УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Обзор изменений в законодательстве за сентябрь 2019

        Обзор изменений в законодательстве за сентябрь 2019

        8 октября 2019
        Новости

        Автор: Анастасия Заведенская, аналитик

        Первый осенний месяц оказался богатым на нормотворческую деятельность в области защиты и обработки персональных данных (ПДн). В том числе Госдумой рассмотрен большой пакет изменений административных штрафов за нарушение требований обработки ПДн. А также официально опубликованы изменения в требования по защите информации в государственных информационных системах (ГИС).

        Персональные данные

        На официальный государственный портал 17 сентября 2019 г. выложен законопроект о ратификации Протокола о внесении изменений в Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (Протокол).

        Основная цель законопроекта — это придание юридической силы Протоколу, который был подписан Россией 10 октября 2018 г. Изменения, вносимые Протоколом в Конвенцию Совета Европы, содержат иные правила, чем предусмотренные законодательством Российской Федерации. Исполнение Протокола Российской Федерацией потребует внесения изменений в Федеральный закон «О персональных данных» и Кодекс Российской Федерации об административных правонарушениях (КоАП).

        Из основных моментов, на которые стоит обратить внимание уже сейчас:

        • Модернизированной конвенцией вводятся новые определения «контролер» (что соответствует понятию «оператор», закрепленному в Федеральном законе «О персональных данных»), «лицо, осуществляющее обработку персональных данных» и «получатель». Как следствие понятийный аппарат нормативно-правовой базы РФ в области обработки и защиты ПДн необходимо будет также под них подстроить.
        • Модернизированная конвенция обязует контролера своевременно уведомлять компетентный надзорный орган (в РФ – Роскомнадзор) об утечках данных. В связи с чем за невыполнение оператором обязанности по уведомлению уполномоченного органа устанавливается административная ответственность. А это значит, что рано или поздно операторов ПДн в РФ обязуют информировать Роскомнадзор об утечках ПДн и введут соответствующие штрафы за невыполнение данной обязанности.
        • В модернизированной конвенции содержится требование учредить один или несколько надзорных органов, ответственных за ее выполнение, с четким описанием их полномочий. Законопроектом данные полномочия возлагаются на Роскомнадзор.

        18 сентября 2019 года Минкомсвязь России опубликовало проект Федерального закона о внесении изменений в Федеральный закон «О персональных данных».

        Законопроект предлагает к рассмотрению новые понятия: «обезличенные ПДн» и «обезличенные данные». Обезличенными ПДн считается такой набор данных, который при дополнении любой иной информацией позволит определить субъекта ПДн. Обезличенные данные – данные, которые при любых проделанных с ними действиях, не приведут к определению субъекта ПДн. В проекте описаны следующие положения по работе с «обезличенными ПДн» и «обезличенными данными»:

        • обезличивание ПДн должно осуществляться с согласия субъекта ПДн, за исключением случаев, установленных федеральными законами (напр. обезличивание в исследовательских, статистических и (или) аналитических целях допускается без согласия);
        • действия, приводящие обезличенные ПДн к виду, который позволяет определить субъекта ПДн, должны осуществляться по согласию субъекта ПДн;
        • допускается передача обезличенных ПДн третьему лицу по согласию субъекта ПДн, но при условии, что иная информация, позволяющая определить субъекта, не будет передана оператором третьему лицу;
        • если третьим лицом были получены обезличенные ПДн, то оно может использовать их в предпринимательской деятельности, но не допускается совершать любые действия, позволяющие установить субъекта ПДн;
        • получение, обработка и любое использование обезличенных данных осуществляется свободно, без согласия субъекта ПДн;
        • требования и методы обезличивания ПДн должны быть разработаны Роскомнадзором и распространяться на всех операторов ПДн;
        • требования и методы обезличивания, обеспечивающие невозможность отнесения информации к конкретному субъекту ПДн, устанавливаются Правительством РФ.

        Разработчики изменений предлагают отказаться от основного принципа получения согласия субъекта ПДн: «одна цель – одно согласие». Законопроектом предлагается возможность дачи согласия на обработку ПДн одновременно на несколько целей. При этом, субъектам ПДн гарантируется право отказаться от дачи согласия на обработку ПДн или внести в него изменения.

        Предлагается возможность получения подтверждения дачи согласия субъектом на обработку его ПДн в электронной форме (по СМС, электронной почте, путем заполнения формы на сайте оператора или лица, действующего по поручению оператора, иными способами).

        Если согласие даётся в электронной форме, законопроектом предусмотрена возможность указания лиц, осуществляющих обработку ПДн по поручению оператора, путем включения в согласие адреса сайта оператора в сети «Интернет», содержащего информацию об этих лицах. При этом оператор обязан информировать субъекта ПДн о внесении изменений в сведения о лицах, осуществляющих обработку по поручению. Следует обратить внимание, что указанная норма позволяет корректировать именно сведения о тех лицах, на передачу которым уже дано согласие субъектом, а не добавлять новых.

        Законопроект № 729516-7 О внесении изменений в КоАП (об установлении административной ответственности за невыполнение оператором при сборе ПДн граждан Российской Федерации обязанности по обеспечению их хранения с использованием баз данных, находящихся на территории Российской Федерации) 10 сентября принят в первом чтении и к октябрю в него должны будут быть внесены необходимые правки.

        На данный момент штрафы, предлагаемые проектом закона, доходят до 18 млн. руб. для юридических лиц в случае повторного невыполнения обязанности по сбору ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.

        Постановлением Правительства РФ от 13 сентября 2019 года № 1197 внесены изменения в состав «Сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных», утвержденных постановлением Правительства РФ от 30 июня 2018 г. № 772.

        Таким образом в состав сведений Единой биометрической системы (ЕБС) добавлены: «контактные данные физического лица (номер мобильного телефона, адрес электронной почты)». Ранее в ЕБС были включены только:

        • биометрические ПДн (фото и запись голоса);
        • идентификаторы того, кто разместил в ЕБС данные о физическом лице;
        • сведения о регистрации физического лица в ЕСИА (Единая система идентификации и аутентификации).
        Государственные информационные системы

        Приказ Федеральной службы по техническому и экспортному контролю от 28.05.2019 г. № 106 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. №. 17» (Приказ) официально опубликован 16 сентября 2019 года и вступил в силу с 27 сентября 2019 года.

        Приказ вносит изменения в правила проектирования, ввода в эксплуатацию и эксплуатации государственных информационных систем (ГИС). Большой блок уточнений привносится для ГИС, функционирующих на базе центров обработки данных (ЦОД), но также затрагивается и непосредственное обеспечение информационной безопасности в ходе эксплуатации ГИС.

        ГИС и ЦОД

        Если оператором ГИС планируется перенос инфраструктуры полностью или даже частично на мощности ЦОД, то необходимо обратить внимание на следующие требования:

        • Класс защищенности ГИС не может быть выше класса защищенности ЦОД. Как следствие необходимо понимать, что для потенциального ЦОД должен быть определён класс защищенности, и ЦОД должен быть аттестован.
        • При моделировании угроз безопасности информации, обрабатываемой в ГИС, в модели угроз должны быть учтены и угрозы, актуальные для ЦОД.
        • В случае создания ГИС, функционирование которой предполагается на базе ЦОД, дополнительно необходимо определить требования по защите информации для ЦОД.
        • Для блокирования угроз безопасности информации, обрабатываемой в ГИС, можно использовать меры защиты, уже реализованные в ЦОД (если такие имеются).
        • Средства защиты информации (СрЗИ), устанавливаемы в ГИС, должны быть совместимы между собой и со СрЗИ, установленными в ЦОД.
        Аттестация

        • Аттестационные испытания могут быть совмещены с проведением приемочных испытаний ГИС.
        • Аттестат соответствия выдается на весь срок эксплуатации ГИС, но оператор должен поддерживать соответствие системы защиты аттестату в рамках реализации мероприятий по обеспечению защиты в ходе эксплуатации. При этом актуальной становится проблема с тем, что иные нормативные документы устанавливают конкретный срок действия аттестата. В Приказе № 17 есть указание о применении для проведения аттестации национальных стандартов, а также методических документов, разработанных и утвержденных ФСТЭК России. К таким документам относятся ГОСТ РО 0043-003-2012 «Аттестация объектов информатизации. Общие положения», ГОСТ РО 0043-004-2013 «Программа и методики аттестационных испытаний», в которых установлен конкретный срок, исчисляемый в годах. К методическим документам можно также отнести «Положение по аттестации объектов информатизации по требованиям безопасности информации» Гостехкомиссия, 25.11.1994 (актуален до сих пор), в котором прописано, что аттестат соответствия выдается на срок не более 3-х лет.
        Обеспечение защиты в ходе эксплуатации

        К обязательным мероприятиям по защите информации в ГИС в ходе эксплуатации добавились:

        • планирование мероприятий по защите информации в ГИС;
        • анализ угроз безопасности информации в ГИС;
        • информирование и обучение персонала ГИС по вопросам обеспечения информационной безопасности (ИБ).

        Планирование мероприятий включает определение лиц, ответственных за планирование и контроль, выявление инцидентов ИБ и реагирование на них. План мероприятий должен быть утвержден вместе с правовым актом о вводе в эксплуатацию ГИС и содержать сроки по проведению контроля выполнения утвержденных мероприятий.

        Выявление, анализ и устранение уязвимостей, анализ изменения угроз для ГИС должны проводится в течение всего времени её эксплуатации. Периодичность указанных работ определяется оператором самостоятельно.

        Информирование и обучение персонала заключается в:

        • информировании персонала о появлении актуальной угрозы безопасности информации, о правилах безопасной эксплуатации;
        • доведении до персонала требований по защите информации, а также положений организационно-распорядительной документации;
        • обучении персонала правилам эксплуатации отдельных средств защиты информации;
        • проведении практических занятий и тренировок с персоналом по блокированию угроз безопасности информации и реагированию на инциденты;
        • контроле осведомленности персонала об угрозах безопасности информации и уровня знаний персонала по вопросам обеспечения защиты информации.
        Периодичность проведения практических занятий и тренировок, обучения и контроля осведомлённости устанавливается оператором, но не реже 1 раза в два года.

        Также для контроля за обеспечением уровня защищенности добавлены требования по периодичности его проведения: для 1 класса защищённости – не реже 1 раза в год, для 2 и 3 классов защищенности – не реже 1 раза в два года. При этом, контроль за обеспечением уровня защищенности может осуществляться оператором ГИС самостоятельно или с привлечением лицензиата по технической защите конфиденциальной информации.

        Средства защиты информации

        Ввиду отмены процедуры сертификации СрЗИ по уровню контроля недекларированных возможностей, требования к СрЗИ ГИС скорректированы на обязательную сертификацию по уровням доверия¹. А при проектировании вновь создаваемых или модернизируемых ГИС, имеющих подключение к Интернету, должны выбираться маршрутизаторы, сертифицированные на соответствие требованиям информационной безопасности (в части реализованных функций безопасности).

        ______________________________________________
        ¹ Подробнее о сертификации по требованиям доверия можно прочитать в нашем обзоре за март 2019.

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы