Обзор изменений в законодательстве за сентябрь 2017 года

Дата: 03.10.2017
Автор: Александра Бурхайло, аналитик

Госдума РФ поддержала законопроект об удаленной идентификации клиентов банков

Госдума РФ поддержала Проект Федерального закона № 157752-7 «О внесении изменений в Федеральный закон „О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма“», при условии его доработки с учетом следующих замечаний:

  • необходимо включить требования к реализации мер по защите биометрических персональных данных граждан в создаваемой информационной системе персональных данных на всех этапах их обращения (сбора, обработки, направления, хранения, предоставления);
  • необходимо разработать отдельный проект федерального закона, который будет предусматривать внесение изменений в законодательство РФ, определяющих меры ответственности за их нарушение.

Проектом, в частности, предусматривается:

  • право клиента кредитной организации поручать кредитной организации осуществление с его согласия сбора и обработки персональных данных, включая биометрические персональные данные этого клиента, в целях проведения его последующей удалённой идентификации;
  • право клиента кредитной организации на удаленное заключение договора банковского счета и оказание иных банковских услуг без его личного присутствия при успешном прохождении удаленной идентификации.

Формирование и использование системы удаленной идентификации обеспечит:

  • сокращение количества очных посещений клиентами отделений банков и переводом максимального количества услуг кредитных организаций в цифровую среду;
  • доступ удаленных регионов ко всему спектру российских кредитных организаций и их услугам;
  • доступность банковских услуг для людей с ограниченными возможностями.

В России могут ввести штрафы за нарушение закона о запрете анонимайзеров

Комитет Госдумы по информационной политике предложил принять в первом чтении законопроект, вводящий штрафы для операторов поисковых систем за неисполнение положений 276-ФЗ о запрете анонимайзеров и VPN-сервисов, который вступит в силу с 1 ноября 2017 года (данный закон был рассмотрен в предыдущем обзоре).

Законопроектом предлагается ввести штраф для физических лиц — 5 тыс. рублей, для должностных лиц — 50 тыс. рублей, для юридических лиц от 500 тыс. до 700 тыс. рублей.

Хотелось бы отметить, что уже опубликован подзаконный акт, касающийся исполнения требований 276-ФЗ.

Порядок данного подзаконного акта устанавливает процедуру исполнения мероприятий, которые регулируют деятельность операторов поисковых систем касательно распространения в сети «Интернет» рекламы и сведений об информационных ресурсах с ограниченным доступом на территории РФ. Ответственность за проведение мероприятий по контролю возлагается на Роскомнадзор и уполномоченные лица предприятий радиочастотной службы.

Проведение мероприятий по контролю не требует соглашения со стороны операторов поисковых систем.Данные информационной системы, сведения граждан и государственных органов могут послужить основанием для проведения мероприятия по контролю.

При проверке поисковиков уполномоченные лица должны установить следующее:

  1. Факт выдачи операторами поисковых систем сведений об информационных ресурсах, информационно-телекоммуникационных сетях, доступ к которым ограничен на территории Российской Федерации.
  2. Факт подключения оператора поисковой системы к информационной системе.

Проверка поисковой системы, согласно подзаконному акту, будет длиться один рабочий день. По окончании проверки будет составлен акт мероприятия по контролю. В случае обнаружении нарушений, к докладной записке будут прилагаться копии страницы сайтов для фиксации нарушений.

По результатам рассмотрения докладной записки руководитель органа по контролю или его заместитель принимают решение о возбуждении дела об административном правонарушении в пределах компетенции органа по контролю.

ЦБ ужесточит для банков требования к кибербезопасности

Банк России вынес на общественное обсуждение Проект Стандарта Банка России «Обеспечение информационной безопасности банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге», в котором ЦБ указывает на риски для информационной безопасности банка от привлечения аутсорсеров и выдвигает требования по их минимизации. Риски от привлечения сторонних организаций, указывает регулятор, в том, что можно выбрать поставщика, не обладающего нужными знаниями или ресурсами, а также в том, что сам банк может слабо контролировать его действия. Результатом некачественной работы таких компаний может стать появление уязвимости в банковской системе и даже хищения средств кредитной организации. Стандарт вступит в силу уже с 1 января 2018 года.

Для снижения рисков в этой сфере ЦБ требует от банков:

  1. Разработать политику взаимодействия с аутсорсером, то есть четко определить перечень услуг сторонней компании и список функций, которые осуществляет сам банк.
  2. Утвердить политику взаимодействия с аутсорсером на совете директоров.
  3. Четко разделить и обозначить сферы ответственности банка и компании-аутсорсера.

При передаче существенных функций ЦБ требует от банков проводить периодический мониторинг возможности реализации риска нарушения информационной безопасности (на основании собственной оценки или привлеченной консалтинговой компании), а также определять степень тяжести последствий от реализации риска нарушения информационной безопасности (которая напрямую зависит от сумм операций по переводу денег, остатков на корреспондентских счетах и т. д.).

Банкам, признанным ЦБ системно значимыми (сейчас их 11), регулятор рекомендует о планах передачи определенных функций на аутсорсинг заблаговременно ставить в известность FinCert.

ЦБ введет новые меры безопасности при проведении online-платежей

В соответствии с Проектом указания Банка России «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», опубликованном на официальном портале нормативных правовых актов, расширяется перечень требований к операторам по переводу денежных средств.

Согласно документу, усилены меры безопасности при проведении транзакций. Требования будут распространяться на все сайты, принимающие оплату, в том числе на ресурсы благотворительных организаций. Кроме этого, операторы по переводу денежных средств будут обязаны проинформировать ЦБ о выявленных инцидентах кибербезопасности, а также ежегодно тестировать и анализировать системы на предмет возможных уязвимостей.

ФСБ возьмет под контроль центры по обнаружению кибератак

Федеральная служба безопасности РФ получит расширенные полномочия по контролю над работой центров по обнаружению компьютерных атак. Соответствующий приказ президента РФ опубликован на официальном портале нормативных правовых актов, который в свою очередь вносит изменения в указ президента РФ от 15 января 2013 года «О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».

Согласно документу, ведомство будет организовывать и проводить работу по созданию и обеспечению функционирования государственной системы обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы РФ. Кроме этого, ведомство будет утверждать требования к информационным центрам, проводить их аккредитацию на соответствие требованиям, а также осуществлять мероприятия по оценке безопасности критической информационной инфраструктуры РФ (КИИ).

Хотелось бы отметить, что в подписанном в июле 187-ФЗ не был конкретно определен исполнительный орган, отвечающий за оценку безопасности КИИ, с выходом данного приказа стало очевидно кто теперь будет выполнять полномочия, указанные в подпункте 4 статьи 6 187-ФЗ.


Проект постановления правительства о требованиях к ИБ критически важного энергетического оборудования

В соответствии с Проектом Постановления Правительства РФ «Об установлении требований в отношении базовых (обязательных) функций и информационной безопасности при создании и эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики критически важного энергетического оборудования и порядке сертификации систем», опубликованном на официальном портале нормативных правовых актов, утверждается целый ряд документов для критически важного энергетического оборудования:

  1. «Требования в отношении базовых (обязательных) функций и информационной безопасности при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования», в которых в основном указаны требования из Приказа ФСТЭК России от 14.03.2014 № 31. Например, требованиями предполагается, что на всех автоматизированных рабочих местах и серверах должны быть включены персональные межсетевые экраны с правилами, минимально необходимыми для функционирования компонент систем удаленного мониторинга и диагностики, при этом остальной сетевой доступ должен быть заблокирован.
  2. Методические указания по определению модели угроз безопасности систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования», в которых указаны методические указания по определению модели угроз безопасности именно для критически важного энергетического оборудования. По сути, это означает, что со вступлением документа в силу появится первая отраслевая модель угроз, которая наиболее адаптирована для данного сектора экономики.
  3. Правила обязательной сертификации систем удаленного мониторинга и диагностики технического состояния критически важного энергетического оборудования по требованиям к их базовым (обязательным) функциям и информационной безопасности», в которых говорится про необходимость обязательной сертификации систем удаленного мониторинга и диагностики или ее компонентов в случае их обновления, изменения технологических и конструктивных особенностей и по другим основаниям, установленным в законодательстве.