👀DATA PRIVACY. ОБЗОР ИЗМЕНЕНИЙ ЗАКОНОДАТЕЛЬСТВА РФ (10.11 - 31.12.2023)
ОРГАНЫ ПО СЕРТИФИКАЦИИ, ИСПЫТАТЕЛЬНЫЕ ЛАБОРАТОРИИ И ИХ РАБОТНИКИ🕵️♂️
1️⃣ Опубликован приказ ФСТЭК России от 27.07.2023 № 148 «О внесении изменений в Правила выполнения отдельных работ по аккредитации органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа, и продукции (работ, услуг), сведения о которой составляют государственную тайну, в установленной ФСТЭК России сфере деятельности, утверждённые приказом ФСТЭК России от 10 апреля 2015 г. № 33».
2️⃣ Официально опубликован приказ ФСТЭК России от 27.07.2023 № 147 «Об утверждении Порядка аттестации работников органов по сертификации и испытательных лабораторий, выполняющих работы по оценке (подтверждению) соответствия в отношении продукции (работ, услуг), используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа».
ТРЕБОВАНИЯ О ЗАЩИТЕ ИНФОРМАЦИИ ДЛЯ ПРОВАЙДЕРОВ ХОСТИНГА👨💻
1️⃣ Официально опубликован приказ Минцифры от 01.11.2023 № 936 «Об утверждении требований о защите информации при предоставлении вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к информационно-телекоммуникационной сети «Интернет».
Провайдеры хостинга обязаны:
✔назначить лицо (либо подразделение) ответственное за защиту информации;
✔осуществлять взаимодействие с ГосСОПКА, НКЦКИ, ФСБ при компьютерных инцидентах, а также по вопросам, связанным с обнаружением, предупреждением и ликвидацией последствий компьютерных атак, реагированием на компьютерные инциденты;
собирать и хранить данные о взаимодействии лиц, которым предоставляются вычислительные мощности, с пользователями сети "Интернет" в течение одного года со дня осуществления взаимодействия;
✔на узлах сети, обеспечивающих соединение с внешними сетевыми ресурсами, принимать необходимые меры по выявлению и последующему предотвращению распределенных атак, направленных на отказ в обслуживании (DDoS-атакам);
✔порядок взаимодействия в с органами в случае возникновения компьютерных атак;
✔и иные.
2️⃣ Роскомнадзор направил ряду хостинг-провайдеров письмо о выявлении поискового робота GPTBot от OpenAI. Ведомство рекомендует заблокировать возможность бота просматривать и анализировать интернет-страницы для «исключения сбора информации о критических уязвимостях ресурсов», которые находятся в зоне ответственности компаний.
В письме говорится о необходимости оценить риски сбора информации об уязвимости ресурсов или «иной чувствительной информации, в том числе содержащей персональные данные».
УЖЕСТОЧЕНИЕ ОТВЕТСТВЕННОСТИ ЗА НАРУШЕНИЯ ЗАКОНОДАТЕЛЬСТВА В СФЕРЕ ПДН🔻
1️⃣Президент России подписал закон № 589-ФЗ от 12.12.2023 об ужесточении административной ответственности за нарушения при использовании биометрических персональных данных (ПД) граждан и за несоблюдение письменной формы согласия на обработку ПД - когда ее использование является обязательным.
Так, в частности, КоАП РФ дополняется отдельной статьей 13.11.3 с установлением ответственности за размещение, обновление банками, многофункциональными центрами предоставления государственных и муниципальных услуг, иными организациями биометрических персональных данных в "Единой системе идентификации и аутентификации физических лиц с использованием биометрических персональных данных" с нарушением установленных законодательством РФ требований. Это повлечёт наложение административного штрафа на должностных лиц в размере от 100 тыс. до 300 тыс. руб., на юридических лиц - от 500 тыс. до 1 млн рублей.
2️⃣ Ужесточение ответственности за утечки ПДн
В декабре внесен законопроект, предусматривающий уголовную ответственность:
«Статья 272.1. Незаконные использование и(или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения
Законопроект будет рассмотрен только на весенней сессии. Минцифры поддержало идею введения обстоятельств, смягчающих ответственность оператора, поэтому вряд ли проект примут в текущей редакции.
Также законопроект содержит отдельные штрафы за не уведомление Роскомнадзора о намерении осуществлять обработку ПДн.
РАЗРАБОТКА БЕЗОПАСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ📲💻
1️⃣ Проект ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования»
На сайте ФСТЭК России можно ознакомиться с проектом национального стандарта ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования».
ИНДИКАТОРЫ РИСКА НАРУШЕНИЯ ОБЯЗАТЕЛЬНЫХ ТРЕБОВАНИЙ ПРИ ОСУЩЕСТВЛЕНИИ ГОСУДАРСТВЕННОГО КОНТРОЛЯ ЗА ОБРАБОТКОЙ ПД✅
1️⃣ Прооект Приказа Минцифры, вносящего изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных.
Список дополняется пунктом 4:
"Выявление контролирующим органом в течение календарного года двух и более фактов непредставления контролируемым лицом, являющимся владельцем сайта и (или) страницы сайта в сети «Интернет», программы для электронных вычислительных машин, на которых применяются рекомендательные технологии, информации, связанной с применением рекомендательных технологий, а также доступа к программно-техническим средствам рекомендательных технологий по запросу контролирующего органа".
ЗАЩИТА ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В АВТОМАТИЗИРОВАННОЙ ИНФОРМАЦИОННОЙ СИСТЕМЕ СТРАХОВАНИЯ💪💪💪
1️⃣В Минюсте зарегистрировано положение Банка России от 30.08.2023 № 822-П «О требованиях к обеспечению защиты информации, содержащейся в автоматизированной информационной системе страхования».
Оператор АИС страхования должен осуществлять защиту информации, содержащейся в информационной системе, при ее получении, подготовке, обработке, хранении и предоставлении. Если защищаемая информация содержит персональные данные, оператор АИС страхования должен применять меры по обеспечению их безопасности в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных".
Оператор АИС страхования должен определить во внутренних документах состав и порядок применения организационных и технических мер защиты информации в отношении эксплуатируемых им объектов информационной инфраструктуры, а также осуществлять не реже одного раза в два года:
✔ тестирование объектов информационной инфраструктуры на предмет возможности несанкционированного доступа к обрабатываемой защищаемой информации;
✔ анализ уязвимостей информационной безопасности указанных объектов.
ЗАЩИТА ЦИФРОВОГО РУБЛЯ💱💲
1️⃣В Минюсте зарегистрировано положение Банка России от 07.12.2023 № 833-П «О требованиях к обеспечению защиты информации для участников платформы цифрового рубля».
ПРЕДОСТАВЛЕНИЕ ПД ПРАВООБЛАДАТЕЛЯ ОБЪЕКТА НЕДВИЖИМОСТИ В СОСТАВЕ ОБЩЕДОСТУПНОЙ ВЫПИСКИ ИЗ ЕГРН📑👀
1️⃣ Письмом Росреестра от 29.08.2023 № 13-7906-АБ/23 даны разъяснения по вопросу предоставления персональных данных правообладателя объекта недвижимости в составе общедоступной выписки из ЕГРН по запросу бывшего супруга такого правообладателя.
УВЕЛИЧЕНИЕ СРОКА ПЕРЕХОДНОГО ПЕРИОДА НА ОТЕЧЕСТВЕННЫЕ СЕРВИСЫ АВТОРИЗАЦИИ⏰
1️⃣ Президент России подписал закон 588-ФЗ от 12.12.2023, дающий российским цифровым платформам больше времени на приведение своих систем авторизации в соответствие с действующим законодательством — переходный период на отечественные сервисы авторизации продлевается до 1 января 2025 года.
МЕРЫ ПО ОБЕСПЕЧЕНИЮ ТЕХНОЛОГИЧЕСКОЙ НЕЗАВИСИМОСТИ И БЕЗОПАСНОСТИ КРИТИЧЕСКОЙ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ🏢
1️⃣ Официально опубликован Указ Президента Российской Федерации от 22.11.2023 № 887 «О внесении изменения в Указ Президента Российской Федерации от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации». Теперь ЦБ РФ согласовывает ряд сделок по закупкам в соответствии с 223-ФЗ.