Персональные данные (ПДн)

I квартал 2025 года продолжил обогащение правового поля новациями в области персональных данных (подробный разбор, а также дискуссионные аспекты законодательства об оборотных штрафах для операторов за нарушение порядка обработки персональных данных — в статье Н. Перемышленникова, наглядная инфографика и смягчающие обстоятельства по данному вопросу — в статье И. Башкирова — прим. ред.).

24.01.2025 было опубликовано и вступило в силу постановление Правительства Российской Федерации от 18.01.2025 №15 «О внесении изменений в постановление Правительства Российской Федерации от 15.06.2022 №1067 "О случаях и сроках использования биометрических персональных данных, размещенных физическими лицами в единой биометрической системе с использованием мобильного приложения единой биометрической системы"». Были внесены изменения в правила использования биометрических персональных данных (ПДн), размещенных гражданами в единой биометрической системе с использованием мобильного приложения. В числе прочего, при наличии сведений в ЕСИА биометрические ПДн можно будет использовать для дополнительной аутентификации на портале Госуслуг без подтверждения личности с помощью биометрического загранпаспорта.

14.02.2025 Правительство Российской Федерации опубликовало проект постановления «Об утверждении правил проверки соответствия пользователей государственной информационной системы, определенной в соответствии с частью 2 статьи 131 Федерального закона "О персональных данных", требованиям, указанным в части 7 статьи 131 Федерального закона "О персональных данных", и о внесении изменений в некоторые акты Правительства Российской Федерации». Данный проект определяет процедуру проверки соответствия пользователей государственных информационных систем (ГИС) обезличенных данных — граждан и юридических лиц — требованиям к пользователям системы, а также устанавливает 13-дневный срок рассмотрения запросов пользователей системы о проведении проверки соответствия, в том числе посредством запроса информации у различных федеральных органов исполнительной власти.

Также 14.02.2025 Правительством Российской Федерации был опубликован проект постановления «О государственной информационной системе, предназначенной для обработки персональных данных, полученных в результате обезличивания персональных данных, и внесении изменений в постановление Правительства Российской Федерации от 14 мая 2021 №733». Проект уточняет цели и задачи единой информационной платформы, а также предполагает создание новой подсистемы — подсистемы обработки обезличенных данных, а также вводит новые роли участников единой информационной платформы: поставщиков подсистемы обработки обезличенных данных единой информационной платформы и пользователей подсистемы обработки обезличенных данных единой информационной платформы.

 

21.02.2025 было опубликовано еще два проекта.

Первый — постановление Правительства Российской Федерации «Об установлении Правил взаимодействия федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с операторами, обрабатывающими персональные данные, в целях формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных» — предлагает описание организационной стороны вопроса, без указания методов обезличивания ПДн, которые должны быть определены отдельно правительством по согласованию с ФСБ России.

Второй — постановление Правительства Российской Федерации «Об определении случаев формирования составов персональных данных, полученных в результате обезличивания персональных данных, сгруппированных по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных». Случаи формирования составов данных определены в нем с учётом высокой значимости ситуаций для государства и общества (чрезвычайные ситуации, противодействие терроризму, распространение инфекционных заболеваний, экономические, социальные, статистические исследования).

24.02.2025 опубликован проект Федерального закона «О внесении изменений в Федеральный закон «Об электронной подписи»». Законопроектом предусматривается, что создание и выдача квалифицированных сертификатов ключа проверки электронной подписи государственных органов, не имеющих основного государственного регистрационного номера, будет осуществляться Казначейством России. Также предусматривается возможность передоверия полномочий в электронной форме при использовании квалифицированной электронной подписи и расширение субъектного состава финансовых организаций, которым удостоверяющий центр Банка России выдаёт сертификат ключа проверки электронной подписи.

28.02.2025 опубликован Федеральный закон от 28.02.2025 № 23-ФЗ «О внесении изменений в Федеральный закон "О персональных данных" и отдельные законодательные акты Российской Федерации». Изменения вводят особый порядок обработки ПДн работников так называемых «силовых» ведомств.

 

Президент и Правительство Российской Федерации

09.01.2025 была опубликована утвержденная 30.12.2024 распоряжением Правительства Российской Федерации №4154-р «Концепция государственной системы противодействия преступлениям, совершаемым с помощью информационно-коммуникационных технологий».

17.01.2025 Правительство Российской Федерации публиковало проект постановления «О внесении изменений в постановление Правительства Российской Федерации от 29.06.2021 №1046». Предлагаемые изменения коснулись порядка осуществления федерального государственного контроля (надзора) за обработкой ПДн, в том числе действий в отношении оператора ПДн при выявлении нарушений в его деятельности.

18.01.2025 было опубликовано постановление Правительства Российской Федерации от 18.01.2025 №12 «О внесении изменения в постановление Правительства Российской Федерации от 15.09.2008 №687», устанавливающее срок действия постановления Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» до 01.09.2030.

17.02.2025 в Госдуму был внесен проект федерального закона №842276-8 «О создании государственных информационных систем по противодействию правонарушениям (преступлениям), совершаемым с использованием информационно-телекоммуникационных технологий, и о внесении изменений в отдельные законодательные акты Российской Федерации». Законопроект предполагает введение следующих мер:

• обязательная идентификация клиентов и пользователей в различных сферах;
• запрет банковским работникам, работникам маркетплейсов и госорганов использовать определенные зарубежные мессенджеры в служебных целях;
• обязательная маркировка звонков от юридических лиц или массовых вызовов;
• меры против похищения СМС-сообщений об изменении пароля от Госуслуг;
• информирование абонентов о том, что принятый ими вызов шел из-за рубежа;
• возможность самозапрета на заключение новых договоров оказания связи.

 

ФСТЭК России

10.02.2025 ФСТЭК России обновил «План проведения плановых проверок по вопросам лицензионного контроля на 2025 год».

17.02.2025 опубликовано информационное сообщение ФСТЭК России от 06.02.2025 №240/11/589 «О формах представления сведений о кадровом обеспечении подразделений специалистами по защите информации». Перечень респондентов для представления сведений приведен в приложении к данному сообщению.

24.02.2025 ФСТЭК России опубликован проект национального стандарта «Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки». Стандарт определяет конструктивную информационную безопасность как подход, при котором система с момента её создания проектируется с учётом требований безопасности, и описывает методологию разработки систем с конструктивной информационной безопасностью, которая включает процессы планирования, анализа, проектирования, реализации, тестирования и сопровождения систем. Особое внимание уделяется синхронизации требований безопасности с основным функционалом системы Предлагается использовать шаблоны проектирования, которые помогают решать типовые задачи разработки безопасных систем.

 

Центральный Банк Российской Федерации

28.01.2025 были опубликованы «Методические рекомендации Банка России по проведению тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры организаций финансового рынка» от 22.01.2025 № 2-МР.

Документ формализует подход к проведению работ по тестированию на проникновение и анализу уязвимостей информационной безопасности (ИБ), и устанавливает рекомендации по планированию и проведению тестирования на проникновение и анализа уязвимостей самостоятельно и с привлечением подрядных организаций, рекомендации по формированию отчета о проделанной работе, а также указан порядок информирования Банка России о результатах работ.

 

Отраслевые документы

13.01.2025 опубликован принятый 28.12.2024 ГОСТ Р 71223-2024 «Вычислительная техника. Термины и определения». Стандарт вступит в силу 01.06.2025.

28.01.2025 опубликован приказ Министерства просвещения Российской Федерации от 24.12.2024 №1025 «Об утверждении федерального государственного образовательного стандарта среднего профессионального образования по специальности 09.02.13 "Интеграция решений с применением технологий искусственного интеллекта"».

03.03.2025 был принят национальный стандарт ГОСТ Р 59999-2025 «Цифровой документооборот организации. Требования к эталонной модели». Стандарт вступит в силу 01.12.2025.

11.03.2025 были приняты национальные стандарты, вступающие в силу 31.03.2025:

• ГОСТ Р 59453.3-2025 «Защита информации. Формальная модель управления доступом. Часть 3. Рекомендации по разработке»;
• ГОСТ Р 59453.4-2025 «Защита информации. Формальная модель управления доступом. Часть 4. Рекомендации по верификации средства защиты информации, реализующего политики управления доступом, на основе формализованных описаний модели управления доступом».