ФСБ дополнила список сведений, представляющих угрозу безопасности

Политика 

17 ноя 2022, 20:47

Дума приняла в третьем чтении закон о запрете на публикацию профессиональной тайны ФСБ без разрешения руководства спецслужбы. РБК разбирался, что это значит и как нововведения повлияют на работу журналистов

ФСБ дополнила список сведений, представляющих угрозу безопасности

16 июля 2022

≈ 5 минут

Россия официально открыла сухопутные границы! Подробная информация в статье — Из России можно выезжать через сухопутную границу с 15 июля.

Куда обратиться с вопросами о пересечении границ?

Сайт Пограничной службы РФ — раздел контакты

Если Вам необходимы контакты Пограничной службы или Посольства другой страны, задайте вопрос в комментариях.

Кому нужно приложение «Путешествую без COVID-19»

С 1 сентября 2021 года иностранные граждане ряда стран должны предъявлять результат ПЦР-теста через мобильное приложение «Путешествую без COVID-19».

Информация о приложении «Путешествую без COVID-19» в вопросах и ответах

Граждане данных стран должны установить «Путешествую без COVID-19»:

  • Армения;
  • Азербайджан;
  • Белоруссия;
  • Казахстан;
  • Киргизия;
  • Молдова;
  • Таджикистан;
  • Туркменистан;
  • Узбекистан.

в подарок на первую покупку страховки

Основания для въезда в Россию

Если страны нет в списке, то прилететь в Россию можно только по особым основаниям, которые также указаны в распоряжении Правительства Российской Федерации от 16 марта 2020 г. No 635-р и от 27 марта 2020 г. No 763-р.

Основания для лиц не имеющих гражданства или права проживания в России

  • Наличие дипломатической или служебной визы;
  • Водители международники и члены экипажей;
  • Сметь близкого родственника;
  • Поездка к членам семьи, которым необходим уход в связи с болезнью;
  • Въезд к членам семьи с российским гражданством или имеющим ВНЖ в России.

Обращаем внимание, что МИД информировал о снятии антиковидного запрета на въезд в Российскую Федерацию для членов семей иностранных граждан, которые имеют ВНЖ.

Кто относится к членам семьи (согласно распоряжению)

Родители, дети, супруги, родные братья, сестры, дедушки, бабушки, внуки, усыновители, усыновленные, опекуны и попечители.

ФСБ дополнила список сведений, представляющих угрозу безопасности

Помимо теста на коронавирус и страховки иностранцы должны предъявить документ, который подтверждает причину въезда. Поскольку чаще всего это наличие родственников в России, то нужны документы на родство.

К кому приходят чаще

ФСБ дополнила список сведений, представляющих угрозу безопасности

PDF-версия таблицы, конечно, удобнее

С 1 июля 2021 года Роскомнадзор перешел на риск-ориентированный подход. Ведомство разделяет компании на категории в зависимости от того, какие данные они обрабатывают, куда пересылают и в каких масштабах. Также играет роль то, какие нарушения закона о персональных данных компания допускала в прошлом.

Частота плановых проверок зависит от «категории риска»:

  • Высокий риск: инспекционный визит или выездная проверка один раз в 2 года.
  • Значительный риск: инспекционный визит или выездная проверка 1 раз в 3 года.
  • Средний риск: инспекционный визит или документарная проверка, или выездная проверка 1 раз в 4 года.
  • Умеренный риск: документарная проверка или выездная проверка 1 раз в 6 лет.

Меньше всего поводов для беспокойства у небольших компаний. Уже больше 5 лет действует мораторий на плановые неналоговые проверки малых предпринимателей. Его ежегодно продляют, и 2022 год не стал исключением.

Штат проверяющих ФСБ и ФСТЭК значительно меньше, во многом поэтому они сосредоточены на субъектах, работающих с государственными информационными системами — государственными и муниципальными организациями. Коммерческие компании попадают в планы проверок реже. Как правило, это происходит, если они обрабатывают биометрические персональные данные и используют единую биометрическую систему.

Графики проверок

Обычно в конце года РКН публикует план проверок на будущий год. В нем указывается дата начала и ожидаемая продолжительность проверки. Графики проверок ФСБ и ФСТЭК в начале года выкладывают на сайте Генеральной прокуратуры. В документах также указывают дату проверки.

В то же время существуют внеплановые проверки. Роскомнадзор обязан предупреждать о внеплановой проверке не менее, чем за 24 часа. На практике проверяющие обычно сообщают о мероприятии примерно за неделю, но такие проверки все равно могут застать врасплох.

ФСБ объявила, как будет проверять безопасность персональных данных в банках

ФСТЭК и ФСБ в случае внеплановой проверки в составе не менее
двух человек могут без предупреждения прийти к операторам персональных данных, включая банки. ФСБ
определила порядок проведения как внеплановых, так и плановых проверок.

Порядок проверки
надзорными органами

ФСБ определила порядок проведения проверок контроля и
надзора за обеспечением безопасности персональных данных (ПД) и применения
средств защиты информации при использовании единой биометрической системы
госорганами, организациями финансового рынка (в том числе банками), ИП,
нотариусами и др. Проект разработанного ФСБ соответствующего постановления
Правительства опубликован на сайте regulation.gov.ru.

Согласно документу, контроль и надзор осуществляются ФСТЭК и
ФСБ путем проведения плановых и внеплановых выездных проверок. Для плановой
проверки создается комиссия в составе не менее трех человек. Срок контрольных
мероприятий не должен превышать 20 рабочих дней. Для внеплановых мероприятий предусмотрено
как минимум два проверяющих, а срок проверки ограничен 10 рабочими днями. Однако
в исключительных случаях, например, при расследованиях срок может затянуться,
но не более чем на 20 рабочих дней, сказано в проекте.

При этом проверка тех операторов, которые используют информсистемы
на правах собственности и аренды, или которым принадлежат эти системы
(Минобороны, Служба внешней разведки, ФСО и Главное управление специальных
программ Президента), проводится по согласованию с руководителями указанных
органов.

Порядок проверок

Согласно проекту постановления, ФСТЭКом и ФСБ при плановых
проверках проверяется соблюдение оператором персональных данных требований по
обеспечению безопасности ПД при их обработке в ИС, а также требований по
использованию средств защиты информации, в том числе средств криптографии. При
внеплановых проверках речь идет также о выполнении предписания органа
госконтроля и проведении мероприятий по предотвращению негативных последствий,
возникших в результате инцидента.

ФСБ берет под контроль защиту ПД банками

Среди оснований для проведения проверки — истечение трех лет
со дня окончания последней плановой проверки. Руководителем органа госконтроля
утверждается ежегодный план проверки до 20 декабря, предшествующего году
проведения плановых проверок. В него входят наименование контролирующего
органа, сведения об операторе ПД, наименование органа, проводящего проверку и
квартал ее проведения. О дате проведения плановой проверки оператор ПД
уведомляется не менее чем за три рабочих дня до ее начала.

Основаниями для внеплановой проверки, согласно
постановлению, являются истечение срока выполнения оператором ПД предписания об
устранении нарушения требований по обеспечению безопасности данных, возникновение
компьютерного инцидента в ИС персональных данных, повлекшего негативные
последствия, приказ контролирующего органа и возникновение угрозы жизни,
здоровью граждан, либо угрозы безопасности государства. О внеплановой проверке
оператор предупреждается не менее чем за 24 часа до ее начала «любым доступным
способом, обеспечивающим возможность подтверждения факта такого уведомления».

Если внеплановая проверка проходит в случае возникновения
инцидента или угрозы жизни, здоровью граждан или безопасности государства, она
может быть проведена незамедлительно.

Алгоритм проверок

Проверка начинается с предъявления служебного удостоверения
должностными лицами и ознакомления руководителя оператора ПД о проведении
проверки, а также предъявления ему под расписку копии приказа о проведении
проверки. Руководитель обязан предоставить проверяющим доступ к документам,
связанным с предметом проверки, а также беспрепятственный доступ на территорию
и к ИС персональных данных.

При этом должностные лица не в праве проверять требования,
которые не относятся к полномочиям контролирующего органа, требовать
представления документов и информации, если они не относятся к предмету
проверки, а также изымать оригиналы таких документов, распространять
информацию, полученную в результате проведения проверки (государственную,
коммерческую, служебную тайну),
превышать установленные сроки, а также выдавать оператору ПД предписания или
предложения о проведении за их счет мероприятий по контролю.

По результатам проверки оформляется акт. Один экземпляр акта
с приложениями вручается руководителю оператора персональных данных. В случае
выявления нарушений, проверяющие выдают предписание об устранении выявленного
нарушения с указанием срока его устранения. Впоследствии надзорный орган
контролирует устранение выявленных нарушений.

Суммы штрафов

Согласно федеральному закону от 24 февраля 2021 г. № 19-ФЗ,
административная ответственность по статье 13.11 предусматривает штрафы в
зависимости от последствий нарушения. Так, ответственность для юридического
лица предусматривает наложение штрафа в размере от 30 тыс. руб. до 6 млн руб.,
а при повторном нарушении — до 18 млн руб. Такой штраф компания или ИП
заплатят, если повторно нарушат обязанность по обеспечению записи,
систематизации, накопления, хранения, уточнения или извлечения персональных данных,
собранных в интернете.

Пан или пропал: как коммуникации с сотрудниками спасают бизнес в условиях нехватки кадров

Штраф за обработку персональных данных без согласия владельца
ПД достигает 500 тыс. руб. Максимальный совокупный штраф для должностного лица
составляет 336 тыс. руб., а при повторном нарушении может превышать 1 млн руб.
В мае 2021 г. CNews писал,
что депутаты «Единой России» хотят в десять раз увеличить штрафы за разглашение
персональных данных.

Как рассказал CNews эксперт RTM Group Евгений Царев, документ в текущей редакции «очень сырой», в нем
присутствуют проблемы с терминологией и с описательной частью. «По сути,
проведение проверок именно операторов персональных данных — это новая история,
и раньше такой тип проверок не выделялся, — рассказывает Царев. — Проверки по
обработке персональных данных проводились и раньше, но только государственных
органов или лицензиатов в ходе проверки лицензионных требований». При этом он
отмечает, что данных поправок недостаточно, «так как необходимы соответствующие
регламенты проверок и в них должна быть конкретика».

Больше проверок:  Пожарные проверки в 2023 году

«С одной стороны, можно только приветствовать упорядочивание
деятельности контролирующих и надзорных органов, — рассказал CNews Демьян Раменский, руководитель
направления «Хостинг испдн» компании CorpSoft24. — C другой стороны, есть риск
увеличения давления на средний и малый бизнес».

Сейчас проверки по персональным данным проводит в основном
Роскомнадзор, они направлены на выполнение требований 152-ФЗ, поясняет
Раменский. Новое постановление резко увеличит число проверок со стороны ФСТЭК и
ФСБ, причем они будут касаться не только организационных, но и технических мер,
предусмотренных приказами ФСТЭК №21 и ФСБ №378. Реализация требований ФСТЭК и
ФСБ — задача долгая и дорогая, поскольку требует не только закупки
дорогостоящих СЗИ/СКЗИ, но и наличия компетентных специалистов по
кибербезопасности, чей дефицит сейчас на рынке труда подстегивает рост зарплат,
отмечает Раменский. В то же время, принятие данного постановления, безусловно,
станет драйвером роста рынка облачных услуг информационной безопасности, считает
он.

Что такое единая
биометрическая система

Создание системы инициировано ЦБ совместно с Минцифры,
разработчиком и оператором системы является «Ростелеком». Драйвером ее создания
стала нацпрограмма «Цифровая экономика», целью которой также является повышение
доступности цифровых сервисов для граждан в отдаленных регионах и
маломобильного населения.

Случаи утечки
персональных данных

В апреле 2020 г. издание
РБК сообщало, что в Сеть попали данные граждан, обращавшихся за оформлением
займов в микрофинансовых организациях. Данные клиентов были выставлены на продажу
в конце марта 2020 г. на специализированном сайте. Речь шла о 12 млн записей с
номерами паспортов, телефонами и сведениями об электронных кошельках.

Как банкам всего за год перейти на импортонезависимую СУБД

ИТ в банках

ТАСС в феврале 2021 г сообщал,
что за январь-сентябрь 2020 г. в России утекло 96,5 млн записей персональных
данных и платежной информации. Около 80% утечек персональных данных при этом
происходит из-за внутренних нарушений, а не в результате хакерских атак.

Согласно исследованию
Tinkoff Data, более 90% россиян сталкиваются со звонками спамеров и мошенников.
Номера телефонов у мошенников появляются, в том числе из-за утечек данных.

Как проходит проверка

Как правило, проверка начинается со встречи специалистов со стороны компании и проверяющих, изучения документов и нескольких серий вопросов и ответов. Четкого регламента этого мероприятия не существует, поэтому многое зависит от самих проверяющих.

Вы можете столкнуться с «усталыми» аудиторами, у которых за плечами множество подобных проверок. Если они не наткнутся на что-то непонятное, то скорее всего ограничатся минимумом бумаг и пояснений.

С другой стороны, молодые специалисты, которые карабкаются по карьерной лестнице, бывают намного дотошнее и глубже разбираются в информационных технологиях. Они не поленятся изучить архитектуру баз данных или лично заглянуть в серверную. Особенно любят вникать в технические вопросы сотрудники ФСТЭК и ФСБ.

Что бы они ни делали инспекторы, вы имеете право присутствовать при проверке и интересоваться ее ходом. Это очень полезная возможность. Держите руку на пульсе. Своевременные разъяснения помогают избавиться от множества проблем.

Если вы не согласны с выводами проверяющих, можете что-то добавить или предоставить дополнительные бумаги, стоит делать это в процессе проверки, до составления итогового акта. Это объемный и трудоемкий документ, поэтому проверяющие очень неохотно вносят в него исправления.

Транзит и пересадки для иностранцев

Вопрос, который волнует граждан стран, которым разрешен въезд с туристической целью, пропустят ли в Россию, если лететь с пересадкой в другой стране.

Например, может ли гражданин США прилететь в РФ через Турцию? Исходя из официального распоряжения  от 16 марта 2020 г. No 635-р, которое претерпело большое количество редакций, въезд только из страны гражданской принадлежности (т.е из США без возможности пересадок).

На различных порталах можно встретить реальные отзывы людей, которые прилетали в Россию с пересадками.

Вывод такой: если вы собираетесь лететь в РФ через третьи страны, то обязательно обратитесь в авиакомпании и уточните актуальные правила. Официальной информации и комментариев экспертов по данному вопросу нет.

ПЦР-тест для въезда в РФ из списка разрешенных стран

Граждане или обладатели ВНЖ тех государств, из которых разрешен свободный въезд в РФ должны иметь отрицательный результат ПЦР-теста на русском или английском языке. Срок действия теста не более 48 часов на момент пересечения границы РФ.

Дети иностранных граждан также должны иметь ПЦР-тест при въезде в РФ независимо от возраста. Информация с официального сайта Роспотребнадзора: «Тест необходим для людей любого возраста, в том числе детей.»

Наличие иностранного сертификата вакцинации или справки о перенесенном коронавирусе не освобождает от предоставления теста.

При посадке на рейс нужно будет заполнить анкету прибывающего в РФ. Также необходимо иметь медицинскую страховку, которая покрывает лечение COVID-19.

Что делать перед выездной проверкой или инспекционным визитом

С начала пандемии проверяющие стали приезжать реже, однако они все еще регулярно посещают компании. Проверку проводят месту работы или регистрации бизнеса. В компанию приезжают один или несколько человек.

Подготовить рабочее место

Выездная проверка продолжается до 10 рабочих дней и может быть продлена еще на 10. Инспекторы не пробудут в вашем офисе все это время, но точно проведут там несколько дней. Поэтому на время проверки им стоит выделить отдельное рабочее место.

Как минимум, им понадобятся компьютер и принтер, на котором можно печатать протоколы. Лучше всего предоставить отдельный кабинет или переговорку с проектором или большим экраном, на котором удобно показывать документы.

Проинструктировать работников

Не лишним будет рассказать сотрудникам о проверке и полномочиях проверяющих, например, о том, что они могут попросить показать работу информационных систем, в которых обрабатываются персональные данные.

Навести порядок

Проверяющие обращают внимание на то, как и где хранятся документы, содержащие персональные данные. Закон содержит ряд требований к их хранению, но замечания могут последовать, даже если к концу дня договоры с клиентами останутся лежать на столах в офисе без присмотра.

Если говорить про ФСБ, то они могут проверить условия размещения, пломбы и любые другие моменты, касающиеся СКЗИ.

Подготовить пакет документов

Для проверки снова потребуются кипы бумаг. Имеет смысл распечатать только основные акты, а все объемные документы, типа инструкций для пользователей информационных систем, предоставить в электронном виде. Опять же, с электронной подписью. Однако важно иметь в ввиду, что вас все же могут попросить все распечатать. Поэтому важно запастись бумагой и чернилами. Да, они есть в любом офисе, но на практике бывают случаи, когда принтеры работают по несколько дней без перерыва и расходников не хватает.

Если компания, например, работает с большой агентской сетью, то в архиве могут скопиться тысячи договоров с персональными данными. В таком случае допустимо передать проверяющим шаблон договора и набор примеров — договоры, подписанные за последние полгода или год. Это поможет уменьшить объем документации.

Вести список переданных бумаг

В больших объемах документации легко запутаться, поэтому хорошая практика — составить список документов с указанием даты передачи и формы (бумажная или электронная), и передавать их проверяющим под роспись. Так можно будет отследить документы и в случае чего доказать факт передачи.

Собрать рабочую группу для общения с проверяющими

По закону инспекторов должен встретить ответственный за обработку персональных данных, либо его представитель с доверенностью. Однако, одного человека обычно мало, ведь он не может знать все.

Лучше сформировать команду и позвать специалиста по информационной безопасности, сотрудника кадрового отдела, юриста и системного администратора, ответственного за базы с персональными данными. Такая группа поддержки сможет уверенно ответить на любые вопросы по обработке персональных данных.

Проверки защиты персональных данных — гайд по подготовке и прохождению

В сети много руководств по подготовке к проверкам РКН, ФСТЭК и ФСБ, но такие гайды сосредоточены на юридической стороне вопроса и состоят из бесконечных отсылок к законам. Они не дают представления о том, как такие мероприятия происходят на практике. По крайней мере на это жалуются некоторые наши клиенты. Так что в этом посте мы дадим понятные практические советы на основе опыта проверок, в которых участвовал наш комплаенс.

Документы, которые подтверждают родство

Список бумаг, которые могут подтвердить родственные связи, зависит от степени родства. Поехать к двоюродным братьям, а также к дяде или тете нельзя.

  • Если поездка к матери или отцу: копия свидетельства о рождении (если дочь замужем и фамилии разные, то нужна справка о смене фамилии), скан паспорта.
  • Въезд к родному брату или сестре: копии свидетельств о рождении иностранца, а также родственника, скан российского паспорта.
  • Поездка в Россию к бабушке или дедушке: копия свидетельства о рождении родителя и внука, а также скан паспорта бабушки или дедушки.
  • Въезд к сыну или дочери: копия документа о рождении ребенка, скан паспорта. Если въезжают опекуны, то также нужны документы на усыновление.

Что делать перед любой проверкой

Стоит посмотреть планы регуляторов и найти в вашем регионе компании, в которых недавно проходили проверки, а затем попробовать установить контакт через знакомых. Вам нужно выйти на специалистов по информационной безопасности, кадровиков и юристов. Они помогут понять, на что в первую очередь обращают внимание проверяющие в этом году.

Больше проверок:  Рекомендации экспертов по эффективному процессу проверки компании

Перепроверить уведомление РКН

Помните, как отправляли уведомление в Роскомнадзор? Самое время сравнить его содержание с тем, что происходит на практике.

В этом документе перечисляются категории персональных данных, которые обрабатывает компания. Несоответствие между уведомлением и фактическим положением дел — распространенное нарушение. Если сменили ответственного за обработку ПДн, обрабатываете что-то новое или перестали обрабатывать старое — обновите данные, послав новое уведомление в РКН.

Провести аудит

Перед проверкой полезно проверить, как обстоят дела с обработкой персональных данных в компании. Независимый аудит не просто даст представление об актуальном положении дел. Его результаты в виде приказов и протоколов можно показать проверяющим, как доказательство серьезного отношения к безопасности персональных данных.

Подготовить документы

Как правило, проверяющим требуется большой объем документов, поэтому все советуют выстраивать бумажную безопасность, как один из постоянных процессов. Вот что необходимо по нашему опыту.

Для проверок РКН:

Когда речь идет о проверках государственных организаций к этому перечню документов добавляются акты, перечисленные в Постановлении Правительства Российской Федерации от 21 марта 2012 г. N 211.

Для проверок ФСБ:

  • Модели нарушителя и угроз, разработанные с учетом требований ФСБ.;
  • Согласование ФСБ для модели угроз.

    Необходимо, если в государственной информационной системе используются средства криптографической защиты информации.

  • Документы, подтверждающие наличие средств криптографической защиты информации и устанавливающие порядок их учета и эксплуатации.
  • Документация на средства криптографической защиты информации (Договора купли-продажи, лицензии, сертификаты).
  • Правила работы СКЗИ и документы, подтверждающие то, что сотрудники ознакомлены с этими правилами.
  • Приказ о назначении ответственного за СКЗИ.
  • Журналы учета и передачи СКЗИ.
  • Список лиц, допущенных к работе с СКЗИ.

Для проверок ФСТЭК:

К сожалению, исчерпывающего перечня документов, необходимых для проверок не существует. Проверяющие всегда могут запросить что-нибудь еще. Отчасти потому, что компании и процессы обработки данных внутри них сильно различаются, отчасти потому, что специалисты могут чего-то не понять и потребовать разъяснений.

Что касается регламента, то проверки могут проходить удаленно, в формате документальной проверки, и очно, с выездом сотрудников ведомства в организацию. В обоих случаях есть свои особенности.

Что случилось

Госдума во вторник приняла во втором и третьем чтении закон, запрещающий сотрудникам ФСБ публиковать сведения о работе ведомства без санкции руководства. Поправки внесли в закон «О Федеральной службе безопасности».

В частности, там появилась норма, согласно которой «опубликование, размещение или распространение информационных материалов, касающихся деятельности органов ФСБ, без соответствующего заключения органа Федеральной службы безопасности не допускается».

Авторы законопроекта — единороссы, председатель комитета Госдумы по безопасности Василий Пискарев и первый зампред комитета по развитию гражданского общества Дмитрий Вяткин.

Что такое профессиональная тайна и кого она касается

По словам одного из авторов законопроекта Дмитрия Вяткина, речь идет именно о запрете для бывших и действующих сотрудников ФСБ: вводится понятие профессиональной тайны.

«Несанкционированных комментариев о деятельности ФСБ им в СМИ давать нельзя, если эти сведения будут составлять профессиональную тайну. Перечень этих сведений будет устанавливаться директором ФСБ», — пояснил парламентарий.

Как отмечает Вяткин, существует несколько видов материалов охраняемой законом информации, в том числе гостайна и служебная информация, но раньше в этот перечень попадало не все.

«Иногда чувствительными для службы с точки зрения обеспечения интересов безопасности спецслужбы могут быть действия, которые не попадают под действие этого закона и не находятся под грифом», — продолжает законодатель. Поэтому решено было перечень такой информации расширить за счет введения нового типа запрещенной к публикации без санкции информации — «профессиональной информации и профессиональной тайны».

«Помимо большой правовой неопределенности здесь имеется опасный пробел, — полагает Федотов. — Известно, что к сведениям, порочащим репутацию, Верховный суд относит прежде всего сведения о нарушении закона. Сегодня сведения о нарушении законности запрещено засекречивать — об этом четко сказано в законе «О гостайне». Но поскольку новый закон определяет, что профессиональная тайна не включает в себя гостайну, получается, что сведения о нарушении законности могут быть скрыты профессиональной тайной».

Поправки позволяют создать информационный железный занавес, отсекающий СМИ и общество от фактов, разглашения которых ФСБ стыдится или опасается, констатирует управляющий партнер Коллегии медиаюристов Федор Кравченко. «Это первый прецедент, когда режим профессиональной (служебной) тайны вводится в отношении не той информации, разглашение которой может создать опасность безопасности государства или вред конституционным правам граждан, а в отношении сведений, заведомо представляющих общественный интерес, ведь причинить вред репутации силового ведомства могут в первую очередь сведения о допущенных его сотрудниками нарушениях закона и других злоупотреблениях», — считает он.

Из каких стран можно свободно въехать в РФ

Полный список стран, граждане или лица с ВНЖ которых могут посещать РФ с целью туризма, опубликован на официальном сайте Пограничной службы РФ.

При этом въезд из данных стран возможен только через воздушные границы. Пассажир должен быть обязательно гражданином данной страны или иметь постоянное разрешение на проживание. Попасть в РФ такие граждане могут только с территории своей страны.

Например, гражданин Армении может свободно прибыть в РФ только на самолете и только из своей страны. В других случаях потребуется основание для въезда.

ФСБ дополнила список сведений, представляющих угрозу безопасности

Из распоряжения Правительства Российской Федерации от 16 марта 2020 г. № 635-р и от 27 марта 2020 г. № 763-р

Сухопутная граница открыта для граждан Абхазии, Южной Осетии, а также лиц, проживающих на территории ДНР и ЛНР.

Какие санкции грозят за нарушение

Санкции для сотрудников спецслужбы за разглашение профессиональной тайны в законе не прописаны. «Этот вопрос обсуждается», — отмечает Вяткин. «В настоящий момент установлена ответственность в целом за разглашение охраняемой законом служебной информации — административная (за разглашение гостайны предусмотрена уголовная ответственность). Теперь за разглашение охраняемой законом информации попадает в том числе и профессиональная тайна. То есть понятие охраняемой законом информации расширяется», — говорит он.

Если сотрудник ФСБ, пожелавший сохранить свое имя в тайне, передаст в СМИ какой-либо материал в нарушение этого запрета, то он будет считаться нарушителем закона со всеми вытекающими отсюда последствиями, объясняет Федотов.

Кого могут проверить

В России персональные данные (ПДн) — любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу. Четкого закрытого перечня таких данных не существует. Более того, мнение регуляторов по этому поводу периодически меняется, обрастает нюансами и рекомендациями.

Яркий пример — фотографии людей. До 2013 года никто не мог однозначно сказать, считать ли их персональными данными. Затем РКН объявила биометрическими ПДн только те фотографии, которые используются в СКУД и позволяют определить владельца пропуска.
Однако, спустя 7 лет ведомство аннулировало прежние разъяснения. Теперь фото может считаться биометрией, только если оно используется оператором ПДн для установления личности, соответствует определенному госту и отнесено к биометрическим персональным данным нормативно-правовым актом. Эту позицию объявили на семинаре для операторов персональных данных в январе 2020 года.

Некоторые операторы до сих пор упускают, что «просто хранение» также попадает под понятие «обработка персональных данных», а значит, к хранению применимы все те же требования, что и к передаче, использованию и прочим действиям, совершаемым по отношению к ПДн. Поэтому проверки соблюдения законодательства о персональных данных могут коснуться практически любой компании, которая располагает информацией не только о своих сотрудниках, но и о других гражданах РФ.

Кто приходит с проверками и на что смотрят

Проверками соблюдения законодательства о персональных данных в России занимается несколько ведомств.

Роскомнадзор

Чаще всего в этом контексте вспоминают про Роскомнадзор. Проверяющие из РКН в основном интересуются правовыми основаниями обработки персональных данных в организации — вопросами типа:

  • Есть ли в компании политика обработки персональных данных?
  • Запрашивается ли согласие на обработку ПДн?
  • Какие категории ПДн обрабатывает компания и с какими целями?
  • Соответствуют ли заявленные цели обработки ПДн тому, что происходит на практике?
  • Определен ли ответственный за обработку?

При этом Роскомнадзор делает акцент на проверку правовых оснований обработки персональных данных.

ФСТЭК

Федеральная служба по техническому и экспортному контролю обращает больше внимания на реализацию систем защиты ИСПДн. Если коротко, то ФСТЭК интересует, какие ИСПДн используются в организации, каким образом они защищены и правильно ли документированы:

  • Определен ли для ИСПДн уровень защищенности?
  • Проведено ли моделирование угроз и возможностей потенциальных нарушителей?
  • Реализованы ли меры, направленные на нейтрализацию угроз?
  • Установлены ли необходимые СЗИ? Определен порядок их учета и эксплуатации?
  • Проводилась ли аттестация (оценка эффективности) принятых мер?

В части защиты ПДн Федеральную службу безопасности может заинтересовать применение криптографических средств защиты информации. Службу интересует:

  • наличие криптографических средств защиты;
  • наличие сертификатов на эти средства;
  • правильное применение средств шифрования;
  • наличие модели нарушителя и угроз, разработанной с учетом требований ФСБ;
  • осуществление поэкземплярного учета СКЗИ и ключевых документов;
  • условия хранения СКЗИ и ключевых документов — в сейфах или запираемых шкафах в условиях, исключающих бесконтрольный доступ.

Иные ведомства

Помимо трех основных ведомств, которые занимаются защитой персональных данных на регулярной основе, можно выделить еще два, которые изредка устраивают отдельные проверки.

Прокуратура РФ предпочитает отдавать этот вопрос на откуп РКН, но ее задача — следить за соблюдением всего законодательства. Поэтому изредка она касается и законов о персональных данных.

Нельзя забывать и про полицию, точнее бюро специальных технических мероприятий, которое, расследует преступления, связанные с утечками данных. Но если к вам пришли эти ребята, стоит звать на помощь не только безопасников, но и адвокатов. На всякий случай. Мы сосредоточимся на менее экстремальных и более частых сценариях — подготовке к проверкам РКН, ФСТЭК и ФСБ.

ФСБ дополнила перечень несущих угрозу безопасности сведений

Список расширен за счет сведений о передвижении воинских частей и подразделений органов госбезопасности, а также информации о строящихся объектах

ФСБ дополнила список сведений, представляющих угрозу безопасности

ФСБ издала приказ об утверждении нового перечня сведений в области военной и военно-технической деятельности России, которые при получении иностранными источниками могут быть использованы против безопасности страны. Документ опубликован на портале публикации правовой информации.

Предыдущий вариант этого перечня был утвержден год назад, в сентябре 2021 года.

В новом перечне внесены следующие изменения:

  • в пункт третий добавлены сведения о маршрутах транспортировки и передвижения подразделений армии и органов безопасности;
  • в пункт четвертый добавлены сведения о строящихся объектах войск и воинских формирований (ранее там были указаны только уже построенные объекты);
  • в пункте девятом к сведениям о местах хранения оружия и боеприпасов, находящихся на вооружении, добавили аналогичные сведения в отношении организаций, которые осуществляют перевозку оружия и боеприпасов;
  • в 18-м пункте из списка таких сведений исключены данные о подготовке и заключении международных договоров, если речь идет о случаях исполнения должностных обязанностей сотрудниками госорганов в сфере международных отношений; в прочем сведения о международных договорах по-прежнему ограничены к передаче за границу;
  • исключены в 19-м пункте сведения об организации и обеспечении безопасности высших должностных лиц, если речь идет об исполнении служебных обязанностей; в прочих случаях эти данные по-прежнему находятся под ограничением.

Эти и другие данные не считаются гостайной или секретной информацией, но, по мнению ФСБ, потенциально могут использоваться против государственной безопасности иностранными государствами и организациями. За сбор подобной информации гражданина могут признать иноагентом. Всего в перечне 60 пунктов, изложенных на девяти страницах. В него входят данные, касающиеся практически всех аспектов оборонной сферы.

В ФСБ заявляли, что законом «не накладываются ограничения на СМИ, общественных активистов и рядовых граждан по получению и опубликованию любой информации из предлагаемого перечня, если это обусловлено профессиональной деятельностью, продиктовано выражением гражданской позиции, чувством долга и т.п.».

Что делать перед документальной проверкой

Расскажем на примере проверки Роскомнадзора.

В организацию приходит письмо от местного управления Роскомнадзора с запросом документов, как правило, из числа перечисленных выше.

В письме указывается срок, к которому они должны оказаться у регулятора. По закону на подготовку и отправку этих бумаг дается не менее трех дней, в реальности обычно предупреждают за неделю или две. Поэтому, если вы уже подготовили набор документов, то у вас останется время, чтобы все перепроверить. А вот успеть с нуля — тот еще челлендж, порой заведомо невыполнимый.

Регулятору передаются копии документов в первозданном виде без изъятий и цензуры. Их необходимо заверить печатью организации и подписью руководителя или его представителя. Электронные копии подписываются квалифицированной электронной подписью.

Роскомнадзор рассматривает полученные материалы, и при необходимости запрашивает пояснения, также в письменном виде, на бумаге или в электронной форме. Если пояснения не предоставлены за три для или недостаточно убедительны, назначается выездная проверка.

Минус документальной проверки в том, что вся коммуникация происходит на бумаге, и порой возникают ситуации, когда регулятор чего-то не находит в пакете документов или не учитывает какие-то детали даже после прочтения пояснений. В процессе выездной проверки с инспекторами проще найти общий язык.

Есть ли сейчас карантин в России для иностранцев

На данный момент карантина для прибывающих в РФ иностранцев нет. Обязательную самоизоляцию в течение 14 дней должны пройти только те граждане, которые прибыли в Россию с целью трудовой деятельности.

Как минимизировать риск внеплановых проверок

Прежде всего, стоит подать в Роскомнадзор уведомление об обработке персональных данных. Это можно сделать в бумажном виде или на сайте Роскомнадзора, а также через личный кабинет организации на Госуслугах.

Иногда руководство компаний не хочет «сдаваться», и таким образом «привлекать внимание регулятора». Это прямое нарушение 152 федерального закона. К тому же, стоит помнить, что добровольная отправка уведомления как бы намекает проверяющим на добропорядочность организации. А если не записаться в реестр, проверка скорее всего будет внезапной и приведет к штрафу.

Проверить интернет-ресурсы компании

С недавних пор РКН регулярно проводит мониторинг сайтов компаний в поисках нарушений. Поэтому стоит еще раз стоит перепроверить:

  • Опубликована ли на сайте политика обработки персональных данных?
  • Есть галочка согласия с политикой обработки персональных данных рядом с формами, которые заполняют пользователи?
  • Есть ли предупреждение и кнопка согласия на использование cookies?

Это важные моменты, их отсутствие может спровоцировать внеплановую проверку.

Не спамить

Кроме того, внеплановые проверки проводятся после обращений физических лиц. Чаще всего речь идет жалобах на различный спам: персональные рекламные рассылки, SMS, звонки. Если нужен дополнительный аргумент против использования навязчивой рекламы — это он.

Может ли запрет коснуться деятельности СМИ

Депутат Вяткин на вопрос, может ли последовать наказание в отношении СМИ, опубликовавшего материал на основании анонимных источников в ФСБ, ответил, что «в каждом случае нужно разбираться отдельно».

Глава думского комитета по СМИ Александр Хинштейн в разговоре с РБК выразил мнение, что в данном случае должны действовать нормы закона «О печати», дающие право не раскрывать источники информации, кроме как по решению суда.

По мнению управляющего партнера AVG Legal Алексея Гавришева, ответственность за распространение информации о деятельности ФСБ могут приравнять к ответственности за разглашение секретных сведений — как для сотрудников спецслужбы, так и для СМИ. «Это выглядит, мягко говоря, пугающе, — говорит Гавришев. — Существует очень тонкая грань между просто информацией и информацией о профессиональной деятельности службы». По мнению Гавришева, работа ФСБ не должна быть на слуху у граждан. «Это максимально закрытая и секретная структура, деятельность которой жизненно важна для страны и при этом скрыта за семью печатями, но с другой стороны, нераспространение информации о ФСБ — задача самой организации», — считает адвокат.

Для журналистов поправки тоже представляют некоторую опасность, считает Кравченко. Ст. 4 закона «О СМИ» позволяет Роскомнадзору выносить СМИ предупреждение за разглашение любых охраняемых законом тайн, включая сведения, указанные в этих поправках, напоминает он. Второе предупреждение в течение одного года позволяет Роскомнадзору обращаться в суд с иском о прекращении деятельности СМИ, предупреждает юрист.

Теперь стоит помнить, что от ФСБ безопасно получить информацию можно только двумя способами: с сайта или из их пресс-релиза, остальное может стать поводом проверки, резюмирует глава юридической службы «Апологии протеста» Алексей Глухов.

Результаты проверки

Когда подписан итоговой акт, остается либо согласиться с результатами проверки, либо подавать жалобу. Ее можно направить в электронном или бумажном виде руководителю регионального подразделения или руководителю ведомства, если нарушения допущены сотрудниками центрального подразделения. На рассмотрение уйдет 30 дней со дня регистрации обращения.

Руководство ведомства может согласиться с жалобой полностью или частично и пересмотреть выводы проверки, а может и не согласиться. Если вы подавали жалобу в региональное подразделение, то можно продублировать жалобу в центральный отдел. Но если не нашли понимания и там, остается только оспаривать результаты проверки в суде.

Как не бывает идеальной кибербезопасности, так не бывает идеальной бумажной безопасности. Пройти проверку без единого замечания — редкость. Дело в том, что для государственных ведомств количество найденных нарушений — прежде всего метрика добросовестной работы проверяющих. Отчеты, в которых все идеально, зачастую воспринимаются с подозрением, ведь написать, что все хорошо, проще, чем действительно проверить соблюдение законодательства.

Нормальный результат взаимодействия с регулятором не отсутствие замечаний, как таковых, а отсутствие реальных санкций, административно-правовых и тем более уголовных. Комиссия оказала вам методическую помощь показала, что можно улучшить, а вы дали материал для отчета, который ляжет на стол их руководству. В этой игре все остались в плюсе — до встречи в следующем раунде.

P.S. Пост получился длинным, но мы дали только базовые советы по прохождению проверок ПДн. Вам интересны нюансы и подробности, связанные с ФСТЭК и ФСБ? Пишите в комментариях.