В обзоре изменений за февраль 2025 года рассмотрим следующие темы:
1. Персональные данные
Рассмотрим изменения условиях обработки ПДн в 152-ФЗ, обезличивание ПДн, а именно: изменения в Положении о Единой информационной платформе национальной системы управления данными, требования, предъявляемые к пользователям ГИС Минцифры России с составами данных, полученных в результате обезличивания ПДн, случаи формирования составов обезличенных ПДн, взаимодействие Минцифры России с операторами обезличенных ПДн.
2. Иное
Предложен законопроект об увеличении штрафов за использование несертифицированных ИС, СрЗИ, а также за нарушение правил защиты информации, а также законопроект о создании ГИС по противодействию преступлениям, совершаемым с использованием сети «Интернет».
Рассмотрим проекты по актуализации Положения о порядке обращения со служебной информацией ограниченного распространения, расширению полномочий Роскомнадзора, в частности по утверждению требований и методов по обезличиванию ПДн, продлению эксперимента по повышению уровня защищенности ГИС федеральных органов исполнительной власти и подведомственных им учреждений.
3. Деятельность ФСТЭК России
Рассмотрим результаты работы ТК 362 за 2024 год и план работы на 2025 год.
Персональные данныеИзменения в 152-ФЗ
28 февраля 2025 года официально опубликован Федеральный закон от 28.02.2025 № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» (далее – 152-ФЗ) и отдельные законодательные акты Российской Федерации (далее – РФ)».
Статья 6 152-ФЗ об условиях обработки персональных данных (далее – ПДн) дополняется частью 1.2, согласно которой обработка ПДн:
сотрудников органов:
федеральной службы безопасности;
внешней разведки РФ;
государственной охраны;
внутренних дел;
лиц, оказывающих им содействие на конфиденциальной основе, в том числе, подлежащих государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства, подлежащих государственной защите судей, должностных лиц правоохранительных и контролирующих органов,
осуществляется с учетом особенностей соответствующего федерального законодательства, среди которых Федеральный закон от 03.04.1995 № 40-ФЗ «О федеральной службе безопасности», Федеральный закон от 20.04.1995 года № 45-ФЗ «О государственной защите судей, должностных лиц правоохранительных и контролирующих органов», Федеральный закон от 20.08.2004 № 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и иные.
В статье 18 меняется формулировка, касающаяся обязанности оператора использовать при сборе ПДн базы данных, находящиеся на территории РФ. Теперь в части 5 статьи 18 однозначно указано, что запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан РФ с использованием баз данных, находящихся за пределами территории РФ, не допускаются.
Изменения вступают в силу 1 июля 2025 года.
Единая информационная платформа национальной системы управления данными
Министерство цифрового развития, связи и массовых коммуникаций РФ (далее – Минцифры России) представило для общественного обсуждения проект постановления Правительства РФ «О государственной информационной системе (далее – ГИС), предназначенной для обработки ПДн, полученных в результате обезличивания ПДн, и о внесении изменений в постановление Правительства РФ от 14.05.2021 № 733».
Проект определяет ГИС «Единая информационная платформа национальной системы управления данными» (далее – ЕИП НСУД) в качестве ГИС, предназначенной для обработки ПДн, полученных в результате обезличивания, и предоставления доступа к ним, а также вносит в Положение о ЕИП НСУД ряд изменений.
Проект вносит в Положение термины:
«состав данных», под которым подразумеваются сгруппированные обезличенные ПДн, последующая обработка которых не позволит определить их принадлежность конкретному субъекту ПДн;
«обезличенные ПДн», под которыми подразумеваются ПДн, обезличенные в соответствии со статьей 13.1 152-ФЗ (статья вступит в силу 1 сентября 2025 года).
Расширяется перечень задач ЕИП НСУД сбором и иной обработкой обезличенных данных, формированием составов данных и предоставлением доступа к ним, обеспечением соответствия составов данных и полученных результатов обработки составов данных требованиям статьи 13.1 152-ФЗ. Состав системы расширяется подсистемой обработки обезличенных данных. Также в Положении конкретизируются роли участников ЕИП НСУД и их обязанности по работе с обезличенными данными.
В случае принятия постановление вступит в силу с 1 сентября 2025 года.
Общественное обсуждение проекта постановления завершилось 28 февраля 2025 года.
Требования к пользователям ГИС с составами обезличенных ПДн
1 сентября 2025 года вступает в силу ст. 13.1 152-ФЗ «Особенности обработки ПДн, полученных в результате обезличивания ПДн, при формировании составов данных и предоставления доступа к ним», согласно которой пользователями ГИС Минцифры России (система на данный момент официально не определена) являются:
государственные, муниципальные органы и подведомственные им организации, органы государственных внебюджетных фондов;
граждане РФ и российские юридические лица, которые соответствуют требованиям ч.7 ст.13.1 152-ФЗ.
Минцифры России опубликовало проект постановления Правительства РФ, которым предлагается утвердить Правила проверки соответствия пользователей ГИС Минцифры России требованиям ч.7 ст.13.1 152-ФЗ.
Согласно проекту проверка соответствия требованиям будет осуществляться Минцифры России. Для проверки пользователю, который является гражданином РФ, необходимо подать запрос о проведении проверки, содержащий:
фамилию, имя, отчество (при наличии);
дату и место рождения;
страховой номер индивидуального лицевого счета застрахованного лица в системе обязательного пенсионного страхования (далее – СНИЛС);
идентификационный номер налогоплательщика (далее – ИНН);
паспортные данные (серия, номер и дата выдачи);
адрес электронной почты;
сведения, подтверждающие, что пользователь внесен в реестр операторов ПДн, включая указанные в уведомлении сведения о целях обработки ПДн, категориях ПДн и субъектов ПДн;
информацию, подтверждающую, что пользователь не включен в перечень организаций и физических лиц, причастных к экстремистской деятельности или терроризму;
документы, подтверждающие:
отсутствие гражданства иностранного государства;
отсутствие непогашенной или неснятой судимости.
Если пользователь является юридическим лицом, то запрос должен содержать:
полное наименование и адрес в пределах места нахождения;
ИНН;
основной государственный регистрационный номер;
сведения о единоличных исполнительных органах и членах коллегиального исполнительного органа:
фамилия, имя, отчество (при наличии);
СНИЛС;
наименование должности;
дата и место рождения;
серия и номер паспорта;
документы, подтверждающие отсутствие гражданства иностранного государства и неснятой или непогашенной судимости;
информацию, подтверждающую, что они не включены в перечень организаций и физических лиц, причастных к экстремистской деятельности или терроризму;
адрес электронной почты;
выписка из Единого государственного реестра юридических лиц;
сведения, подтверждающие, что пользователь внесен в реестр операторов ПДн, включая указанные в уведомлении сведения о целях обработки ПДн, категориях ПДн и субъектов ПДн;
сведения и документы, подтверждающие, что пользователь находится под контролем РФ, субъекта РФ, муниципального образования или гражданина РФ, не имеющего гражданства другого государства;
доверенность или иной документ, подтверждающий право уполномоченного лица пользователя системы, направившего запрос, действовать от имени пользователя системы.
Минцифры России в срок, не превышающий 30 рабочих дней с даты получения запроса, рассматривает запрос, проверяет соответствие пользователя системы требованиям и по результатам проверки направляет электронное уведомление о соответствии или несоответствии требованиям.
В случае выявления неполноты или недостоверности сведений Минцифры России направляется запрос об уточнении сведений или представлении недостающих документов. Данные необходимо предоставить в течение 15 рабочих дней.
При работе с системой пользователю необходимо направлять повторный запрос на проведение проверки не позднее 12 месяцев с момента получения уведомления о соответствии требованиям, если пользователь не подаст запрос на повторную проверку, то доступ к системе будет приостановлен.
В случае принятия постановление вступит в силу с 1 сентября 2025 года.
Общественное обсуждение проекта постановления завершилось 28 февраля 2025 года.
Случаи формирования составов обезличенных ПДн
Для общественного обсуждения опубликован проект постановления Правительства РФ «Об определении случаев формирования составов ПДн, полученных в результате обезличивания ПДн, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту ПДн».
Согласно проекту Минцифры России формирует составы данных в следующих случаях:
при угрозе или возникновении чрезвычайных ситуаций природного и техногенного характера;
при выработке и реализации государственной политики в области противодействия терроризму;
при введении чрезвычайного положения на всей территории РФ или в ее отдельных местностях;
при введении карантина на территории одного или нескольких субъектов РФ для предупреждения распространения инфекционных заболеваний и массовых неинфекционных заболеваний;
при проведении статистических или иных исследований в целях выработки и реализации государственной политики в сфере туризма, получения информации о следовании по туристским маршрутам и необходимости определения количества туристов;
при проведении исследований в экономической и социальной сферах в целях реализации государственной миграционной политики РФ, учета естественного движения и миграции населения;
при проведении статистических, научных или иных исследований в области обеспечения санитарно-эпидемиологического благополучия населения в целях прогнозирования санитарно-эпидемиологической обстановки.
Составы данных могут включать обезличенный идентификатор абонента, год рождения, пол, гражданство, местоположение, включая информацию об изменении местоположения с определенной периодичностью и иное.
В случае принятия постановление вступит в силу с 1 сентября 2025 года.
Общественное обсуждение проекта завершилось 7 марта 2025 года.
Взаимодействие Минцифры России с операторами обезличенных ПДн
Минцифры России представило для общественного обсуждения проект постановления Правительства РФ «Об установлении Правил взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с операторами, обрабатывающими ПДн, в целях формирования составов ПДн, полученных в результате обезличивания ПДн, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту ПДн».
В целях формирования составов данных Минцифры России направляет оператору требование о предоставлении ПДн, полученных в результате обезличивания, с указанием перечня ПДн (наименование каждого из атрибутов, их формат, используемый метод и параметры обезличивания, условия выборки данных) и сроков их предоставления.
Оператор:
осуществляет выборку ПДн в соответствии с требованиями;
обезличивает полученную выборку в соответствии с методами обезличивания и порядком обезличивания ПДн, установленными в ч. 3 ст. 13.1 152-ФЗ;
подписывает ПДн, полученные в результате обезличивания, усиленной квалифицированной электронной подписью;
представляет подписанные ПДн в ГИС Минцифры России с использованием единой системы межведомственного электронного взаимодействия, личного кабинета оператора в ГИС Минцифры России, а при отсутствии технической возможности подключения к ГИС на съемном машинном носителе.
Проект описывает случаи отсутствия доступа к системе, предоставления неполных данных, а также принципы взаимодействия, среди которых обеспечение конфиденциальности ПДн, полученных в результате обезличивания от операторов ПДн.
В случае принятия постановление вступит в силу с 1 сентября 2025 года.
Общественное обсуждение проекта завершилось 7 марта 2025 года.
ИноеУвеличение штрафов за нарушение правил защиты информации
В Государственную думу на рассмотрение внесен законопроект об увеличении штрафов за нарушение статьи 13.12 «Нарушение правил защиты информации» Кодекса об административных правонарушениях РФ:
Статья
Содержание
Ответственность
Сейчас
Предложено
ч.2 ст. 13.12
Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации (далее – СрЗИ), если они подлежат обязательной сертификации (за исключением СрЗИ, составляющей государственную тайну)
• Для граждан: от 1,5 до 2,5 тыс. руб. с конфискацией несертифицированных СрЗИ или без таковой
• Для должностных лиц: от 2,5 до 3 тыс. руб.
• Для юридических лиц: от 20 до 25 тыс. руб. с конфискацией несертифицированных СрЗИ или без таковой
• Для граждан: от 5 до 10 тыс. руб. с конфискацией несертифицированных СрЗИ или без таковой
• Для должностных лиц: от 10 до 50 тыс. руб.
• Для юридических лиц: от 50 до 100 тыс. руб. с конфискацией несертифицированных СрЗИ или без таковой
ч.4 ст. 13.12
Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну
• Для должностных лиц: от 3 до 4 тыс. руб.
• Для юридических лиц: от 20 до 30 тыс. руб. конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой
• Для должностных лиц: от 20 до 50 тыс. руб.
• Для юридических лиц: от 50 до 100 тыс. руб. конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой
ч.6 ст. 13.12
Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, предусмотренных частями 1, 2 и 5 ст. 13.12
• Для граждан: от 500 руб. до 1 тыс. руб.
• Для должностных лиц: от 1 до 2 тыс. руб.
• Для юридических лиц: от 10 до 15 тыс. руб.
• Для граждан: от 5 до 10 тыс. руб.
• Для должностных лиц: от 10 до 50 тыс. руб.
• Для юридических лиц: от 50 до 100 тыс. руб.
ч.7 ст. 13.12
Нарушение требований о защите информации, составляющей государственную тайну, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, за исключением случаев, предусмотренных частями 3 и 4 ст. ст. 13.12, если такие действия (бездействие) не содержат уголовно наказуемого деяния
• Для граждан: от 1 до 2 тыс. руб.
• Для должностных лиц: от 3 до 4 тыс. руб.
• Для юридических лиц: от 15 до 20 тыс. руб.
• Для граждан: от 10 до 20 тыс. руб.
• Для должностных лиц: от 20 до 50 тыс. руб.
• Для юридических лиц: от 50 до 100 тыс. руб.
Обновление порядка обращения со служебной информацией ограниченного распространения
Минцифры России представило для общественного обсуждения проект постановления Правительства РФ «О внесении изменений в постановление Правительства РФ от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности (далее – Положение)».
Действующее на данный момент Положение распространяется только на документы в бумажной форме и другие материальные носители с пометкой «Для служебного пользования», обращение которых осуществляется в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности.
Проект предлагает:
переименовать утверждаемое постановлением Положение в «Положение о порядке обращения со служебной информацией ограниченного распространения»;
распространить Положение в том числе и на электронные документы, содержащие служебную информацию ограниченного распространения;
расширить перечень субъектов, которым рекомендовано его использовать, включив:
органы государственной власти субъектов РФ, местного самоуправления, иные государственные органы;
государственные и муниципальные учреждениям унитарные предприятия, государственные внебюджетные фонды;
организации, осуществляющие публично значимые функции или созданные для выполнения задач, поставленных перед Правительством РФ;
юридические лица, созданные на основании федеральных законов или в уставном капитале которых есть доля участия РФ, субъектов РФ, или муниципальных образований, а также иные юридические лица.
Проект актуализирует порядок обращения, уничтожения и передачи документов с пометкой «Для служебного пользования», а также вводит применение дополнительных пометок «без пунктов ДСП – доступ не ограничен» и «без приложений – доступ не ограничен» при необходимости указания частей документа или дополнительно прилагаемых документов, содержащих служебную информацию ограниченного распространения.
Дата окончания общественного обсуждения проекта – 14 марта 2025 года.
Расширение полномочий Роскомнадзора
Минцифры России представило для общественного обсуждения проект постановления Правительства РФ «О внесении изменений в некоторые акты Правительства РФ», согласно которому вносится ряд изменений в Положение о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), утвержденное постановлением Правительства РФ от 16.03.2009 №228.
Роскомнадзор наделяется новыми полномочиями в области связи, защиты информации и ПДн, в том числе по:
управлению сетью связи общего пользования путем управления техническими средствами противодействия угрозам или формированием обязательных к выполнению указаний для владельцев сетей связи;
ведению перечня персональных страниц, объем аудитории каждой из которых составляет более 10 тысяч пользователей социальной сети;
утверждению требований и методов по обезличиванию ПДн.
В случае принятия постановление вступит в силу с 1 сентября 2025 года.
Общественное обсуждение проекта завершится 17 марта 2025 года.
Продление эксперимента по повышению уровня защищенности ГИС
Минцифры России представило проект постановления Правительства РФ, которым предлагается с 1 апреля 2025 года по 31 декабря 2027 года провести эксперимент по повышению уровня защищенности ГИС федеральных органов исполнительной власти и подведомственных им учреждений, а также утвердить Положение о проведении эксперимента.
Положение устанавливает порядок проведения эксперимента, участников, цели проведения эксперимента, среди которых:
получение независимой оценки текущего уровня защищенности ГИС;
инвентаризация систем защиты информации ГИС, выявление недостатков СрЗИ и программного обеспечения (далее – ПО) ГИС;
проверка практической возможности использования нарушителем выявленных недостатков СрЗИ и ПО ГИС;
выявление существующих недостатков в инфраструктурных, архитектурных и организационных решениях ГИС, которые могут быть использованы внешними и внутренними нарушителями для осуществления несанкционированных действий;
разработка перечня мер, направленных на нейтрализацию выявленных недостатков;
проведение мероприятий по устранению выявленных в государственных информационных системах недостатков.
Эксперимент проводится в соответствии с постановлением Правительства РФ от 13.05.2022 № 860 «О проведении эксперимента по повышению уровня защищенности ГИС федеральных органов исполнительной власти и подведомственных им учреждений».
Общественное обсуждение проекта завершилось 25 февраля 2025 года.
ГИС по противодействию преступлениям, совершаемым с использованием сети «Интернет»
В феврале 2025 года Государственную думу на рассмотрение внесен законопроект «О создании ГИС по противодействию правонарушениям (преступлениям), совершаемым с использованием информационно-телекоммуникационных технологий, и о внесении изменений в отдельные законодательные акты РФ».
Согласно законопроекту предполагается создание двух ГИС:
ГИС, предназначенной для выявления информации, распространяемой в целях злоупотребления доверием путем введения в заблуждение, а также для обеспечения взаимодействия при ограничении доступа к указанной информации.
ГИС, предназначенной для противодействия правонарушениям (преступлениям), совершаемым с использованием информационно-телекоммуникационных технологий.
Оператором обеих ГИС будет Минцифры России. ГИС планируется использовать для взаимодействия органов власти в целях ограничения доступа к информации, вводящей в заблуждение, оперативного выявления, пресечения и предупреждения правонарушений, совершаемых с использованием сети «Интернет». Посредством ГИС не будет осуществляться обмен информацией о компьютерных атаках и компьютерных инцидентах.
В ГИС, предназначенной для противодействия правонарушениям (преступлениям), совершаемым с использованием информационно-телекоммуникационных технологий, планируется хранить векторы единой биометрической системы, полученные на основании записей голосов лиц, совершающих противоправные действия, абонентские номера лиц, совершающих противоправные действия, и их жертв.
ФСТЭК РоссииДеятельность ТК 362
Федеральная служба по техническому и экспортному контролю РФ на своем официальном сайте опубликовала Отчет о результатах деятельности технического комитета по стандартизации «Защита информации» (далее – ТК 362) за 2024 год и План работы ТК 362 на 2025 год.
В соответствии с Планом работы ТК 362 на 2024 год и Программой национальной стандартизации на 2024 год:
утверждены:
ГОСТ Р 71206-2024 «Защита информации. Разработка безопасного ПО. Безопасный компилятор языков С/С++. Общие требования»;
ГОСТ Р 71207-2024 «Защита информации. Разработка безопасного ПО. Статический анализ ПО. Общие требования»;
разработаны и представлены в Федеральное агентство по техническому регулированию и метрологии
ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного ПО. Общие требования»;
ГОСТ Р 71753-2024 «Защита информации. Система автоматизированного управления учетными записями и правами доступа. Общие требования»;
в 2024 году проведены работы по разработке, а в 2025 должны быть представлены проекты следующих национальных стандартов:
ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения»;
ГОСТ Р «Защита информации. Защита информации от неправомерной передачи или распространения из информационных и автоматизированных систем. Общие положения»;
ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации»;
ГОСТ Р «Защита информации. Идентификация и аутентификация. Управление идентификацией и аутентификацией»;
ГОСТ Р «Защита информации. Идентификация и аутентификация. Типовые угрозы и уязвимости процессов идентификации и аутентификации»;
ГОСТ Р «Защита информации. Идентификация и аутентификация. Рекомендации по управлению идентификацией и аутентификацией»;
ГОСТ Р 52447 «Защита информации. Техника защиты информации. Классификация СрЗИ от несанкционированного доступа и номенклатура эксплуатационных характеристик» (пересмотр ГОСТ Р 52447-2005);
ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
ГОСТ Р «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации формальных описаний модулей средства защиты, реализующих политики управления доступом»;
ГОСТ Р «Защита информации. Разработка безопасного ПО. Термины и определения»;
ГОСТ Р «Защита информации. Разработка безопасного ПО. Динамический анализ ПО. Общие положения»;
ГОСТ Р «Защита информации. Разработка безопасного ПО. Композиционный анализ ПО. Общие требования»;
ГОСТ Р «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки»;
ГОСТ Р «Защита информации. Доверенная среда исполнения. Общие требования»;
ГОСТ Р «Защита информации. Разработка безопасного ПО. Методика оценки уровня внедрения процессов разработки безопасного ПО»;
ГОСТ Р «Защита информации. Разработка безопасного ПО. Руководство по внедрению процессов разработки безопасного ПО».
Автор: Любовь Лобачева, аналитик УЦСБ
Источник: habr.com
