За последнюю неделю Правительство приняло аж целых три нормативных акта, которые направлены на снижение прозрачности российских компаний и введение новых форм конфиденциальных сведений, требующих защиты:
- Постановление от 15 января 2018 года №5 "Об определении случаев, при которых отдельные сведения, указанные в пункте 7 статьи 71 Федерального закона "О государственной регистрации юридических лиц и индивидуальных предпринимателей", не подлежат размещению в информационно-телекоммуникационной сети "Интернет", а также лиц, в отношении которых указанные сведения не подлежат размещению в информационно-телекоммуникационной сети "Интернет". На фоне санкций государство защищает российский бизнес от необходимости публиковать о себе информацию, которая может быть использована во вред владельцам. Хотя на мой взгляд, это делается не только для этого, но и для того, чтобы сделать компании менее прозрачными.
- Постановление от 15 января 2018 года №10 "Об определении случаев освобождения акционерного общества и общества с ограниченной ответственностью от обязанности раскрывать и (или) предоставлять информацию, касающуюся крупных сделок и (или) сделок, в совершении которых имеется заинтересованность". Причина принятия нормативного акта аналогична предыдущей.
- Постановление от 18.01.2018 №21 "О внесении изменений в Правила взаимодействия организаторов распространения информации в информационно-телекоммуникационной сети "Интернет" с уполномоченными государственными органами, осуществляющими оперативно-разыскную деятельность или обеспечение безопасности Российской Федерации". Правительство запрещает всем организаторам информации раскрывать любые факты взаимодействия с ФСБ по поводу оперативно-разыскных мероприятий.
Особо комментировать тут нечего - тенденция по снижению прозрачности налицо.
6 коммент.:
>> Правительство запрещает всем организаторам информации раскрывать любые факты взаимодействия с ФСБ по поводу оперативно-разыскных мероприятий.
а какова ответственность в случае нарушения?
Да вроде никакой :-)
"Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ (ред. от 31.12.2017)
УК РФ Статья 283. Разглашение государственной тайны
1. Разглашение сведений, составляющих государственную тайну, лицом, которому она была доверена или стала известна по службе, работе, учебе или в иных случаях, предусмотренных законодательством Российской Федерации, если эти сведения стали достоянием других лиц, при отсутствии признаков преступлений, предусмотренных статьями 275 и 276 настоящего Кодекса, -
наказывается арестом на срок от четырех до шести месяцев либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
2. То же деяние, повлекшее по неосторожности тяжкие последствия, -
наказывается лишением свободы на срок от трех до семи лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет.
Сведения об ОРД относятся к гос. тайне.
Кстати. С 1 января 2018 года действуют ФЗ № 187 и ФЗ № 193. Последний внес изменения в ФЗ "О государственной тайне". Сведения о мерах по обеспечению безопасности объектов КИИ РФ и компьютерных инцидентах теперь относятся к гос. тайне. Но подзаконные НПА еще не зарегистрированы. Поэтому: 1) не ясно какие объекты будут отнесены к КИИ РФ и 2) какие именно сведения будут отнесены к ГТ (в целом по КИИ РФ или по конкретному объекту КИИ). Таким образом, любой потенциальный субъект КИИ РФ, который после 1 января 2018 года передаст третьему лицу, например, аудитору, сведения о системе безопасности информации или инцидентах ИБ, потенциально рискует сесть, потому что сведения могут быть отнесены к КИИ РФ, что покажет регистрации соответствующих НПА в Минюсте. Правовая коллизия имеется, но защиту ГТ никто не отменял. Рекомендую потенциальным субъектам КИИ РФ ввести временный мораторий на все внешние и внутренние аудиты с вопросами проверки ИБ.
Указ Президента РФ № 98 о внесении изменений в Перечень сведений относимых к государственной тайне в части объектов КИИ РФ приняли. Но неоднозначность осталась:
1. Относятся сведения об одном объекте КИИ к ГТ?
2. Относятся сведения обо всех объектах КИИ одного субъекта КИИ к ГТ?.
3. Относятся сведения о компьютерных инцидентах к ГТ?
4. Меры защиты информации на объектах КИИ указанные в проекте приказа ФСТЭК России тоже относятся к ГТ или по факту их выбора для реализации?
5. Техническая и эксплуатационная документация на систему безопасности объекта КИИ ГТ?
Без официального запроса регулятору (вероятно ФСТЭК и ФСБ России?) риски не снять. Что можно отдавать аудитору в части вопросов ИБ?
Отправить комментарий