вторник, 26 апреля 2022 г.

Как вот спрятаться от них?.. Видно, так уж суждено, Ты их в дверь,-- они в окно...ГосСОПКА снова на пороге.



  В декабре 2020 года была предпринята первая охватить ГосСОПКА все организации страны без исключения. Писал про это - здесь. Тогда мы этого избежали, но недавно последовала очередная и более жесткая по своим требованиям. И так, апрельская версия 2022 года "О внесении изменений в Федеральный закон "О персональных данных" и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных"

  Посмотрим что интересного нас ждет в законопроекте с точки зрения информационной безопасности.

  1.  лицо, осуществляющее обработку персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющее обработку персональных данных по поручению оператора персональных данных с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, но не определяющее цели обработки указанных персональных данных, состав персональных данных, действия, совершаемые с персональными данными.

 Таким "обработчикам ПДн" необходимо получать лицензию ФСТЭК на ТЗКИ и лицензию на ФСБ на СКЗИ.

https://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/76-inye/1651-informatsionnoe-soobshchenie-fstek-rossii-ot-31-iyulya-2018-g-n-240-13-3330

В пункте 3 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, установлено, что безопасность персональных данных при их обработке в информационный системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключенного с этим лицом договора. Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе

Оператору не требуется получать лицензию на деятельность по технической защите конфиденциальной информации при обработке персональных данных в информационной системе персональных данных для собственных нужд.

Оператору необходимо иметь указанную лицензию при оказании другому оператору услуг по обработке персональных данных по его поручению в собственной информационной системе персональных данных на основании заключенного между ними договора при наличии в таком договоре хотя бы одной из услуг, предусмотренных в пункте 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 г. N 79.

Или как штрафуют за отсутствие лицензии ФСБ на СКЗИ

"Таким образом, ООО <данные изъяты>» по существу оказывает возмездные услуги по организации и обеспечению безопасности хранения и обработки с использованием СКЗИ конфиденциальной информации, передаваемой вне сетей конфиденциальной связи, т.е. предоставляя услуги по шифрованию информации фактически осуществляет функции оператора.

Вместе с этим, согласно Положения, утвержденного постановлением Правительства Российской Федерации от 16 апреля 2012 г. N 313 в перечень выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств относится в том числе, предоставление услуг по шифрованию информации, не содержащей сведений, составляющих государственную тайну, с использованием шифровальных (криптографических) средств в интересах юридических и физических лиц, а также индивидуальных предпринимателей."

 2. Вред субъектам ПДн теперь будем оценивать по методике РКН "оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом".

  А это может повлечь за собой пересмотр классов защиты для ГИС, обрабатывающих ПДн.

  3. Ключевой пункт законопроекта! Законодательное наделение ФСБ и ФСТЭК правом приходить с проверкой выполнения 21/378 приказов в коммерческие организации.

"Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных."
  
   4. И снова ГосСОПКА. Только раньше была обязанность просто взаимодействие обеспечить оператору ПДн, а теперь "непрерывное взаимодействие". Напомню, что "непрерывное взаимодействие с ГосСОПКА" сейчас предусмотрено исключительно для ЗНАЧИМЫХ объектов КИИ, компьютерные инциденты на которых несут реальный и серьезный ущерб для страны. Теперь же нам предлагают это сделать всем операторам ПДн, вне зависимости от класса ИСПДн у них. Да собственно, по 152-ФЗ, у него вообще может быть только неавтоматизированная обработка ПДн, но все равно подключайся к ГосСОПКА.
"Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных"


  Ну и как обычно, стандартное финансово-экономичесоке обоснование законопроекта:

Принятие федерального закона «О внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных» не повлечет дополнительных расходов за счет средств бюджетов бюджетной системы Российской Федерации.

  У нас за 4 года не удалось добиться "непрерывного взаимодействия с ГосСОПКА" даже для небольшого количества субъектов КИИ, имеющих ЗОКИИ. И отсутствие финансовых возможностей одна из существенных причин, дело это очень затратное.
  А теперь мы хотим подключить миллионы операторов ПДн, не выделяя финансирования?
Вот всевозможные ФБУ, ГБУ, ГКУ, органы государственной власти они не за счет бюджетных средств будут выполнять требования законопроекта?
   Где взять столько квалифицированных кадров для эффективного взаимодействия с ГОсСОПКА и технических средств? Сколько надо центров ГосСОПКА создать, что бы это хоть как то работало?

  Рассмотрение законопроекта в Государственной Думе запланировано на 18 мая 2022 года, скорее всего примут в текущей редакции.

P.S. В «Клубе любителей КИИ» развивается цикл заметок про планирование действий персонала субъекта КИИ в нештатной ситуации (мера ДНС.1). Присоединяйтесь к обсуждению, комментируйте и делитесь опытом, распространяйте полезные наработки.


Нештатные ситуации. https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-chto-ot-nas-trebuiut-npa-62058490047813262a1fcf8d

Нештатные ситуации. Что надо сделать? https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-chto-nado-sdelat-620578d0a64db977482cb531

https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-6202bffa1688a06355f95388

Нештатные ситуации. Что от нас требуют НПА? https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-principy-formirovaniia-plana-deistvii-6217df89186af2061bc2b470

Нештатные ситуации. Принципы формирования плана действий. https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/klub-liubitelei-kii-neshtatnye-situacii-principy-formirovaniia-plana-deistvii-6217df89186af2061bc2b470


Раздел "Правоприменительная практика по ст.274.1 УК РФ "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации" на главной страницы блога - https://valerykomarov.blogspot.com/p/2741.html

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

Комментариев нет:

Отправить комментарий