В рубрику "Право и нормативы" | К списку рубрик | К списку авторов | К списку публикаций
6 ноября 2019 г. на официальном сайте ФСТЭК России обновлен Перечень нормативных правовых актов или их отдельных частей, оценка соблюдения которых является предметом государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры1. Перечень утвержден приказом ФСТЭК России от 16.07.2019 г. № 135.
Надзорный орган указывает, соблюдение каких требований будет оцениваться при проведении контролирующих мероприятий (см. врезку).
13 ноября 2019 г. опубликован приказ Минкомсвязи России от 30 октября 2019 г. № 629 "О конкурсной комиссии Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации по предоставлению Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации субсидий из федерального бюджета на создание отраслевого центра Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) и включение его в систему автоматизированного обмена информацией об актуальных киберугрозах"2.
Перечень нормативно-правовых актов или их отдельных частей, оценка соблюдения которых является предметов государственного контроля в области обеспечения безопасности значимых объектов критической информационной инфраструктуры:
Приказ № 629 подготовлен для реализации постановления Правительства РФ от 07 октября 2019 г. № 1285 о субсидировании создания отраслевого центра ГосСОПКА. Он инициирует образование конкурсной комиссии для рассмотрения заявок на субсидирование, утверждает положение, определяющее порядок и сроки деятельности конкурсной комиссии, и устанавливает правила конкурсного отбора.
Следом, 22 ноября 2019 г., на сайте Минкомсвязи России опубликовано извещение о проведении конкурсного отбора на предоставление субсидии на создание отраслевого центра ГосСОПКА3. Заявки на участие в открытом конкурсном отборе принимались до 29 ноября. К участию заявились ФГУП МНИИ "Интеграл" и ООО "Центр информационной безопасности". Победителем, набравшим наибольшее количество баллов по оценкам конкурсной комиссии4, стало ФГУП МНИИ "Интеграл".
14 ноября 2019 г. был опубликован приказ Минкомсвязи России от 11 ноября 2019 г. № 705 "О конкурсной комиссии Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации по проведению конкурсного отбора на предоставление Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации субсидий из федерального бюджета на создание киберполигона для обучения и тренировки специалистов и экспертов разного профиля, руководителей в области информационной безопасности и информационных технологий современным практикам обеспечения безопасности"5.
Приказом № 705 создается конкурсная комиссия для проведения отбора по предоставлению субсидий на создание киберполигонов (постановление Правительства РФ от 12 октября 2019 г. № 1320), определяются порядок и сроки деятельности конкурсной комиссии и правила конкурсного отбора.
Извещение о проведении конкурсного отбора было опубликовано 25 ноября6 на сайте Минкомсвязи России, а заявки на участие принимались до 29 ноября 2019 г. Победителем открытого конкурсного отбора, набравшим наибольшее количество баллов по итогам оценки заявок, признано ПАО "Ростелеком".
Опубликованным 25 ноября 2019 г. приказом Минкомсвязи России от 21 ноября 2019 г. № 755 "О конкурсной комиссии Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации по проведению конкурсного отбора на предоставление Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации субсидий из федерального бюджета на достижение отдельных результатов федерального проекта "Информационная безопасность" национальной программы "Цифровая экономика Российской Федерации"7 инициировано создание соответствующей комиссии.
Субсидии предоставляются на финансовое обеспечение расходов, связанных с реализацией следующих групп мероприятий:
Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации:
Повторное совершение вышеуказанного административного правонарушения:
2 декабря опубликован Федеральный закон от 02.12.2019 № 405-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации"8 (далее – ФЗ № 405). Зтот закон, в частности, вносит поправки в КоАП относительно нарушений законодательства в области обработки персональных данных.
Административный штраф будет накладываться в случае, если оператор ПДн при сборе персональных данных будет использовать базы данных, расПоложенные вне территории РФ. Краткая сводка размеров штрафов представлена в врезке.
В декабре 2019 г. опубликован проект положения Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"9 (далее – проект Положения). Комментарии по проекту Положения в рамках публичного обсуждения принимались до 26 декабря 2019 г.
Хотя проекту Положения в явном виде и не присвоен номер, однако понятно, что он несет изменения в Положение Банка России от 09.06.2012 № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".
В проекте Положения установлены требования по защите информации при осуществлении переводов денежных средств в отношении недавно введенных субъектов национальной платежной системы, в частности платежного агрегатора, поставщика платежного приложения, оператора услуг информационного обмена.
Вместе с тем одной из заявленных целей разработки проекта Положения является применение единого подхода к регулированию в отношении субъектов национальной платежной системы, касающихся защиты информации при осуществлении переводов денежных средств.
К основным изменения стоит отнести использование ГОСТ Р 57580.2–2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" при оценке соответствия уровням защиты информации. Аналогичная форма оценки соответствия ранее уже была введена в Положение Банка России от 17.04.2019 № 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" и в Положение Банка России от 17.04.2019 № 684-П Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций".
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2019