Обзор изменений законодательства за июль 2022

Kate

Administrator
Команда форума
В обзоре за июль 2022 года рассмотрим: ряд изменений в области защиты персональных данных, в том числе реформа 152-ФЗ, размещение биометрических персональных данных в единой биометрической системе и обновленный перечень стран, адекватно защищающих права субъектов персональных данных, изменения в области защиты критической информационной инфраструктуры, среди которых: публикация типовых положений во исполнение Указа Президента РФ №250, изменение порядка направления сведений о результатах категорирования для сфер энергетики и топливно-энергетического комплекса; результаты работы ТК 362, изменения в Уголовный кодекс РФ и Кодекс об административных правонарушениях, связанные с защитой государственной тайны и персональных данных, использованием технических средств защиты информации РФ; дополнения к требованиям для кредитных финансовых организаций и другое.

Проекты нормативно-правовых актов в отношении контроля обработки и защиты ПДн​

Реформа 152-ФЗ​

В июле официально опубликован Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (далее – 266-ФЗ)

Основные изменения, который вносит закон:

  1. Вводится экстерриториальность Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее ‑ № 152-ФЗ).
  2. Вводится новое понятие – лицо, осуществляющее обработку ПДн по поручению оператора. Аналогичная роль представлена в европейских нормах (GDPR) в виде процессора или обработчика. Обоснованием для правомерного поручения иному лицу на обработку ПДн по-прежнему является однозначное согласие субъекта ПДн на такое поручение. При этом обработчик несет ответственность за правомерность обработки ПДн наравне с оператором, обязан внедрять необходимые меры безопасность и предоставить подтверждение их внедрения по запросу оператора.
  3. Вводится обязательность согласования с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) государственных нормативных правовых актов в области защиты персональных данных (далее – ПДн), связанных с осуществлением трансграничной передачи ПДн, обработкой специальных категорий и биометрических ПДн, ПДн несовершеннолетних, предоставлением, распространением ПДн, полученных в результате обезличивания.
  4. Вводится запрет отказывать в предоставлении услуг в случае несогласия субъекта ПДн предоставить свои ПДн (в т.ч. биометрические), если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным – оператор обязан разъяснять о юридических последствиях отказа.
  5. Вносится ряд изменений, касающихся трансграничной передачи ПДн, в т.ч. обязанность оператора направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу ПДн (с указанием перечня стран, в которые планируется передавать данные), а также возможность запрета такой передачи от Роскомнадзора, если планируется передача ПДн на территории стран, не обеспечивающих адекватную защиту прав субъектов ПДн.
  6. Корректируется порядок взаимодействия с субъектами ПДн, в т.ч. форма предоставления субъекту ПДн информации, касающейся обработки его ПДн, а также сокращаются сроки ответов на обращения субъектов и добавляются условия прекращения обработки ПДн при обращении субъекта.
  7. Добавляются новые критерии к согласию субъекта ПДн – помимо прочего, оно должно быть предметным и однозначным.
  8. Роскомнадзор должен будет установить требования по оценке вреда, который может быть причинен субъектам ПДн в случае нарушения 152-ФЗ, – требования должны быть опубликованы к 01.03.2023.
  9. Вводится обязанность операторов ПДн взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (далее – ГосСОПКА) в порядке, определенном ФСБ России, а также уведомлять об инцидентах Роскомнадзор. При этом ФСБ России и Роскомнадзор также будут передавать друг другу информацию о компьютерных инцидентах, повлекших неправомерную обработку ПДн (ведомства совместно определят соответствующий порядок взаимодействия). Кроме того, Роскомнадзор дополнительно будет вести реестр учета инцидентов в области ПДн.
  10. Роскомндазор должен будет установить требования по подтверждению уничтожения ПДн.
  11. Существенно сокращен перечень исключений, при которых обработка ПДн допускается без направления уведомления в Роскомнадзор. Изменения касаются и сведений, которые необходимо включить в уведомление, в т.ч. указание категорий ПДн и субъектов ПДн, основания и способов обработки ПДн для каждой цели отдельно.
  12. Установлен срок информирования Роскомнадзора о корректировке данных, ранее полученных с уведомлением о намерении осуществлять обработку ПДн, и об исключении из реестра операторов ПДн.
  13. А также меняется статус Роскомнадзора: службе придается больший уровень автономности, предоставляется возможность вносить в Правительство Российской Федерации предложения о совершенствовании нормативных правовых актов в области защиты ПДн и деятельности по обработке ПДн.
Большинство положений закона вступают в силу с 01.09.2022. Аналитиками ООО «УЦСБ» подготовлены подробные комментарии о грядущих изменениях и о предстоящих обязательных действиях операторов ПДн.

Минцифры готовит новую версию законопроекта об оборотных штрафах за утечку ПДн​

В июле поступила информация о том, что Минцифры готовит изменения в законопроект об оборотных штрафах за утечки ПДн . Законопроект усиливает ответственность операторов ПДн, а также проясняет некоторые детали.

Основные изменения будут касаться:

  • определения объекта утечки ПДн;
  • соразмерности штрафов за утечки объемам и критичности ПДн, появившихся в незаконном обороте;
  • поэтапности применения штрафов: за первую утечку штраф будет фиксированным, в случае повторной утечки будет применяться оборотный штраф (для которого также будут установлены границы);
  • процедуры добровольной аккредитации компаний по критериям информационной безопасности.
О сроках готовности проекта изменений не сообщается.

Биометрия в ЕБС​

Официально опубликован Федеральный закон от 14.07.2022 № 325-ФЗ «О внесении изменений в статьи 14 и 14-1 Федерального закона «Об информации, информационных технологиях и о защите информации» и статью 5 Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации» .

Согласно закону, если организация (в т.ч. государственные органы) в своих информационных системах осуществляет обработку ПДн, которые требуется разместить в единой биометрической системе (далее – ЕБС), они обязаны разместить такие ПДн в ЕБС без согласия субъекта ПДн. Необходимо лишь уведомить об этом субъекта и разъяснить, что в случае несогласия с действиями организации субъект может обратиться в ПАО «Ростелеком» (оператор ЕБС) с требованием о блокировании или уничтожении своих ПДн в (из) ЕБС.

Напомним, что перечень сведений, размещаемых в ЕБС, утвержден Постановлением Правительства Российской Федерации от 30.06.2018 № 772. Среди них:

  • биометрические ПДн физического лица – гражданина РФ (изображение лица и запись голоса);
  • основной государственный регистрационный номер записи о создании юридического лица, разместившего биометрические ПДн гражданина в ЕБС;
  • СНИЛС уполномоченного сотрудника, разместившего биометрические ПДн;
  • идентификатор учетной записи в Единой системе идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг (ЕСИА).

Обновленный список стран, адекватно защищающих права субъектов ПДн​

Для общественного обсуждения опубликован проект приказа «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных». Роскомнадзор предлагает дополнить перечень, включив в него:

  1. Иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (далее – Конвенция) (включаются в перечень в соответствии с 266-ФЗ);
  2. Иностранные государства, не являющиеся сторонами Конвенции:
  • Киргизская Республика;
  • Китайская Народная Республика;
  • Королевство Таиланд;
  • Республика Индия;
  • Республика Кот-Д’Ивуар.
Согласно проекту приказ вступает в силу с 1 марта 2023 года. Общественное обсуждение проекта завершилось 2 августа 2022 года.

О специальной категории ПДн​

В обзоре Аналитического центра УЦСБ за май 2022 года была рассмотрена инициатива Государственного собрания Республики Башкортостан о расширении перечня ПДн, относящихся к специальной категории: в перечень предлагалось включить номер телефона, адрес электронной почты и почтовый адрес. В июле принято окончательное решение — рекомендовано не вносить проект законодательной инициативы в Государственную Думу.

Основаниями для решения отмечены следующие факторы:

  1. В соответствии с №152-ФЗ (ст.10) к специальной категории отнесены ПДн, при несанкционированном использовании которых наступают особо негативные последствия для субъекта. Кроме того, предлагаемый в инициативе перечень ПДн согласно № 152-ФЗ (ст.8) может быть отнесен к общедоступным данным, однако в инициативе не рассматриваются изменения в эту статью.
  2. Принимается во внимание, что номер телефона, адрес электронной почты и (или) почтовый адрес не всегда является ПДн (может определять юридическое лицо).
  3. Пояснительная записка к инициативе также не рассматривает судебную практику и иные статистические данные, позволяющие судить о наличии правового пробела.

Изменения в области защиты критической информационной инфраструктуры​

Изменения июля коснулись и области обеспечения безопасности критической информационной инфраструктуры (далее – КИИ).

Порядок представления сведений о результатах категорирования объектов КИИ для сфер энергетики и ТЭК​

В начале июля стало известно об изменениях порядка предоставления сведений о результатах категорирования объектов КИИ. Изменения опубликованы в информационном сообщении ФСТЭК России от 28.06.2022 № 240/83/1698 «О порядке представления субъектами критической информационной инфраструктуры сведений о результатах присвоения объектам критической информационной инфраструктуры одной из категорий значимости либо об отсутствии необходимости присвоения им одной из таких категорий».

Изменения касаются субъектов КИИ в сферах энергетики и топливно-энергетического комплекса. Согласно сообщению, сведения о результатах категорирования объектов КИИ, функционирующих в указанных сферах, следует направлять:

  • в центральный аппарат ФСТЭК России – если субъект КИИ является федеральным органом исполнительной власти, государственной корпорацией или головной организацией интегрированных структур;
  • в территориальное управления ФСТЭК России по федеральному округу – если субъект КИИ является самостоятельным юридическим лицом, дочерним, зависимым обществом, входящим в интегрированные структуры, или организацией, подведомственной органам власти субъектов Российской Федерации или органам местного самоуправления.
В остальном процедура категорирования и форма сведений остаются прежними. Напомним, что схожий порядок с 2021 года действует для субъектов КИИ, действующих в сферах здравоохранения, а также науки и оборонной промышленности (согласно Информационным сообщениям ФСТЭК России от 18.06.2021 № 240/82/1037 и от 18.12.2021 № 240/81/2547 соответственно).

Для субъектов КИИ, осуществляющих деятельность в иных сферах (кроме указанных ранее), действует прежний порядок – все сведения о результатах категорирования направляются в центральный аппарат ФСТЭК России.

Расширение перечня сфер деятельности субъектов КИИ​

В Государственную Думу внесен законопроект №154496-8 «О внесении изменения в Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации», который предлагает отнести к субъектам КИИ государственные органы и учреждения, юридические лица и индивидуальные предпринимателей, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети и автоматизированные системы управления, функционирующие в сфере государственной̆ регистрации недвижимости.

На данный момент статус законопроекта: рассмотрение в первом чтении. Законопроект планируется включить в примерную программу законопроектной работы Государственной Думы в период осенней сессии 2022 года (декабрь).

Указ 250 — типовые положения​

Официально опубликовано постановление Правительства Российской Федерации от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)».

Утверждены требования к уровню компетенций, должностным обязанностям и положению в организационно-штатной структуре организации (органа) Заместителя руководителя, ответственного за обеспечение ИБ. Основные положения:

  1. Ответственное лицо (далее – Лицо) назначается руководителем организации (органа), подчиняется непосредственно руководителю или лицу, его замещающему.
  2. Лицо входит в состав коллегиальных органов организации (органа).
  3. Указания Лица являются обязательными для сотрудников организации (органа).
  4. Лицо должно иметь высшее образование (специалитет, магистратура) по направлению обеспечения информационной безопасности (далее – ИБ). Если высшее образование получено по другому направлению – Лицо обязано пройти обучение по программе профессиональной переподготовки по направлению ИБ. Программа должна быть согласована с ФСТЭК и ФСБ России и должна включать не менее 360 академических часов (в соответствии с п.17 Приказа Министерства образования и науки Российской Федерации от 19.10.2020 №1316 «Об утверждении Порядка разработки дополнительных профессиональных программ, содержащих сведения, составляющие государственную тайну, и дополнительных профессиональных программ в области информационной безопасности»).
  5. Лицо должно обладать следующими знаниями, умениями и профессиональными компетенциями:
  • знания процессов и специфики обеспечения ИБ организации (органа);
  • влияние информационных технологий (далее – ИТ) на деятельность организации (органа), их роль в процессах;
  • информационно-телекоммуникационные технологии;
  • обеспечение ИБ (понимание основ, технологий и процессов ИБ, владение управленческими навыками в сфере ИБ и т.д.);
  • знание нормативных правовых актов в области ИБ.
6. Лицо уполномочено и обязано:

  • организовывать и принимать непосредственное участие в формировании политик, стратегий по обеспечению ИБ организации (органа), а также организовывать процесс согласования и утверждения внутренних организационно-распорядительных, технических и иных документов в области ИБ с заинтересованными сторонами;
  • организовывать реализацию мероприятий согласно утвержденным политикам, а также контроль выполнения требований внутренних и законодательных нормативных актов;
  • организовывать работу по обеспечению ИБ (в том числе обнаружение, предотвращение и ликвидацию последствий компьютерных атак, управление инцидентами и т.д.);
  • организовывать планирование, разработку, реализацию и контроль исполнения мероприятий по обеспечению ИБ, в т.ч. организационных и технических мер, развитие ИБ, повышение осведомленности сотрудников по вопросам ИБ, научно-технические исследования, посещение вебинаров, семинаров, выставок и т.д.;
  • организовывать взаимодействие с ФСБ России и иными органами исполнительной власти;
  • реализовывать и контролировать соблюдение организацией (органом) положений Указа Президента РФ №250 (и иных нормативных правовых актов в области ИБ);
  • осуществлять руководство структурным подразделением организации (органа), обеспечивающим ИБ и т.д.
Постановление также утверждает требования к основным задачам, правам и обязанностям структурного подразделения, обеспечивающего ИБ организации (органа). Основные положения:

  1. Деятельность подразделения направления на исключение и (или) снижение негативных последствий инцидентов; обеспечение и повышение уровня ИБ организации (органа);
  2. Основные задачи подразделения:
  • планирование, реализация и контроль мероприятий по обеспечению ИБ организации (органа);
  • выявление уязвимостей и угроз безопасности информации;
  • предотвращение утечек информации, несанкционированного доступа к защищаемым активам;
  • обеспечение непрерывности процессов организации (органа) при наступлении компьютерных атак;
  • взаимодействие с Национальным координационным центром по компьютерным инцидентам (далее – НКЦКИ);
  • подготовка отчетов о состоянии работ по обеспечению ИБ.
3. Подразделение наделено правами (в рамках выполнения своих обязанностей):

  • запрашивать и получать доступ к работам и документам иных структурных подразделений;
  • предлагать привлечение к работам по обеспечению и повышению уровня ИБ организаций, имеющих лицензии на соответствующие виды работ;
  • проводить работы по повышению осведомленности, участвовать в конференциях, семинарах и т.д.;
  • участвовать в работе комиссий организации (органа) по вопросам обеспечения ИБ, вносить свои предложения;
  • предоставлять руководству органа информацию о нарушении работниками установленных правил обеспечения ИБ организации (органа) и т.д.
4. По результатам выполнения подразделением своих обязанностей проводится оценка эффективности функционирования подразделения.

Контроль перехода финансовых организаций на российское программное обеспечение​

В Государственную думу внесен законопроект №164428-8 «О внесении изменений в Федеральный закон «О Центральном банке Российской Федерации (Банке России)». Изменения предполагают предоставление Банку России права на согласование планов перехода кредитных и некредитных финансовых организаций на российское программное обеспечение на значимых объектах КИИ, а также на осуществление контроля реализации этих планов.

Законопроект находится на стадии рассмотрения профильным комитетом, планируемый срок подготовки к рассмотрению Государственной Думой в первом чтении – сентябрь 2022.

Результаты работы ТК 362​

В июле были опубликованы проекты ГОСТ, а также доклады о результатах работ Технического комитета по стандартизации «Защита информации» (далее ‑ ТК 362).

О проектах ГОСТ​

Завершено голосование членов ТК 362 за окончательную редакцию проекта национального стандарта ГОСТ Р «Защита информации. Идентификация и аутентификация. Уровни доверия аутентификации». Проект был рассмотрен членами ТК 362 и Технического комитета по стандартизации ТК 26 «Криптографическая защита информации» и опубликован для общественного обсуждения.

Замечания и предложения по проекту принимались секретариатом ТК 362 до 15.07.2022. Итоги общественного обсуждения на данный момент не подведены.

Завершено обсуждение членами ТК 362 проекта национального стандарта ГОСТ Р «Защита информации. Разработка безопасного программного обеспечения. Руководство по проведению статического анализа программного обеспечения».

По результатам электронного обсуждения сформирована сводка отзывов членов ТК 362. Отзывы рассмотрены и опубликованы с комментариями разработчиков. Окончательная редакция проекта повторно опубликована для голосования членов ТК 362 за окончательную редакцию проекта. Бюллетени голосования необходимо было направить до 5 июля.

Итоги голосования на данный момент не подведены.

О результатах работы ТК 362​

Опубликована Справка-доклад о ходе работ по плану ТК 362 на 2022 год (по состоянию на 29.06.2022).

Кроме работ по уже упомянутым ранее стандартам, в справке сообщается о следующем:

  • председателю ТК 362 для согласования представлено Соглашение о взаимодействии с техническим комитетом по стандартизации ТК 228 «Средства надежного хранения и безопасности»;
  • проведено голосование по вопросу отмены действующего национального стандарта ГОСТ Р 58189-2018 «Защита информации. Требования к органам по аттестации объектов информатизации» в связи с установлением порядка проведения работ по аттестации объектов информатизации в приказах ФСТЭК России от 28.09.2020 № 110 и 29.04.2021 № 77. Протокол направлен в Росстандарт для принятия решения об отмене;
  • подготовлены первые редакции проектов национальных стандартов:
o ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» (Идентичный на основе ISO/IEC 15408-1:2021);

o ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» (Идентичный на основе ISO/IEC 15408-2:2021);

o ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения».

Справка также содержит сведения о работах по включению в состав ТК 362 новых членов, о дополнениях в программу на 2022 год упомянутых ранее стандартов, заключении договоров на редакции стандартов и т.д.

Отчет ТК 362 за II квартал​

На сайте ФСТЭК России опубликованы Сведения о принятых национальных и международных стандартах за II квартал 2022 года.

Документ содержит сведения о принятых с апреля по июнь 2022 года национальных и международных стандартах в области защиты информации, а также об основных направлениях работ в рамках деятельности Международной организации по стандартизации (далее ‑ ИСО) и Международной электротехнической комиссии (далее ‑ МЭК) по совершенствованию международной системы стандартов в области защиты информации.

Согласно сведениям, во II квартале национальные стандарты в области защиты информации Росстандартом не утверждались. При этом ИСО и МЭК утверждены три международных стандарта в указанной области:

  • ISO/IEC TR 22216:2022 «Информационная безопасность, компьютерная безопасность и обеспечение конфиденциальности. Новые принципы и изменения в положениях ISO/IEC 15408:2022 и ISO/IEC 18045:2022» («Information security, cybersecurity and privacy protection – New concepts and changes in ISO/IEC 15408:2022 and ISO/IEC 18045:2022»);
  • ISO/IEC 27036-2:2022 «Компьютерная безопасность. Взаимоотношения с поставщиками. Часть 2. Требования» («Cybersecurity – Supplier relationships – Part 2: Requirements»);
  • ISO/IEC 27400:2022 «Компьютерная безопасность. Обеспечение безопасности и конфиденциальности идентификационных данных для Интернета вещей. Рекомендации» («Cybersecurity – IoT security and privacy – Guidelines»).
В документе отмечено, что актуальность работ по переводу международных стандартов по-прежнему высока, на очереди перевод порядка 60-ти документов. При этом рекомендовано отдать приоритет стандартам, регулирующим вопросы идентификации и аутентификации, безопасности приложений и критерии оценки безопасности ИТ, поскольку проекты по этим темам включены в программу ТК 362 на 2022 год.

Взаимодействие с ТК 480​

В рамках взаимодействия с техническим комитетом по стандартизации «Связь» (ТК 480) членами ТК 362 была рассмотрена первая редакция национального стандарта ГОСТ Р «Эксплуатация и управление сетями связи общего пользования в целях обеспечения целостности и устойчивого функционирования. Общие требования».

По результатам рассмотрения ТК 362 сделан вывод о том, что проект не уделяет должного внимания вопросам обеспечения безопасности информации. Для устранения этого недостатка комитет рекомендовал учесть положения законодательства РФ в области защиты КИИ или сослаться на нормативную и методическую базу в этой области.

Письмо о результатах рассмотрения и отзывы организаций-членов ТК 362 опубликованы на сайте ФСТЭК России.

Изменения в КоАП и УК РФ​

Ужесточение наказаний за распространение государственной тайны (и не только)

Официально опубликован Федеральный закон от 14.07.2022 № 260-ФЗ«О внесении изменений в Уголовный кодекс Российской Федерации и Уголовно-процессуальный кодекс Российской Федерации».

Федеральный закон вводит в Уголовный кодекс Российской Федерации (далее – УК РФ) ряд статей, предусматривающих наказания за незаконное использование и (или) перемещение сведений, составляющих государственную тайну (далее – ГТ), нарушение требований законодательства РФ о защите ГТ и незаконное использование технических средств защиты:

Статья УК РФ
Нарушение
Ответственность
ст. 274.2 (ч.1)​
Нарушение правил использования технических средств противодействия угрозам сети «Интернет» и сети связи общего пользования на территории РФ (в т.ч. несоблюдение технических условий при их установке или требований к сетям связи)​
Штраф до 1,5 млн. руб (или в размере дохода в срок до 18 месяцев)
Исправительные работы до 1 года
Принудительные работы или лишение свободы до 3 лет​
ст. 274.2 (ч.2)​
Нарушение требований к пропуску трафика через технические средства противодействия угрозам сети "Интернет" и сети связи общего пользования​
ст. 276​
Шпионаж (совершенный иностранным гражданином или лицом без гражданства):
· передача, сбор, хищение, хранение сведений, составляющих ГТ, с целью их передачи международной или иностранной организации;
· сбор иных сведений по поручению иностранных организаций с целью их использования против Вооруженных сил​
Лишение свободы до 20 лет​
ст. 283.2 (ч.1)​
Выезд за пределы РФ гражданина, имеющего (имевшего) допуск к ГТ, право которого на выезд из Российской Федерации заведомо для него ограничено

Незаконное перемещение/пересылка носителей, содержащих ГТ за пределы РФ​
Штраф до 700 т.р. (или в размере дохода до 3 лет)
Лишение свободы до 7 лет с лишением права занимать определенные должности до 3 лет
Конфискация имущества​

Штрафы за нарушение запрета на сбор персональных данных (и не только)​

В июле Президент РФ подписал Федеральный закон от 14.07.2022 №259-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

Закон вводит новые статьи (и части статей) в Кодекс Российской Федерации об административных правонарушениях (далее – КоАП РФ), предусматривающие ответственность за нарушение запрета на сбор ПДн граждан РФ иностранным лицом в сети «Интернет», а также административную ответственность за нарушение правил пропуска трафика через технические средства противодействия угрозам (не предусмотренное в УК РФ) и другое:

Статья
КоАП РФ
Нарушение
Ответственность
ст. 13.42​
Нарушение требований к пропуску трафика через технические средства противодействия угрозам сети "Интернет" и сети связи общего пользования (все, что не предусмотрено ст. 274.2 УК РФ)​
Штраф до 200 тысяч руб.
(для должностных лиц)

Штраф до 5000 тысяч руб.
(для индивидуальных предпринимателей)

Штраф до 5 млн. руб.
(для юридических лиц)
19.52 (ч.1-2)​
Нарушение иностранным юридическим лицом/организацией, иностранным гражданином или лицом без гражданства (далее – иностранное лицо), осуществляющими деятельность в сети «Интернет» на территории РФ, запрета Роскомнадзора на сбор ПДн граждан РФ​
Штраф до 300 тысяч руб.
(для граждан)

Штраф до 1 млн. руб.
(для должностных лиц)

Штраф до 18 млн. руб.
(для юридических лиц)
19.710 (ч.12)​
Непредставление, несвоевременное представление или представление недостоверных сведений, позволяющих идентифицировать владельца информационного ресурса иностранного лица, осуществляющего деятельность в сети «Интернет» на территории РФ, лицом, обеспечивающим размещение информационного ресурса в сети "Интернет" в Роскомнадзор​
Штраф до 30 тысяч руб.
(для граждан)

Штраф до 300 тысяч руб.
(для юридических лиц)
19.710 (ч.13)​
Непредставление, несвоевременное представление или представление недостоверных сведений, необходимых для ведения перечня иностранных лиц, осуществляющих деятельность в сети «Интернет» на территории РФ, иностранным лицом​
Штраф до 50 тысяч руб.
(для граждан)

Штраф до 700 тысяч руб.
(для юридических лиц)

Изменения для кредитных финансовых организаций​

Банком России официально опубликовано Указание от 18.02.2022 №6071-У«О внесении изменений в Положение Банка России от 17 апреля 2019 года № 683‐П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента».

Указание вносит изменения в части требований к программному обеспечению, распространяемому клиентам в целях совершения банковских операций. Ранее, если ПО не сертифицировано в системе ФСТЭК России, допускалось проведение в отношении такого ПО анализа уязвимостей по оценочному уровню доверия не ниже 4 (ОУД 4). Для его проведения необходимо было привлекать организацию-лицензиата ФСТЭК России.

Сейчас, если ПО не сертифицировано, необходимо проведение оценки соответствия по уровню не ниже ОУД 4. При этом такую оценку можно проводить как самостоятельно, так и с привлечением лицензиата ФСТЭК России.

Если же кредитная финансовая организация (системно значимая или значимая на рынке платежных услуг) принимает решение о сертификации ПО – необходимо получение сертификата соответствия требованиям ФСТЭК России не ниже 4 уровня доверия, если это ПО, используемое для перевода денежных средств (указанного в п.1.2 Положения Банка России №719-П), и не ниже 5 уровня доверия в остальных случаях. Напомним, что требования к уровням доверия утверждены приказом ФСТЭК России №76 (для служебного пользования).

К требованиям о технологиях обработки защищаемой информации добавляются:

  • необходимость идентификации устройств клиентов при использовании удаленного доступа для совершения банковских операций;
  • двойной контроль при проверке правильности формирования электронного сообщения;
  • входной контроль посредством проверки правильности заполнения полей и принадлежности электронной подписи её владельцу;
  • контроль дублирования электронного сообщения.
А также:

  • детализированы требования к использованию электронной подписи и других средств криптографической защиты электронных сообщений;
  • вводится требование подтверждать адрес электронной почты клиента;
  • необходимо введение ограничений на совершение всех или определенных видов операций или ограничение максимальной суммы банковской операции клиентам, совершающих операции удаленно с использованием сети «Интернет»;
  • необходимо будет уведомлять Банк России в том числе о сайтах в сети «Интернет», которые используются для осуществления банковской деятельности;
  • в явном виде указывается необходимость соблюдения требования Федерального закона от 26.07.2017 №187 «О безопасности критической информационной инфраструктуры» для организаций, являющихся субъектами КИИ.
Автор: Татьяна Пермякова, старший аналитик УЦСБ

 
Сверху