Журнал "Information Security/ Информационная безопасность" #6, 2020

В настоящее время взаи- модействие с ГосСОПКА является обязательным только для субъектов крити- ческой информационной инфраструктуры, но с приня- тием данного законопроекта это может стать обязатель- ным и для всех операторов персональных данных. ГосСОПКА для персональных данных Но жарче всего операторам персональных данных этой зимой стало от законопроекта "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиден- циальности сведений о защи- щаемых лицах и об осуществ- лении оперативно-розыскной деятельности" 8 , в котором ловко замаскирована законо- дательная инициатива, пред- полагающая внесение измене- ний в ч. 2 ст. 19 Федерального закона "О персональных дан- ных", в соответствии с которой обеспечение безопасности пер- сональных данных будет дости- гаться организацией и осу- ществлением взаимодействия с государственной системой обнаружения, предупреждения и ликвидации последствий ком- пьютерных атак на информа- ционные ресурсы Российской Федерации (ГосСОПКА). Напомню, что в настоящее время взаимодействие с Гос- СОПКА является обязательным только для субъектов критиче- ской информационной инфра- структуры, но с принятием дан- ного законопроекта это может стать обязательным и для всех операторов персональных дан- ных, которыми формально являются все юридические лица. Конечно, когда читаешь этот законопроект, складыва- ется впечатление, что у зако- нодателя была мысль обязать взаимодействовать с ГосСОП- КА только тех операторов пер- сональных данных, которые обрабатывают персональные данные защищаемых лиц (см. Федеральный закон от 20 апре- ля 1995 г. № 45-ФЗ "О госу- дарственной защите судей, должностных лиц правоохра- нительных и контролирующих органов"). Однако предложен- ная конструкция распростра- няется, к сожалению, на всех операторов, и на момент напи- сания этого материала данный законопроект успешно прошел первое чтение. А ситуация, когда видный российский оппо- зиционер в ходе расследования своего отравления использовал незаконно приобретенную информацию, содержащую персональные данные о защи- щаемых лицах, может только ускорить принятие данного законопроекта. И кстати, лично меня волнует вопрос, будет ли введена адми- нистративная ответственность за непредставление информа- ции о компьютерных инциден- тах в ГосСОПКА в случае с пер- сональными данными по ана- логии с тем, как планируется для субъектов КИИ. Видимо, беспокойства операторов ПДн были услышаны в Госдуме, поэтому законопроект перед вторым чтением претерпел изменения, и норма, предполагающая осуществлять взаимодействие с ГосСОПКА, внесенными поправками была исключена. Заключение Конечно, до принятия всех названных выше изменений еще далеко. Достаточно часто законопроекты откло- няют либо доводят до офи- циальной публикации с боль- шим количеством правок. Но, полагаю, лучше уже сейчас понимать суть грядущих пере- мен, чтобы встретить их под- готовленным. l 10 • ПРАВО И НОРМАТИВЫ 8 https://sozd.duma.gov.ru/bill/1070431-7 Суть нарушения (гипотеза) Размер Размер Ведомство, штрафа для штрафа для рассматри- должностных юридических вающее лиц лиц правонарушение Нарушение требований к созданию систем 10 тыс. – 50 тыс. – ФСТЭК России безопасности значимых объектов КИИ 50 тыс. руб. 100 тыс. руб. и обеспечению их фукционирования Нарушение требований по обеспечению 10 тыс. – 50 тыс. – ФСТЭК России безопасности значимых объектов КИИ, 50 тыс. руб. 100 тыс. руб. за исключением случаев, повлекших причинение вреда КИИ Непредоставление или нарушение сроков 10 тыс. – 50 тыс. – ФСТЭК России предоставления в ФСТЭК России сведений 50 тыс. руб. 100 тыс. руб. о результатх присвоения объекту КИИ одной их категорий значимости либо об отсутствии необходимости присвоения ему одной из таких категорий Нарушение порядка информирования 20 тыс. – 100 тыс. – ФСБ России о компьютерных инцидентах, реагирования 50 тыс. руб. 500 тыс. руб. на них, принятия мер по ликвидации последствий компьютерных атак, проведен- ных в отношении значимых объектов КИИ Нарушение порядка обмена информацией 20 тыс. – 100 тыс. – ФСБ России о компьютерных инцидентах между 50 тыс. руб. 500 тыс. руб. субъектами КИИ, между субъектами КИИ и уполномоченными органами иностранных государств, международными, международ- ными неправительственными организациями, осуществляющими деятельность в области реагирования на комьютерные инциденты Непредоставление или нарушение порядка 10 тыс. – 100 тыс. – ФСБ России либо сроков предоставления в ГосСПОКА 50 тыс. руб. 500 тыс. руб. информации, предусмотренной законода- тельством в области обеспечения безопасности КИИ Таблица. Проектные составы административных правонарушений в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации и размеры штрафных санкций Ваше мнение и вопросы присылайте по адресу is@groteck.ru