Резкое увеличение интенсивности кибератак в начале 2022 года заставило государство и бизнес пересмотреть свое отношение к информационной безопасности, в результате чего ускорился процесс внесения соответствующих изменений в нормативную базу. Специалисты экспертно-аналитического центра ГК InfoWatch изучили данные инициативы, проанализировав более тысячи документов, размещенных в официальных источниках. Полученные результаты легли в основу исследования «Нормативные правовые акты в сфере информационной безопасности и цифровой экономики по итогам 2021-2022 года», основные положения которого в данном материале.
Экстремальное законодательство
В целом за 2022 год было принято 257 нормативных правовых актов, касающихся регулирования сфер ИБ, ИТ и цифровой экономики в целом, что в количественном отношении на 11,6% меньше по сравнению с предыдущим периодом. Традиционно львиная доля нововведений касалась сферы цифровой экономики, нормативная база которой менялась более чем в половине случаев (51,8%). Информационная безопасность по активности законодателей оказалась на втором месте с долей в 20,6%, а замыкает тройку лидеров категория «Биометрия и персональные данные» (10,9%). Заметные доли в 2022 году также получила безопасность КИИ (5,8%), и импортозамещение – 4,7%.
«Количество принятых НПА в сфере информационной безопасности по сравнению с прошлым годом увеличилось почти на четверть (с 15,7% до 20,6%), а в области безопасности КИИ - почти вдвое (с уровня в 3,1% до 5,8%). Мы связываем это со значительным обострением геополитической обстановки и началом СВО, когда множество объектов КИИ, принадлежащих российским организациям, стали подвергаться массированным кибератакам. Таким образом, многие новые документы принимались в ускоренном порядке и в условиях близких к экстремальным – даже несмотря на то, что тренд на обеспечение технологической независимости РФ и защиты критически важной инфраструктуры играл значимую роль в прошлые годы», - отметил руководитель экспертно-аналитического центра ГК InfoWatch Михаил Смирнов.
Большинство (67,7%) законодательных актов в 2022 году было принято Правительством РФ, а на долю Президента России и Минцифры приходятся 10,5% и 8,6% документов соответственно.
В числе наиболее значимых инициатив, принятых в 2022 году в области информационной безопасности, специалисты выделяют следующие:
- 17 января 2022 Президент Российской Федерации подписал указ, согласно которому Минобороны наделяется полномочиями по определению политики в области международной информационной безопасности.
- ФСБ России расширило список информации, которая может быть использована иностранными организациями против безопасности Российской Федерации – в частности, теперь в перечень вошли сведения об объектах КИИ.
- В части безопасность КИИ и импортозамещения важнейшими документами стали указы Президента РФ:
- Указ от 30 марта 2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», запрещающий закупку иностранного ПО для использования на значимых объектах КИИ РФ без согласования с уполномоченным органом.
- Указ от 1 мая 2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», обязующий организации сформировать отдельные структурные подразделения, отвечающие за соблюдение ИБ. Также этим указом был введен запрет на использование средств защиты информации, странами происхождения которых являются недружественные иностранные государства - с 1 января 2025 года.
Важные изменения также коснулись действий с персональными и биометрическими данными:
- Госдума приняла поправки о запрете принудительного сбора персональных данных в закон «О защите прав потребителей». Инициатива направлена на защиту граждан от безосновательного сбора персональной информации компаниями, поставляющими товары и услуги.
- 14 июля был подписан закон №325-ФЗ «О внесении изменений в статьи 14 и 14-1 Федерального закона "Об информации, информационных технологиях и о защите информации" и статью 5 Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации». Он обязывает организации передавать все получаемые биометрические данные в единую биометрическую систему. Ее создание и функционирование было также регламентировано в постановлениях Правительства РФ от 16 июня №1089 и №1066 и № 1067 от 15 июня.
Отдельное внимание законодатели уделили технологиям искусственного интеллекта, применение которого повышает эффективность современного ПО:
- В апреле 2022 года из-за обострения геополитической обстановки и усиления западных санкций Правительство увеличило поддержку компаний, разрабатывающих системы ИИ. Минцифры вместе с Минэкономразвития России планируют создать программу их внедрения в важнейшие отрасли экономики. Принимаемые меры включают поддержку отечественных научных исследований и разработок, формирование соответствующей системы правового регулирования и повышение обеспеченности российского рынка труда профессионалами в области ИИ.
- В конце прошлого года Президент России дал поручения Правительству относительно развития сферы ИИ на 2023 год. Они включают требования к получателям выделяемых субсидий по использованию систем искусственного интеллекта и других современных технологий.
Аналитический список ключевых документов, принятых в 2022 году, заканчивается законодательными актами, касающимися «суперреестров» населения:
- Согласно указу Президента РФ №854 «О государственном информационном ресурсе, содержащем сведения о гражданах, необходимые для актуализации документов воинского учета», в единой базе будут содержаться персональные данные о гражданах, состоящих на воинском учете, включая информацию об их имуществе, состоянии здоровья, месте работы и т.д.
- С 1 января 2023 года персональные данные Единого федерального информационного регистра стали доступны органам власти через систему межведомственного взаимодействия.
Увеличение оборотных штрафов за утечки и налоги с оборота криптовалют – на повестке дня
«Если говорить о предложенных законопроектах, то по их абсолютному количеству прошлый год на 33% уступает 2021 году – на обсуждение было вынесено всего лишь 147 нормативных актов. При этом пик активности пришелся на 4 квартал – в его рамках началось рассмотрение 51 проекта», - рассказал Михаил Смирнов.
Согласно материалам исследования, больше всего инициатив в 2022 году было предложено на тему регулирования цифровой экономики (34%), на втором месте расположились биометрия и персональные данные с долей в 21,1%, на третьем – законодательные акты в сфере импортозамещения (15% от общего количества).
В числе наиболее значимых инициатив аналитики отмечают:
- Проект приказа ФСТЭК «О внесении изменений в Требования к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 21 декабря 2017 г. № 235».
- Проект основ государственной политики в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации.
- Подготовка законопроекта о введении оборотных штрафов за утечки персональных данных клиентов, подразумевающий увеличение штрафа за инцидент с 1% от её годового оборота до 3% - в случае, если организация не проинформирует Роскомнадзор об утечке в течение одних суток. Причина ужесточения - ряд серьезных утечек данных граждан России (в частности, инцидент с сервисом «Яндекс.Еда», в результате которого были скомпрометированы данные 6 млн его пользователей).
- Минцифры России предложило проекты постановлений, регулирующих трансграничную передачу персональных данных во исполнение 266-ФЗ от 14.07.2022. Теперь компании будут обязаны уведомить Роскомнадзор о планах на отправку информации через границу, а ведомство сможет ограничивать передачу данных при достаточном обосновании от Минобороны, ФСБ России, МИД России и других органов власти.
- Предложены требования по оценке ущерба субъектам персональных данных, которую будет проводить оператор ПДн (инициатива была принята 29 ноября 2022 года).
- В Госдуму внесен законопроект, регламентирующий условия использования цифровых криптовалют, что позволит государству получать налоги с их оборота.