.gov.ru/document/0001202410220021 12 http://publication.pravo.gov.ru/document/0001202410150020 13 https://fstec.ru/tk-362/deyatelnost-tk362/prikazy-ob-utverzhdenii-natsionalnykh-standartov/prikaz-rosstandarta-ot-24-oktyabrya- 2024-g-n-1504-st