ГосСОПКА уже на пороге.
5 июля прошло второе чтение законопроекта. Появилась новая редакция, включая и взаимодействие с ГосСОПКА. 6 июля принято Госдумой в третьем чтении. Остался Совет Федерации и Президент.
Ранее https://valerykomarov.blogspot.com/2022/05/blog-post.html
К сожалению, изменения недостаточные.
Уточнения про ИСПДн, учет уровней защищенности по ПП1119,
гармонизации терминологии и понятийного аппарата — не произошло.
Финансирование на реализацию требований и внесение изменений
в 187-ФЗ не предусмотрено.
Более того, ведь нет даже понимания количества операторов ПДн в стране.
Вот на сегодня в Реестре РКН содержатся сведения о 440 142 операторах персональных данных! https://pd.rkn.gov.ru/operators-registry/operators-list/
При этом только юридических лиц в РФ около 7 000 000 организаций. И РКН считает, что они все операторы ПДн.
Ситуация аналогичная с оценкой количества субъектов КИИ — https://zen.yandex.ru/media/id/5c7b7864fa818600ae3856a1/62bc04fcfedcbc24a89a82b2
и даже хуже, поскольку по 152-ФЗ оператором ПДн могут быть и физические лица.
Очень интересно посмотреть будет, как НКЦКИ представляет взаимодействие с 8 000 000 операторов ПДн страны.
Скорее всего примут уже в текущем виде. Ждем вступления в
силу законопроекта и публикацию нового приказа ФСБ об утверждении «Порядка
взаимодействия операторов ПДн с ГосСОПКА».
№ 101234-8
О внесении изменений в Федеральный закон «О персональных
данных», отдельные законодательные акты Российской Федерации и признании
утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и
банковской деятельности» (по вопросам защиты прав субъектов персональных
данных) https://sozd.duma.gov.ru/bill/101234-8#bh_histras
Было:
«12. Оператор обязан
в порядке, определенном федеральным органом исполнительной власти, уполномоченным
в области обеспечения безопасности, обеспечивать
непрерывное взаимодействие с государственной системой обнаружения,
предупреждения и ликвидации последствий компьютерных атак на информационные
ресурсы Российской Федерации, включая информирование о компьютерных инцидентах,
повлекших неправомерные доступ, представление, распространение, передачу
персональных данных.
Стало:
«12. Оператор обязан
в порядке, определенном федеральным органом исполнительной власти,
уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения,
предупреждения и ликвидации последствий компьютерных атак на информационные
ресурсы Российской Федерации, включая информирование его о компьютерных
инцидентах, повлекших неправомерную передачу (предоставление, распространение,
доступ) персональных данных.
Отклоненная поправка:
«12. Оператор информационной системы персональных
данных, являющейся значимым объектом критической информационной инфраструктуры,
обязан в порядке, определенном федеральным органом исполнительной власти,
уполномоченным в области обеспечения безопасности, обеспечивать непрерывное
взаимодействие с государственной системой обнаружения, предупреждения и
ликвидации последствий компьютерных атак на информационные ресурсы Российской
Федерации, включая информирование о компьютерных инцидентах, повлекших
неправомерные доступ, представление, распространение, передачу персональных
данных.».
Раздел Правоприменительная практика по ст.274.1 УК РФ Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации на главной страницы блога — https://valerykomarov.blogspot.com/p/2741.html
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе ЧаВо по КИИ на главной странице блога.
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
