Листок бюрократической защиты информации
@bursec
Площадка для больших текстов одноименного Telegram-канала: t.me/bureaucraticsecurity
17 posts

Инциденты, связанные с персональными данными

Одним из ключевых нововведений Федерального закона от 14.07.2022 № 266-ФЗ, который обозначил реформу в сфере персональных данных в Российской Федерации, явилось закрепление обязанности работы операторов с инцидентами, связанными с персональными данными (обозначение, кстати, условное). Законодатель выделил два типа событий, являющихся инцидентами: 1. Компьютерный инцидент, повлекший неправомерную передачу (предоставление, распространение, доступ) персональных данных (Компьютерный инцидент с персональными данными). 2. Факт неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекший нарушение прав субъектов персональных данных (Инцидент с персональными данными).

Основные мероприятия операторов ПДн к 01.09.2022

С 1 сентября 2022 года начинают действовать законодательные нововведения, затрагивающих процессы организации обработки и защиты персональных данных. Речь, разумеется, идет о нашумевших изменениях в Федеральных закон «О персональных данных» и в Федеральный закон «Об информации, информационных технологиях и о защите информации». На момент публикации этой заметки у операторов есть еще месяц переходного периода, чтобы подготовиться к надлежащему обеспечению соблюдения законодательства Российской Федерации.

Новые ГОСТы по ИБ

Сегодня (30.11.2021) вводятся в действие следующие ГОСТы, связанные с информационной безопасностью:

Чек-лист по подзаконникам к 152-ФЗ в послереформенной редакции

Для надлежащего выполнения операторами персональных данных некоторых новых требований Федерального закона «О персональных данных», обусловленных принятием Федерального закона от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности», Правительство Российской Федерации, Роскомнадзор и ФСБ России обязаны подготовить ряд подзаконных нормативных правовых актов (ожидалось, что к 01.09.2022, но, увы).

Требования по аккредитации для осуществления аутентификации

Требования к аккредитации организаций, заявляющих необходимость осуществления аутентификации с использованием биометрических персональных данных:

Требования по аккредитации для осуществления идентификации

Требования к аккредитации организаций, заявляющих необходимость осуществления идентификации и (или) идентификации и аутентификации с использованием биометрических персональных данных:

Страсти по биометрии

В настоящее время буквально отовсюду можно слышать про внедрение информационной технологии или про очередной государственный проект, которые уже используют или будут использовать биометрические персональные данные. Новостные ленты не отстают и тоже пестрят соответствующими заголовками. Системы контроля и управления доступом, обрабатывающие биометрические персональные данные, для некоторых представляются обыденностью. Не обходят стороной биометрические технологии и системы информационной безопасности. Иными словами, представляется, что сферы применения биометрии будут только расширяться.

Перечень инициативных случаев взаимодействия оператора ПДн с органами власти по 152-ФЗ

В связи с принятием изменений в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности») значительно расширяется круг случаев, когда оператор персональных данных обязан по собственной инициативе взаимодействовать с некоторыми органами государственной власти.

Состав мероприятий по выполнению Инструкции 152 ФАПСИ

Состав мероприятий по выполнению Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утвержденной приказом ФАПСИ от 13.06.2001 № 152 (Далее — «Инструкция 152 ФАПСИ»).