Страницы

понедельник, 14 декабря 2020 г.

ГосСОПКА к нам приходит. Ко всем приходит.

 


   Законопроект № 1070431-7 "О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности" выглядит как специализированный и не предвещающий серьезных изменений в жизни всех организаций страны. https://sozd.duma.gov.ru/bill/1070431-7

   И действительно, в три федеральных закона вносятся правки, направленные на защиту информации о конкретной группы лиц и вполне обоснованно и аргументировано.

   Но ситуация с предлагаемыми изменениями в 152-ФЗ "О персональных данных" совсем другая.

   В пояснительной записке к законопроекту информация о защищаемых лицах упоминается:

Дополнительной гарантией обеспечения безопасности персональных данных защищаемых лиц выступает устанавливаемая законопроектом мера по организации взаимодействия операторов информационных систем персональных данных с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации.

  Смотрим сам законопроект:

Статья 4

Внести в часть 2 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2011, № 31, ст. 4701) следующие изменения:

1) пункт 6 дополнить словами «, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них»;

2) пункт 9 дополнить словами «, включая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации».

    Вот так будут выглядеть требования 152-ФЗ после принятия закона:

Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
2. Обеспечение безопасности персональных данных достигается, в частности:

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данныхвключая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации

   Нет никаких исключений. Все операторы ПДн и все операторы ИСПДн будут обязаны выполнять эти меры защиты. Вне зависимости от наличия обработки информации о защищаемых лицах.

Все это ВСЕ, поскольку это не только организации, внесенные в реестр РКН как операторы ПДн.

  РКН недавно уделил значительное время освещению этого вопроса - https://valerykomarov.blogspot.com/2020/12/2020.html

    Рассмотрение законопроекта в Госдуме запланировано на 15 декабря 2020 года
включить указанный законопроект в проект порядка работы Государственной Думы на 15 декабря 2020 года для рассмотрения в первом чтении.

   И в правовом управлении не видят необходимости запрашивать заключение от Правительства РФ
необходимости получения на данный законопроект заключения Правительства Российской Федерации не усматривается. 

   В настоящий момент времени, ГосСОПКА описана только в законодательстве по обеспечению безопасности критической информационной инфраструктуры. И подзаконные акты к 187-ФЗ определяют деятельность субъектов КИИ, причем в зависимости от категории значимости.
  Что предлагается выполнить законопроектом и какими НПА это будет описано для операторов ПДн не понятно.
   Напомню, что по 152-ФЗ "Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных."
   Какой смысл вкладывал авторский коллектив в "взаимодействие с ГосСОПКА" не понятно, а правовых оснований для разработки новых НПА по разъяснению этих требований в законопроект не заложено. 
   Неуже ли хотят заставить ФСБ подписать с каждым юрлицом и ИП  страны - 
РЕГЛАМЕНТ взаимодействия подразделений Федеральной службы безопасности
Российской Федерации при осуществлении информационного обмена в области обнаружения,
предупреждения и ликвидации последствий компьютерных атак?

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

11 комментариев:

  1. Законопроект принят в первом чтение

    ОтветитьУдалить
  2. Все верно. ГосСОПКА же должна окупаться, и все операторы ПДн будут обязаны платно подключиться к одному из центров СОПКИ.
    Заметим, не ГИС обязывают к системе подключаться (что было бы логичнее), а операторов ПДн.
    Изящный ход!

    ОтветитьУдалить
    Ответы
    1. Больше похоже на саботаж работоспособности бизнес-организаций, точнее вредительство, та сказали бы в 37-м

      Удалить
    2. Большинство ГИС еще и и ИСПДн одновременно.

      Удалить
    3. ГИС МОЖЕТ быть кто-нибудь и поддержит средствами на исполнение требований, а вот бизнес, пусть даже и с госучастием...это вряд ли. Денег нет на реализацию требований для ЗОКИИ или ИСПДн, а что уже тут говорить о подключении к ГосСОПКА для них. Сейчас очень модная тема пошла...прямо как в США, всё оправдывать национальной безопасностью, бездумно, абсолютно не задумываясь о последствиях для исполнителей инициатив писак из Думы. Я несколько лет проработал в одной организации (ФОИВ) на практически самом верху пищевой цепочки и понимаю как сейчас принимаются решения в ФСТЭК. Печально, что с 2016 года, как я уволился, ничего не изменилось. Чиновники и руководители думать головой не хотят, не модно это, подумать и потом принять решение. Сначала решение задачи, а разгребать проблемы потом. Типа, иначе, так ни одну задачу не решеить, если долго думать. Печально всё это...(

      Удалить
    4. под эти требования подпадают и ИП. Такая вот поддержка малого бизнеса

      Удалить
  3. Мы с Вами обсуждали уже необходимость выполнения требований по ЗИ или ИБ, которые клепают, как ошалелые, думцы, регуляторы и т.п. Вы сказали, что законы и законные требования надо выполнять. Вот теперь, скоро, будем все выполнять, ну или почти все....ведь насколько я понимаю, ДИТ г. Москвы выполнять эти или другие законные требования, в том числе предусмотренные Конституцией, не собирается.

    ОтветитьУдалить
  4. "пункт 9 дополнить словами «, включая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации»." исключен из законопроекта

    ОтветитьУдалить
  5. А п. 6) "обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них." остался?

    ОтветитьУдалить
  6. А п. 6) "обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них." остался?

    ОтветитьУдалить
    Ответы
    1. Принятый вариант. Ст. 3 http://publication.pravo.gov.ru/Document/View/0001202012300041?index=5&rangeSize=1

      Удалить