Журнал "Information Security/ Информационная безопасность" #6, 2023

Методические рекомендации разра- ботаны в целях обеспечения единства подходов к установлению целевых значений и расчету фактических значе- ний количественных контрольных пока- зателей уровня риска информационной безопасности, связанных с осуществле- нием перевода денежных средств без согласия клиента, а также установлению пороговых значений и расчету фактиче- ских значений количественных показа- телей, направленных на измерение и контроль уровня риска информационной безопасности в определенный момент времени. Методические рекомендации подлежат использованию при реализа- ции требований Положения Банка Рос- сии от 08.04.2020 № 716-П "О требова- ниях к системе управления операцион- ным риском в кредитной организации и банковской группе". • 9 ПРАВО И НОРМАТИВЫ www.itsec.ru Декабрь-2023 декабрьском обзоре изменений законодательства рассмотрим уже вступившие и плани- руемые изменения в административной и уголовной ответственности в области обра- ботки ПДн, потенциальные причины внеплановой проверки Роскомнадзора в части обработки ПДн, предложения по изменению в перечне индикаторов риска нарушения требований обработки ПДн, а также требования по защите информации для провайде- ров хостинга и при осуществлении переводов денежных средств. В Административная ответственность за нарушение законодательства в области ПДн Федеральный закон от 12.12.2023 № 589-ФЗ "О внесении изменений в Кодекс Российской Федерации об административных правонаруше- ниях" 11 официально опубликован 12 декабря 2023 г. Федеральный закон от 12.12.2023 № 589-ФЗ увеличивает штрафы при нарушении требований обработки персональных данных и устанавливает административную ответственность за нарушение требо- ваний в области размещения биомет- рических ПДн. Далее приведена детальная инфор- мация по изменениям в административ- ной ответственности за нарушение зако- нодательства в области ПДн: 1. Обработка ПДн без согласия в пись- менной форме субъекта ПДн в случаях, когда такое согласие должно быть, либо обработка ПДн с нарушением установ- ленных законодательством требований к составу сведений, включаемых в согла- сие в письменной форме: l для граждан – от 10 000 до 15 000 руб.; l для должностных лиц – от 100 000 до 300 000 руб.; l для юридических лиц – от 300 000 до 700 000 руб. Повторное совершение указанного административного правонарушения: l для граждан – от 15 000 до 30 000 руб.; l для должностных лиц – от 300 000 до 500 000 руб.; l для индивидуальных предпринимате- лей – от 500 000 до 1 млн руб.; l для юридических лиц – от 1 млн до 1,5 млнруб. 2. Размещение и обновление банка- ми, многофункциональными центрами предоставления государственных и муниципальных услуг, иными органи- зациями в случаях, определенных феде- ральными законами, биометрических ПДн субъекта ПДн в государственной информационной системе "Единая 11 http://publication.pravo.gov.ru/document/0001202312120023 № Административное правонарушение Штраф 1. Обработка ПДн в случаях, не предусмотренных законодательством Российской Федерации в области ПДн, либо обработка ПДн, несовместимая с целями сбора ПДн l для граждан – от 10 000 до 15 000 руб.; l для должностных лиц – от 50 000 до 100 000 руб.; l для юридических лиц – от 150 000 до 300 000 руб. 2. Повторное совершение указанного выше административного правонарушения l для граждан – от 15 000 до 30 000 руб.; l для должностных лиц – от 100 000 до 200 000 руб.; l для юридических лиц – от 300 000 до 500 000 руб. 3. Невыполнение и (или) несвоевременное выполнение оператором предусмотренной законодательством РФ в области ПДн обязанности по уведомлению уполномочен- ного органа по защите прав субъектов ПДн о намерении осуществлять обработку ПДн l для граждан – от 5000 до 10 000 руб.; l для должностных лиц – от 30 000 до 50 000 руб.; l для юридических лиц – от 100 000 до 300 000 руб. 4. Невыполнение и (или) несвоевременное выполнение оператором предусмотренной законодательством РФ в области ПДн обязанности по уведомлению уполномочен- ного органа по защите прав субъектов ПДн в случае установления факта неправомерной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн l для граждан – от 50 000 до 100 000 руб.; l для должностных лиц – от 400 000 до 800 000 руб.; l для юридических лиц – от 1 млн до 3 млн руб. 5. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступа) информации, включающей ПДн от 1000 до 10 000 субъектов ПДн, и (или) от 10 000 до 100 000 уникальных обозначений сведений о физических лицах, необходимых для определения таких лиц (далее – идентификаторы), если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния l для граждан – от 100 000 до 200 000 руб.; l для должностных лиц – от 800 000 до 1 млн руб.; l для юридических лиц – от 3 до 5 млн руб. 6. Действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от 10 000 до 100 000 субъектов ПДн, и (или) от 100 000 до 1 млн идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния l для граждан – от 200 000 до 300 000 руб.; l для должностных лиц – от 1 до 1,5 млн руб.; l для юридических лиц – от 5 до 10 млн руб.