ГосСОПКА к нам приходит. Ко всем приходит.

Дата: 13.12.2020. Автор: Валерий Комаров. Категории: Блоги экспертов по информационной безопасности
ГосСОПКА к нам приходит. Ко всем приходит.

 

   Законопроект № 1070431-7 О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности выглядит как специализированный и не предвещающий серьезных изменений в жизни всех организаций страны. https://sozd.duma.gov.ru/bill/1070431-7

   И действительно, в три федеральных закона вносятся правки, направленные на защиту информации о конкретной группы лиц и вполне обоснованно и аргументировано.

   Но ситуация с предлагаемыми изменениями в 152-ФЗ О персональных данных совсем другая.

   В пояснительной записке к законопроекту информация о защищаемых лицах упоминается:

Дополнительной гарантией обеспечения безопасности персональных данных защищаемых лиц выступает устанавливаемая законопроектом мера по организации взаимодействия операторов информационных систем персональных данных с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации.

  Смотрим сам законопроект:

Статья 4

Внести в часть 2 статьи 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2011, № 31, ст. 4701) следующие изменения:

1) пункт 6 дополнить словами «, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них»;

2) пункт 9 дополнить словами «, включая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации».

    Вот так будут выглядеть требования 152-ФЗ после принятия закона:
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
2. Обеспечение безопасности персональных данных достигается, в частности:
6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данныхвключая организацию и осуществление взаимодействия с государственной системой обнаружения, предупреждения и ликвидации компьютерных атак на информационные ресурсы Российской Федерации
   Нет никаких исключений. Все операторы ПДн и все операторы ИСПДн будут обязаны выполнять эти меры защиты. Вне зависимости от наличия обработки информации о защищаемых лицах.
Все это ВСЕ, поскольку это не только организации, внесенные в реестр РКН как операторы ПДн.

  РКН недавно уделил значительное время освещению этого вопроса — https://valerykomarov.blogspot.com/2020/12/2020.html
    Рассмотрение законопроекта в Госдуме запланировано на 15 декабря 2020 года
включить указанный законопроект в проект порядка работы Государственной Думы на 15 декабря 2020 года для рассмотрения в первом чтении.

   И в правовом управлении не видят необходимости запрашивать заключение от Правительства РФ
необходимости получения на данный законопроект заключения Правительства Российской Федерации не усматривается. 

   В настоящий момент времени, ГосСОПКА описана только в законодательстве по обеспечению безопасности критической информационной инфраструктуры. И подзаконные акты к 187-ФЗ определяют деятельность субъектов КИИ, причем в зависимости от категории значимости.
  Что предлагается выполнить законопроектом и какими НПА это будет описано для операторов ПДн не понятно.
   Напомню, что по 152-ФЗ Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
   Какой смысл вкладывал авторский коллектив в взаимодействие с ГосСОПКА не понятно, а правовых оснований для разработки новых НПА по разъяснению этих требований в законопроект не заложено. 
   Неуже ли хотят заставить ФСБ подписать с каждым юрлицом и ИП  страны — 
РЕГЛАМЕНТ взаимодействия подразделений Федеральной службы безопасности
Российской Федерации при осуществлении информационного обмена в области обнаружения,
предупреждения и ликвидации последствий компьютерных атак?

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube — канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite


Источник — Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова “Рупор бумажной безопасности”.

Валерий Комаров

Об авторе Валерий Комаров

Блог о нюансах и особенностях законодательства в области информационной безопасности Валерия Комарова "Рупор бумажной безопасности"
Читать все записи автора Валерий Комаров

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *