На связи Катя, консультант по информационной безопасности направления «Solar Интеграция». В сегодняшнем посте я поделюсь краткой подборкой новостей из мира комплаенса ИБ за прошедший сентябрь. Вы узнаете о дальнейшем развитии подзаконных актов 266-ФЗ, изменениях в области стандартизации, отраслевых новшествах и не только. Все новости по традиции разбиты на тематические блоки.
Персональные данные
1. Минцифры России представило для общественного обсуждения ряд проектов постановлений Правительства РФ, регламентирующих трансграничную передачу персональных данных. Документы разработаны в развитие 266-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”».
Например, в одном из проектов определены случаи, при которых операторы смогут не уведомлять Роскомнадзор об осуществлении деятельности по трансграничной передаче персональных данных. К таким случаям относится выполнение функций, полномочий и обязанностей, возложенных на государственные и муниципальные органы международным договором и законодательством РФ в целях:
обеспечения транспортной безопасности;
осуществления предупреждения и ликвидации чрезвычайных ситуаций;
обеспечения безопасности и противодействия преступности;
обеспечения дипломатических сношений;
обеспечения сотрудничества в рамках Евразийского экономического союза;
обеспечения обороны;
оказания правовой помощи по гражданским, семейным, административным и уголовным делам;
реализации физической культуры и спорта;
реализации культуры, науки и образования;
обеспечения платежей с использованием платежных систем и платежной инфраструктуры.
Два других проекта определяют порядок принятия решений о запрещении или ограничении трансграничной передачи персональных данных «по представлению уполномоченного органа», а также «в целях защиты нравственности, здоровья, прав и законных интересов граждан».
2. Роскомнадзор опубликовал образец уведомления об осуществлении трансграничной передачи персональных данных.
3. Роскомнадзор представил специальную электронную форму подачи уведомлений об утечке персональных данных.
4. Роскомнадзор актуализировал перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Соответствующий приказ опубликован на официальном интернет-портале правовой информации.
Государственные информационные системы
5. ФСБ России представила для общественного обсуждения проект приказа, в котором регламентируются вопросы защиты информации в ГИС с использованием криптографических средств (СКЗИ), а также правила определения класса СКЗИ.
Новости в области стандартизации
6. Технический комитет по стандартизации «Защита информации» (ТК 362) представил проекты национальных стандартов, связанные с кибербезопасностью:
ГОСТ Р «Защита информации. Система организации и управления защитой информации. Общие положения»;
ГОСТ Р ИСО/МЭК 15408-1-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель»;
ГОСТ Р ИСО/МЭК 15408-2-20ХХ «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности».
7. ФСТЭК России опубликовала отчеты о результатах деятельности Технического комитета по стандартизации «Защита информации» (ТК 362):
Методика оценки угроз
8. ФСТЭК России добавила 52 негативных последствия в инструмент автоматизации будущей методики оценки угроз. Теперь она будет больше привязана к деятельности организации.
Отраслевые изменения
9. В России появится отраслевой центр компетенций по информационной безопасности в промышленности. Соответствующее решение приняло Правительство РФ своим постановлением № 1636 от 17.09.2022.
Деятельность нового центра будет направлена на решение следующих задач:
обнаружение, предупреждение и ликвидация последствий компьютерных атак на информационные ресурсы промышленных предприятий;
проведение мероприятий по оценке степени защищённости информационных ресурсов промышленных предприятий;
проведение мероприятий по установлению причин компьютерных инцидентов, вызванных компьютерными атаками на информационные ресурсы промышленных предприятий;
сбор и анализ данных о состоянии информационной безопасности информационных ресурсов промышленных предприятий;
формирование и поддержание в актуальном состоянии сведений об информационных ресурсах промышленных предприятий;
проведение мероприятий по повышению уровня образования в сфере информационной безопасности в отношении информационных ресурсов промышленных предприятий.
Организацию, на базе которой будет создан отраслевой центр, определят путем конкурсного отбора. Победитель конкурса получит субсидию от Минпромторга России.
10. ФСТЭК России представила для общественного обсуждения проект постановления Правительства РФ «О внесении изменений в Положение о защите информации в платежной системе».
11. Подготовлен проект федерального закона «О внесении изменений в Федеральный закон “О национальной платежной системе”».
Автор дайджеста: Екатерина Борисенкова, консультант по информационной безопасности направления «Solar Интеграция» компании «РТК-Солар»