Infowatch опубликовал данные исследования в сфере регулирования ИБ и ИТ

Согласно документу, в прошлом году было принято всего 187 нормативных правовых актов, касающихся регулирования ИБ, цифровой экономики, в т.ч. IT, что значительно (на 31%) меньше показателя 2022 года.

Как и в предыдущих периодах, большая часть новых регулирующих документов была принята в сфере цифровой экономики – их доля составила 35%. Сразу следом за ними в рейтинге активности законодателей идут персональные данные (включая биометрические), доля которых по сравнению с 2022 годом увеличилась на 14 процентных пунктов, достигнув 25%. Согласно мнению авторов исследования, это резкое изменение структуры было связано с получением Единой биометрической системой статуса государственной – ее работа потребовала нормативного регулирования, которое должно обеспечить безопасность хранения и обработки персональных данных. Доля нормативных актов по ИБ третья по величине – она составила 20%.

«На четвертом месте оказались нормативные правовые акты, посвященные безопасности КИИ – их доля составляет 8% от всех принятых документов, что на 2 процентных пункта больше, чем в 2022 году. Заметный рост внимания к данной проблеме в последние два года мы связываем с обострением политической обстановки и началом СВО, в результате чего многие российские объекты КИИ подверглись массированным кибератакам», - отметила главный аналитик-эксперт экспертно-аналитического центра ГК InfoWatch Дарья Пырина.

Проанализировали специалисты и активность различных законодательных органов. Так, в 2023 году лидерство по количеству принятых документов за собой сохранило Правительство РФ. При этом доля документов, которые приняло Правительство, значительно упала по сравнению с 2022 годом - с 64,6% до 38,5%. Произошло это за счет увеличения доли документов, разработанных ФСТЭК России, Советом Федерации, Банком России и др.

Всего за последние три года в России было принято 748 документов, регулирующих сферу ИБ, процесс обработки персональных данных, IT и цифровую экономику в целом.

Среди главных инициатив 2023 года, направленных на регулирование ИБ-сферы, аналитики отметили следующие:

• С 1 октября 2023 года вступил в силу обновленный стандарт правил информационного обмена о кибератаках и инцидентах ИБ в финансовой сфере, благодаря которому Банк России начал получать данные обо всех участниках мошеннических переводов.
• Банк России предложил проект ведомственного документа о требованиях к обеспечению защиты информации для участников платформы цифрового рубля, включающих использование усиленной неквалифицированной электронной подписи (УНЭП) и дополнительной защиты банковских приложений. Их исполнение должно обеспечить целостность и конфиденциальность данных во время использования этой формы российской валюты.

В части защиты объектов КИИ и импортозамещения в отчете приведена следующая информация:

• В соответствии с Постановлением Правительства РФ от 14.11.2023 № 1912, до начала 2030 года субъектам КИИ предписано перейти на преимущественное использование доверенных программно-аппаратных комплексов.
• Распоряжением Правительства РФ от 04.02.2023 № 242-р были сделаны уточнения в перечень ПО, которое необходимо предварительно устанавливать на определенные виды сложных технологических решений.
• В перечнях Минтранса и Минэнерго были установлены все объекты КИИ, которые функционируют в соответствующих отраслях.

Также значимые нововведения появились в области хранения и использования персональных данных (включая биометрические):

• Принят ФЗ №589, согласно которому в КоАП РФ была добавлена 3 часть статьи 13.11, посвященная биометрическим данным. Таким образом была установлена ответственность за нарушение процессов размещения и обновления этого типа персональных данных с установлением штрафов для должностных и юридических лиц.
• В марте 2023 года постановлениями Правительства РФ № 405 и 478 были утверждены формы согласия и отказа физического лица от размещения его данных в единой биометрической системе.
• Были опубликованы три постановления для регулирования передачи персональных данных в другие страны во исполнение требований 266-ФЗ от 14.07.2022 г. В частности, ими были установлены правила, согласно которым компании будут обязаны заранее уведомлять Роскомнадзор о запланированной трансграничной передаче данных (исключения составляют государственные органы с международными функциями и те из них, деятельность которых связана с наукой, образованием, спортом и проведением платежей). При этом регулятор в праве ограничить эти действия для компании либо страны по запросу силовых структур.

Таким образом, в исследовании ГК InfoWatch были отражены все основные тренды отраслевого законодательства, а также приведены примеры документов, оказавших наибольшее влияние на его трансформацию для противостояния санкционному давлению и актуальным рискам информационной безопасности, с которыми российские организации столкнулись за последние три года.