За последнее время произошло несколько изменений на нормотворческой ниве, которые я решил свести воедино:
- Законопроект, о котором я писал, и который вносил правки в ФЗ-152, наделяя РКН правом выпускать документы по порядку проведения надзора и контроля, удалили с сайта regulations.gov.ru. От слова совсем! Так до сих пор законность деятельности РКН по надзору в сфере ПДн и висит в воздухе - оснований для проведения проверок у них как не было, так и нет.
- Законопроект, о котором говорилось на конференции ФСТЭК и который, за счет изменений ст.16 ФЗ-149, расширяет сферу действия требований ФСТЭК не только на ГИС, но и на остальные информационные системы, обрабатывающие информацию, обладателями которой являются госорганы и госкорпорации (например, Ростех, Росатом или Роскосмос). Помимо этого, данный законопроект устанавливает обязательное требование информировать ФСТЭК и ФСБ об инцидентах в госорганах и госкорпорациях. Это будет третий случай в российской истории, когда на законодательном уровне устанавливается необходимость сообщать об инцидентах ИБ (после требований ЦБ в рамках НПС и требований для объектов ТЭК).
- Банк России ввел в действие с 1-го мая 2016 года новые рекомендации по стандартизации, посвященные выявлению и предотвращению утечек информации (РС 2.9).
- Банк России начал процедуру рассмотрения новых рекомендаций по стандартизации "Квалификационные требования к специалистам по информационной безопасности организаций кредитно-финансовой сферы Российской Федерации". Интересно, что в первоначальном плане работ ТК122 этого документа не было. Как и документа "Обеспечение длительного архивного хранения электронных юридически значимых документов с сохранением свойств аутентичности, целостности, достоверности, пригодности для использования и юридической значимости", проект которого тоже уже подготовлен.
- Нашумевший законопроект Яровой о хранении всех данных по всем пользователям на территории России в течение 3-х лет. Понятно, что законопроект разработан для борьбы с терроризмом (а с чем же еще?). Понятно, что депутаты мало понимают в предмете регулирования. Посмотрим, что будет принято в финале.
- ФСБ приказом №182 (в Консультант+) утвердила Административный регламент по лицензионному контролю тех, кто разрабатывает, производит и распространяет шифровальные средства.
- PCI Council принял все-таки новый PCI DSS 3.2. Изменения не то, чтобы значительные, но судя по ним можно сделать вывод, что 4-й версии PCI DSS ждать раньше 2018-го года уже не придется.
Законопроект, который вносил правки в ФЗ-152, наделяя РКН правом выпускать документы по порядку проведения надзора и контроля не удален. У проекта видимо сменили номер.
ОтветитьУдалитьСейчас проект здесь: http://regulation.gov.ru/projects#npa=47123
Этот законопроект не наделяет РКН правом определять порядок надзора по ПДн. Это право закреплено за Минкомсвязью: "Уполномоченным органом, ответственным за установление порядка осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов, является федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных".
ОтветитьУдалить