Резкое увеличение интенсивности кибератак в начале 2022 г. заставило государство и бизнес пересмотреть свое отношение к информационной безопасности, в результате чего ускорился процесс внесения соответствующих изменений в нормативную базу. Специалисты экспертно-аналитического центра ГК InfoWatch изучили данные инициативы, проанализировав более тысячи документов, размещенных в официальных источниках. Полученные результаты легли в основу исследования «Нормативные правовые акты в сфере информационной безопасности и цифровой экономики по итогам 2021-2022 гг.».
Интенсивное законотворчество
В целом за 2022 г. было принято 257 нормативных правовых актов, касающихся регулирования сфер ИБ, ИТ и цифровой экономики в целом, что в количественном отношении на 11,6% меньше по сравнению с предыдущим периодом. Традиционно львиная доля нововведений касалась сферы цифровой экономики, нормативная база которой менялась более чем в половине случаев (51,8%). Информационная безопасность по активности законодателей оказалась на втором месте с долей в 20,6%, а замыкает тройку лидеров категория «Биометрия и персональные данные» (10,9%). Заметные доли в 2022 году также получила безопасность КИИ (5,8%), и импортозамещение – 4,7%.
«Количество принятых НПА в сфере информационной безопасности по сравнению с прошлым годом увеличилось почти на четверть (с 15,7% до 20,6%), а в области безопасности КИИ - почти вдвое (с уровня в 3,1% до 5,8%). Мы связываем это со значительным обострением геополитической обстановки и началом СВО, когда множество объектов КИИ, принадлежащих российским организациям, стали подвергаться массированным кибератакам. Таким образом, многие новые документы принимались в ускоренном порядке и в условиях близких к экстремальным – даже несмотря на то, что тренд на обеспечение технологической независимости РФ и защиты критически важной инфраструктуры играл значимую роль в прошлые годы», - отметил руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов.
Большинство (67,7%) законодательных актов в 2022 г. было принято Правительством РФ, а на долю Президента России и Минцифры приходятся 10,5% и 8,6% документов соответственно.
В числе наиболее значимых инициатив, принятых в 2022 г. в области информационной безопасности, специалисты выделяют следующие:
- 17 января 2022 г. Президент Российской Федерации подписал указ, согласно которому Минобороны наделяется полномочиями по определению политики в области международной информационной безопасности.
- ФСБ России расширило список информации, которая может быть использована иностранными организациями против безопасности Российской Федерации – в частности, теперь в перечень вошли сведения об объектах КИИ.
В части безопасность КИИ и импортозамещения важнейшими документами стали указы Президента РФ:
- Указ от 30 марта 2022 г. № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», запрещающий закупку иностранного ПО для использования на значимых объектах КИИ РФ без согласования с уполномоченным органом.
- Указ от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», обязующий организации сформировать отдельные структурные подразделения, отвечающие за соблюдение ИБ. Также этим указом был введен запрет на использование средств защиты информации, странами происхождения которых являются недружественные иностранные государства - с 1 января 2025 г.
Важные изменения также коснулись действий с персональными и биометрическими данными:
- Госдума приняла поправки о запрете принудительного сбора персональных данных в закон «О защите прав потребителей». Инициатива направлена на защиту граждан от безосновательного сбора персональной информации компаниями, поставляющими товары и услуги.
- 14 июля 2022 г. был подписан закон №325-ФЗ «О внесении изменений в статьи 14 и 14-1 Федерального закона "Об информации, информационных технологиях и о защите информации" и статью 5 Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации». Он обязывает организации передавать все получаемые биометрические данные в единую биометрическую систему. Ее создание и функционирование было также регламентировано в постановлениях Правительства РФ от 16 июня №1089 и №1066 и № 1067 от 15 июня 2022 г.
Отдельное внимание законодатели уделили технологиям искусственного интеллекта, применение которого повышает эффективность современного ПО:
- В апреле 2022 г. из-за обострения геополитической обстановки и усиления западных санкций Правительство увеличило поддержку компаний, разрабатывающих системы ИИ. Минцифры вместе с Минэкономразвития России планируют создать программу их внедрения в важнейшие отрасли экономики. Принимаемые меры включают поддержку отечественных научных исследований и разработок, формирование соответствующей системы правового регулирования и повышение обеспеченности российского рынка труда профессионалами в области ИИ.
- В конце 2022 г. Президент России дал поручения Правительству относительно развития сферы ИИ на 2023 г. Они включают требования к получателям выделяемых субсидий по использованию систем искусственного интеллекта и других современных технологий.
Аналитический список ключевых документов, принятых в 2022 г, заканчивается законодательными актами, касающимися «суперреестров» населения:
- Согласно указу Президента РФ №854 «О государственном информационном ресурсе, содержащем сведения о гражданах, необходимые для актуализации документов воинского учета», в единой базе будут содержаться персональные данные о гражданах, состоящих на воинском учете, включая информацию об их имуществе, состоянии здоровья, месте работы и т.д.
- С 1 января 2023 г. персональные данные Единого федерального информационного регистра стали доступны органам власти через систему межведомственного взаимодействия.
Увеличение оборотных штрафов за утечки и налоги с оборота криптовалют – на повестке дня
«Если говорить о предложенных законопроектах, то по их абсолютному количеству прошлый год на 33% уступает 2021 г. – на обсуждение было вынесено всего лишь 147 нормативных актов. При этом пик активности пришелся на 4 квартал – в его рамках началось рассмотрение 51 проекта», - рассказал Михаил Смирнов.
Согласно материалам исследования, больше всего инициатив в 2022 г. было предложено на тему регулирования цифровой экономики (34%), на втором месте расположились биометрия и персональные данные с долей в 21,1%, на третьем – законодательные акты в сфере импортозамещения (15% от общего количества).
В числе наиболее значимых инициатив аналитики отмечают:
- Проект приказа ФСТЭК «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235».
- Проект основ государственной политики в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
- Подготовка законопроекта о введении оборотных штрафов за утечки персональных данных клиентов, подразумевающий увеличение штрафа за инцидент с 1% от её годового оборота до 3% - в случае, если организация не проинформирует Роскомнадзор об утечке в течение одних суток. Причина ужесточения - ряд серьезных утечек данных граждан России (в частности, инцидент с сервисом «Яндекс.Еда», в результате которого были скомпрометированы данные 6 млн его пользователей).
- Минцифры России предложило проекты постановлений, регулирующих трансграничную передачу персональных данных во исполнение 266-ФЗ от 14 июля 2022 г. Теперь компании будут обязаны уведомить Роскомнадзор о планах на отправку информации через границу, а ведомство сможет ограничивать передачу данных при достаточном обосновании от Минобороны, ФСБ России, МИД России и других органов власти.
- Предложены требования по оценке ущерба субъектам персональных данных, которую будет проводить оператор ПДн (инициатива была принята 29 ноября 2022 г.).
- В Госдуму внесен законопроект, регламентирующий условия использования цифровых криптовалют, что позволит государству получать налоги с их оборота.