Обзор изменений в законодательстве за декабрь 2017

Дата: 29.12.2017

Новые полномочия ФСБ России

В декабре уходящего года был утвержден Указ Президента Российской Федерации от 22.12.2017 №620 «О совершенствовании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации».
Как и ожидалось, функции уполномоченного по предупреждению и защите от компьютерных атак на информационные системы России отныне возлагаются на ФСБ России.

Проекты приказов ФСБ России в части компьютерных инцидентов

ФСБ России выложила на общественное обсуждение сразу три документа, которые направлены на реализацию федерального закона №187-ФЗ «О безопасности критической информационной инфраструктуры (КИИ) Российской Федерации:

1. Проект Приказа „О Национальном координационном центре по компьютерным инцидентам“.
2. Проект Приказа „Об утверждении Порядка обмена информацией о компьютерных инцидентах между субъектами критической информационной инфраструктуры Российской Федерации, между субъектами критической информационной инфраструктуры Российской Федерации и уполномоченными органами иностранных государств, международными, международными неправительственными организациями и иностранными организациями, осуществляющими деятельность в области реагирования на компьютерные инциденты, и Порядка получения субъектами критической информационной инфраструктуры Российской Федерации информации о средствах и способах проведения компьютерных атак и о методах их предупреждения и обнаружения“.
3. Проект Приказа „Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации“.

Первый документ определяет функции и полномочия создаваемого Национального координационного центра по компьютерным инцидентам (НКЦКИ). Главной задачей Центра будет координирование действий субъектов КИИ по вопросам реагирования на компьютерные инциденты, в том числе анализ причин и условий, при которых произошёл инцидент, методическая помощь на основе накопленной информации и выработка рекомендаций. Выполнять эту функцию Центр будет за счет направления уведомлений и запросов субъектам КИИ (международным и иностранным организациям) по вопросам, которые связаны с кибератакими.
Так как Центр создается на базе 8 Центра ФСБ России, то данное „подразделение“ наделено полномочиями, которые позволяют отказать в предоставлении какой-либо информации, если, по их мнению, она создает угрозу Российской Федерации.

Второй и третий документы касаются вопросов обмена информацией о компьютерных инцидентах.
Из приказа „Об утверждении Порядка обмена информацией...“ следует, что сроки по обмену информацией должны быть достаточными для своевременного проведения мероприятий по выявлению и ликвидации последствий кибератаки. В соответствии с текстом документа, это составляет 24 часа с момента обнаружения.
Также хочу отметить, что после вступления приказа в силу, обмен данными о кибератаках с иностранными организациями будет осуществляться только через НКЦКИ. Согласно документу, исключения составляют те случаи, когда обмен субъектом КИИ с иностранной организацией предусмотрен международным договором Российской Федерации.
В свою очередь субъекты КИИ обязаны информировать Центр при обмене между собой информацией о компьютерных атаках. Обмен данными будет осуществляться путем взаимного направления уведомлений в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА).
Субъекты КИИ также смогут получать информацию о кибератаках в информационных системах органов государственной власти РФ на сайте НКЦКИ, где планируется ежемесячная публикация отчетов о них.

Что касается Перечня информации, представляемой в ГосСОПКА, то в состав собираемых данных входят:
1. Информация, содержащаяся в реестре значимых объектов КИИ, а также информация об отсутствии необходимости присвоения объекту КИИ одной из категорий значимости и об  исключении объекта КИИ из реестра значимых объектов КИИ, а также об изменении категории значимости значимого объекта КИИ.
2. Информация по итогам проведения гос.контроля о нарушении требований по обеспечению безопасности значимых объектов КИИ, в результате которого создаются предпосылки возникновения компьютерных инцидентов.
3. Информация о компьютерных инцидентах, связанных с функционированием объектов КИИ:

  • дата, время и место компьютерного инцидента;
  • наличие причинно-следственной связи между компьютерным инцидентом и компьютерной атакой;
  • связь с другими компьютерными инцидентами (при наличии);
  • состав технических параметров компьютерного инцидента в соответствии с перечнем, установленным НКЦКИ;
  • последствия компьютерного инцидента.

4. Иная информация, представление которой согласовано с НКЦКИ.

Импортозамещение в ЕАЭС

Также в декабре уходящего года было опубликовано Постановление Правительства РФ от 20 декабря 2017 г. №1594 „О внесении изменений в постановление Правительства Российской Федерации от 16 ноября 2015 г. № 1236“.
Согласно документу, теперь в части импортозамещения программное обеспечение (ПО) разработки государств-членов Евразийского экономического союза (ЕАЭС) приравнивается в правах к российскому ПО. Документ вступает в силу с 1 января 2018 года.
Напомню, что помимо России в ЕАЭС входят следующие страны:

  • Армения.
  • Белоруссия.
  • Казахстан.
  • Киргизия

Разъяснения Роскомнадзора по вопросу обработки биометрических персональных данных детей

В этом месяце разгорелись нешуточные споры по поводу проекта Сбербанка „Ладошки“ — биометрической системы, которая позволяет оплачивать по ладони питание в учебных заведениях и контролировать вход и выход ребенка. Для оплаты система идентифицирует ребенка по индивидуальному рисунку вен, после чего сумма автоматически списывается со счета родителя. В учебных заведениях, в которых установлен сервис, по ладони может быть организован проход в здание.
Однако позиция регулятора по поводу такой обработки биометрических данных детей оказалась негативной: глава Роскомнадзора Александр Жаров заявил, что надзорное ведомство отрицательно относится к проекту, поскольку считает его процедурой биоидентификации детей, вопрос широкого внедрения которой требует публичного обсуждения.
По его словам, биоидентификация — „это опасная история“, ведь биометрические данные — не только личное, но и национальное достояние, и „на этом будет строиться цифровая экономика нашей страны“.
В ответ на несогласие Сбербанка с озвученной позицией регулятор опубликовал разъяснения, которые сводятся к следующим пунктам:
1. Часть 1 ст. 9 Федерального закона „О персональных данных“ устанавливает, что согласие на обработку персональных данных (ПДн) может быть дано субъектом ПДн или его представителем, если иное не установлено федеральным законом.
2. Согласно ст. 11 закона „О персональных данных“, обработка биометрических ПДн может осуществляться только с письменного согласия субъекта ПДн.
3. При этом данная статья не предусматривает возможность получения согласия на обработку биометрических ПДн от законного представителя. Соответствующий подход заложен и в ч. 4 ст. 9 Федерального закона „О персональных данных“. Установлено, что равнозначным письменному согласию, которое содержит собственноручную подпись субъекта, признается исключительно согласие в форме электронного документа. Причем этот документ должен быть подписан электронной подписью субъекта ПДн, что исключает возможность участия законного представителя.
4. Представляется ошибочной и позиция, согласно которой несовершеннолетние лица являются недееспособными, и поэтому их законные представители имеют право предоставлять согласие на обработку их биометрических ПДн. По гражданскому законодательству Российской Федерации гражданин признается недееспособным только по решению суда. Иных оснований для признания гражданина недееспособным не установлено.
5. Использование положений Семейного кодекса РФ и законодательства об опеке и попечительстве при реализации проекта „Ладошки“ представляется ошибочным.
Согласно ст. 4 закона „О персональных данных“, законодательство в области ПДн состоит из данного закона и других законов, определяющих случаи и особенности обработки ПДн. Ни Семейный кодекс, ни законодательство об опеке и попечительстве не содержит положений, касающихся обработки биометрических ПДн несовершеннолетних.
6. Поэтому согласие законного представителя на обработку биометрических ПДн несовершеннолетнего не может служить правовым основанием для реализации проекта „Ладошка“.

Вопрос дальнейшей судьбы проекта, который уже действует в школах Московской, Воронежской, Новосибирской, Вологодской областей, в Татарстане, в Иваново, Чебоксарах, Троицке, Вологде, Тюмени, Ярославле, остается открытым.

Минкомсвязи провело учения по перехвату звонков и СМС

В декабре Минкомсвязи и главные телефонные операторы Российской Федерации узнали, смогут ли при желании злоумышленники перехватывать личные сообщения пользователей и подменять информацию в них. Средства массовой информации сообщили о том, что учения произошли 19 декабря.
В ходе учений отрабатывались сценарии атаки как на специально созданной тренировочной площадке, так и на повседневно функционирующей сети оператора сотовой связи („МегаФон“). Также отрабатывались уязвимости, связанные с нарушением функционирования критически важной инфраструктуры национального сегмента сети Интернет».
В учениях были задействованы МВД, Минобороны, Минэнерго, ФСБ России и другие ведомства, а также компании «Ростелеком», «МегаФон», «Лаборатория Касперского» и Positive Technologies. Согласно сценарию учений, Positive Technologies атаковала сеть «МегаФона» в Ростовской области в ночь с 18 на 19 декабря.
По результатам учений был сделан вывод, что «В принципе „МегаФон“ был готов [к взлому] и успешно отразил атаки, но уязвимости этих протоколов были подтверждены, и они могут использоваться для атаки на других операторов», — говорит собеседник РБК.
Речь идет о Протоколе SS7 — закрытом канале, через который передаются служебные команды для соединения абонентов операторов местной, междугородной, международной и беспроводной связи во всем мире.
«По итогам учений будут даны оценки текущего состояния ситуации, а также предложены меры по противодействию возможным угрозам, а также по их локализации и минимизации», — пообещали в Минкомсвязи. Доклад об итогах будет направлен в Совет безопасности России и президенту.