Доля законов по регулированию биометрии достигла отметки в 25%, сообщили эксперты компании InfoWatch.
В ходе мониторинга открытых источников специалисты экспертно-аналитического центра ГК InfoWatch проанализировали более 30 тыс. документов и их проектов, которые были опубликованы в период с начала 2021 по конец 2023 г. Результаты работы стали основой исследования «Нормативные правовые акты в сфере информационной безопасности и цифровой экономики. Итоги 2021–2023 гг.».
Рейтинг актов
В прошлом году было принято 187 нормативных правовых актов, касающихся регулирования ИБ, цифровой экономики, в том числе ИТ-сферы, что значительно (на 31%) меньше показателя 2022 г.
Как и в предыдущие периоды, большая часть новых регулирующих документов (35%) касались цифровой экономики. На второй позиции в рейтинге активности законодателей – персональные данные (включая биометрические), доля которых по сравнению с 2022 г. увеличилась на 14 процентных пунктов, достигнув 25%.
По мнению авторов исследования, резкое изменение структуры связано с получением Единой биометрической системой статуса государственной – ее работа потребовала нормативного регулирования, которое должно обеспечить безопасность хранения и обработки персональных данных. Доля нормативных актов по ИБ третья по величине – она составила 20%.
«На четвертом месте оказались нормативные правовые акты, посвященные безопасности КИИ – их доля составляет 8% от всех принятых документов, что на 2 процентных пункта больше, чем в 2022 году. Заметный рост внимания к данной проблеме в последние два года мы связываем с обострением политической обстановки и началом СВО, в результате чего многие российские объекты КИИ подверглись массированным кибератакам», – отметила главный аналитик-эксперт экспертно-аналитического центра ГК InfoWatch Дарья Пырина.
Активность законодателей
Специалисты проанализировали также активность различных законодательных органов. В 2023 г. лидерство по количеству изданных документов сохранило Правительство РФ. При этом доля документов, принятых Кабинетом министров, значительно снизилась по сравнению с 2022 г. – с 64,6% до 38,5%. Произошло это за счет увеличения доли документов, разработанных ФСТЭК России, Советом Федерации, Банком России и др.
Всего за последние три года в России было принято 748 документов, регулирующих сферу ИБ, процесс обработки персональных данных, ИТ и цифровую экономику в целом.
Инициативы регуляторов
Среди основных инициатив 2023 г., направленных на регулирование ИБ-сферы, аналитики отметили следующие:
- С 1 октября 2023 г. вступил в силу обновленный стандарт правил информационного обмена о кибератаках и инцидентах ИБ в финансовой сфере. Благодаря этому Банк России начал получать данные обо всех участниках мошеннических переводов.
- Банк России предложил проект ведомственного документа о требованиях к обеспечению защиты информации для участников платформы цифрового рубля, включающих использование усиленной неквалифицированной электронной подписи (УНЭП) и дополнительной защиты банковских приложений. Их исполнение должно обеспечить целостность и конфиденциальность данных в процессе применения этой формы российской валюты.
Объекты КИИ и импортозамещение
В части защиты объектов КИИ и импортозамещения в отчете приведена следующая информация:
- В соответствии с Постановлением Правительства РФ от 14.11.2023 № 1912 до начала 2030 г. субъектам КИИ предписано перейти на преимущественное использование доверенных программно-аппаратных комплексов.
- Распоряжением Правительства РФ от 04.02.2023 № 242-р внесены уточнения в перечень ПО, которое необходимо предварительно устанавливать на определенные виды сложных технологических решений.
- В перечнях Минтранса и Минэнерго установлены все объекты КИИ, которые функционируют в соответствующих отраслях.
Персональные данные
Значимые нововведения появились в области хранения и использования персональных данных (включая биометрические):
- В соответствии с Федеральным законом № 589 статья 13.11 КоАП РФ дополнена частью 3, посвященной биометрическим данным. Предусмотрена ответственность за нарушение процессов размещения и обновления этого типа персональных данных – установлены штрафы для должностных и юридических лиц.
- В марте 2023 г. постановлениями Правительства РФ № 405 и 478 утверждены формы согласия и отказа физического лица от размещения его данных в единой биометрической системе.
- Три постановления касаются регулирования передачи персональных данных в другие страны во исполнение требований 266-ФЗ от 14.07.2022. В частности, установлены правила, согласно которым компании обязаны заранее уведомлять Роскомнадзор о запланированной трансграничной передаче данных (исключения составляют государственные органы с международными функциями и те из них, деятельность которых связана с наукой, образованием, спортом и проведением платежей). При этом регулятор вправе ограничить эти действия для компании либо страны по запросу силовых структур.
Продолжительное санкционное давление на многие секторы российской экономики стимулирует внедрение мер поддержки отечественных ИБ- и ИТ-индустрий. Развитие этих сегментов требует пересмотра нормативной базы и ускоренного внедрения новых законодательных актов.
В исследовании ГК InfoWatch отражены основные тренды отраслевого законодательства, приведены примеры документов, оказавших наибольшее влияние на его трансформацию для противостояния санкционному давлению и актуальным рискам информационной безопасности, с которыми российские организации столкнулись за последние три года.
