Основные изменения в правовом обеспечении защиты информации, персональных данных и функционирования ИС в РФ в 2025 году

Подробности
Опубликовано: 28.12.2024 10:25
Автор: Степанова Галина Ананьевна
Просмотров: 175
Корпоративные информационные системы и учетная политика организации при применении автоматизированной формы ведения учета

Аннотация: в статье рассмотрены изменения в нормативно-правовых документах РФ в области защиты информации, персональных данных и информационных систем. Анализируются обновления в сфере информационных систем и технологий, принятых и находящихся на стадии разработки нормативно-правовой базы их регулирования на 2025 год.
Ключевые слова: законодательство в сфере ит, законодательство ит, законодательство о персональных данных, законодательство в области персональных данных, российское законодательство в области персональных данных, законодательство о защите персональных данных, законодательство о защите информации, законодательство в области защиты информации, защита информации законодательство рф, критическая информационная инфраструктура, законодательство в области кии, законодательство кии, законодательство о безопасности критической информационной инфраструктуры, проект цифрового кодекса рф, цифровой кодекс РФ.
СкачатьPDF (статья), PDF (выпуск №28).

Введение

2025 год должен стать для всей российской сферы информационных технологий годом значимых изменений. Основными векторами изменений являются изменения в законодательстве IT-сферы, ужесточение контроля за доступом к информации и информационной безопасности, технологическая независимость государства. Сегодня невозможна правильная и эффективная работа и развитие государства без развитой информационной инфраструктуры.

Информационная инфраструктура представляет собой систему организационных структур, подсистем, обеспечивающих функционирование и развитие информационного пространства страны и средств информационного взаимодействия. Информационная инфраструктур включает в себя совокупность информационных центров, подсистем, банков данных и знаний, систем связи, центров управления, аппаратно-программных средств и технологий обеспечения сбора, хранения, обработки и передачи информации; а также обеспечивает доступ потребителей к информационным ресурсам [1].

Информационные системы (ИС), являясь составляющей частью информационной инфраструктуры, представляет собой систему обработки информации совместно с соответствующими организационными ресурсами (человеческими, техническими, финансовыми и др.), обеспечивая ее распространение (ISO/IEC 2382:2015). ИС предназначена для своевременного обеспечения людей надлежащей информацией, то есть для удовлетворения конкретных информационных потребностей в рамках определённой предметной области, при этом результатом функционирования информационных систем является информационная продукция: документы, массивы данных, базы данных и информационные услуги. По охвату задач информационные системы можно классифицировать на персональные, групповые, корпоративные, системы органов власти и государственных учреждений [1].

Информационная инфраструктура неразрывно связана с современным обществом, всеми культурными, социальными, экономическими и политическими процессами. Критическая информационная инфраструктура (КИИ) – совокупность информационных систем и/или телекоммуникационных сетей, критически важных для работы ключевых сфер жизнедеятельности государства и общества: здравоохранение, промышленность, связь, транспорт, энергетика, финансовый сектор и городское хозяйство. От устойчивого функционирования КИИ напрямую зависит работоспособность платежных систем, услуг связи, транспортной и энергетической систем, ЖКХ, а также других важных сфер. Поэтому изменения в IT-сфере, обусловленные как геополитическими факторами, так и внутренними потребностями, затронут не только IT-компании, но и бизнес в целом, и общество.

В части изменений в законодательстве в IT-сфере, которые касаются информационных систем, порядка получения, преобразования и использования информации, укрепления законности использования информационных ресурсов и обеспечения информационной безопасности граждан, предприятий, организаций РФ, предлагается рассмотреть основные:

  • изменения в Федеральном законе №149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006, внесенные Федеральным законом №411 от 23.11.2024, вступают в силу с 01.01.2025;
  • изменения в Федеральный закон №152-ФЗ «О персональных данных» от 27.07.2006, внесенные Федеральным законом №233-ФЗ от 08.08.2024 и рядом других документов, вступают в силу в течение 2025;
  • проекте концепции Федерального закона «Цифровой кодекс РФ» планируется быть представленным на рассмотрение в середине 2025 года;
  • изменения, вносимые в Федеральный закон №187-ФЗ «О безопасности критической инфраструктуры РФ» от 26.07.2017, планируются к вступлению в силу с 1 марта 2025 года;
  • ряд иных изменений в законодательстве в сфере деятельности IT-компаний и IT-предпринимателей.

Рассмотрим изменения, предварительно их группировав по областям:

  • защита информации и работа с персональными данными (ПД);
  • информационные системы.

1. Новое в законодательстве РФ в области защиты информации и ПД

С 2025 года в РФ возрастает контроль со стороны государственных органов в области защиты информации и ПД и ужесточение ответственности компаний, использующих в работе информационные базы с персональными данными. Изменения в законодательстве несут новые правила в работе как для частных компаний, так и государственных учреждений и требуют комплексного пересмотра подходов к работе с персональными данными и базами данных. 

1.1. Ужесточение мер при нарушении законодательства о персональных данных

30 ноября 2024 года Президентом РФ подписаны законы, ужесточающие меры административной и уголовной ответственности при нарушении законодательства РФ о персональных данных [2-3]:

  • Федеральный закон №420 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» 03.11.2024, в котором диверсифицированы виды правонарушений и ужесточены меры административной ответственности в законодательстве РФ о персональных данных, вступает в силу с 30 мая 2025 года;
  • Федеральный закон №421 «О внесении изменений в Уголовный кодекс Российской Федерации» от 30.11.2024, которым вводится специальный состав преступления в законодательстве РФ о персональных данных, вступил в силу 11 декабря 2024 года.

1.2. Изменения в документах при работе с персональными данными

Ожидаются изменения в техническом оформлении документов при работе с персональными данными. В частности, с 1 января 2025 года согласно распоряжению Правительства РФ № 856-Р от 09.04.2024 вводятся две унифицированные формы согласия на размещение и обработку ПД в Единой системе идентификации и аутентификации (ЕСИА), и биометрических ПД в Единой биометрической системе (ЕБС).

Единая система идентификации и аутентификации (ЕСИА) – это информационная система, обеспечивающая единый доступ граждан, бизнеса и представителей исполнительной власти к различным информационным системам, подключенным к Системе межведомственного электронного взаимодействия (СМЭВ). Оператор ЕСИА – Министерство цифрового развития, связи и массовых коммуникаций РФ.

Единая биометрическая система (ЕБС) – это государственная информационная система, созданная в России для идентификации и аутентификации пользователей с использованием их биометрических данных. В ЕБС для идентификации применяются два параметра: голос и лицо. Система является ключевым элементом механизма удаленной идентификации, позволяющего гражданам дистанционно получать финансовые услуги. Оператор ЕБС – ПАО «Ростелеком».

В 2025 году работодатели должны подавать уведомление в Роскомнадзор об обработке персональных данных. Уведомлять ведомство нужно как в начале проведения обработки, так и по ее завершению. Временных рамок для извещения органа надзора нет [4].

Оператор ПД должен зарегистрироваться в реестре Роскомнадзора прежде, чем приступить к обработке личной информации клиентов, сотрудников. Регистрация подразумевает заполнение уведомительного бланка стандартного образца. Существует три варианта подачи уведомления:

  • в электронном виде с цифровой подписью через сайт Роскомнадзора;
  • на бумажном носителе. Форму можно заполнить на сайте Роскомнадзора, распечатать ее, подписать и отнести лично, либо направить почтовым отправлением в региональное отделение органа;
  • через подтвержденную учетную запись на портале «Госуслуги».

Форма уведомления об обработке персональных данных утверждена приказом Роскомнадзора №180 от 28.10.2022. Перечень сведений, которые нужно указать в уведомлении, приведен в части 3 статьи 22 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 [5].

Если работодатель прекратил обработку персональных данных, он должен уведомить об этом Роскомнадзора течение 10 дней с момента прекращения обработки персональных данных (часть 7 статьи 22 Федерального закона №152-ФЗ от 27.07.2006). Уведомление о прекращении обработки персональных данных составляются в соответствии с правилами приказа Роскомнадзора №180 от 28.10.2022 [6].

1.3. Особенности обработки персональных данных

Федеральным законом №233-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”» от 08.08.2024 внесены изменения в законодательство о персональных данных, в том числе определены особенности обработки обезличенных персональных данных при формировании состава данных и предоставления доступа к ним. Урегулирована передача обезличенных ПД в ГИС Минцифры РФ. Состав персональных данных, сроки передачи, порядок обезличивания будет определен дополнительно. Изменения вступят в силу с 1 сентября 2025 года [5].

2. Изменения в законодательстве РФ в сфере информации, ИТ и защите информации

С 2025 года в сфере информационных систем и технологий также приняты или находятся на стадии разработки значимые изменения и нововведения в нормативно-правовой базе их регулирования. Основные из них приведены ниже [7].

2.1. Изменения в сфере защиты информации

Внесенные Федеральным законом №411 от 23.11.2024 изменения в закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» от 09.11.2024. вступают в силу с 1 января 2025 года в редакции от 23.11.2024. Изменения регулируют отношения, возникающие при:

  • осуществлении права на поиск, получение, передачу, производство и распространение информации;
  • применении информационных технологий;
  • обеспечении защиты информации.

Новая редакция закона уточняет и дополняет отдельные его статьи и пункты [7]:

  • дополнение части 1 статьи 10.6 пунктом 14. Текст новой редакции: «п.14. В течение суток с момента получения соответствующего требования федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, ограничить доступ к персональной странице до выполнения создавшим ее пользователем социальной сети требований, предусмотренных частью 1.1 настоящей статьи»;
  • дополнение статьи 10.6 частью 1.3. Текст новой редакции: «п.1.3. В случае, если объем аудитории персональной страницы составляет более десяти тысяч пользователей социальной сети и сведения о такой персональной странице не включены в перечень персональных страниц, указанный в части 1.2 настоящей статьи, создавший такую персональную страницу пользователь социальной сети не вправе размещать информацию, содержащую предложения о финансировании данного пользователя, а также сведения о возможных способах осуществления этого финансирования»;
  • дополнение статьи 10.6 частью 9.1. Текст новой редакции: «п.9.1. Пользователь социальной сети обязан не допускать на созданной им персональной странице последующее распространение информации, которая была распространена на персональной странице, не включенной в перечень персональных страниц, указанный в части 1.2 настоящей статьи, и другие;
  • а также дополнения статьи 15.1 данного закона [7].

2.2. Изменения в законодательстве РФ, касающегося критической информационной инфраструктуры

Министерство цифрового развития РФ подготовило предложения по внесению изменений в закон №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 [8]. Соответствующий законопроект внесён в Госдуму. Планируется закрепить обязанность субъектов критической информационной инфраструктуры, которым принадлежат значимые объекты КИИ, обеспечить переход на преимущественное использование российского ПО и отечественной радиоэлектронной продукции в соответствии с порядком и сроками, которые определит Правительство. Также предлагается наделить Правительство полномочиями по установлению требований к используемому на значимых объектах критической информационной инфраструктуры программному обеспечению и определению порядка осуществления мониторинга перехода на российское программное обеспечение. Кроме этого, документом совершенствуется механизм категорирования объектов критической информационной инфраструктуры РФ. Закон позволит установить для каждой отрасли уникальный перечень объектов, на которых использование российского программного обеспечения и радиоэлектронной продукции будет обязательным. Данные меры позволят обеспечить повышение защищенности и устойчивости критической инфраструктуры страны, что откроет новые рынки для отечественных IT-решений. В случае принятия законопроекта его положения вступят в силу с 1 марта 2025 года [8-9].

2.3. Цифровой кодекс РФ

Прорабатывается проект концепции Федерального закона «Цифровой кодекс РФ». Цифровой кодекс РФ – это комплексный законодательный акт, содержащий систематизированное регулирование электронной коммерции, облачных технологий, AI, а также защиты потребителей в онлайн среде и их персональных данных. Вместе с ним в законодательстве должны появиться некоторые новые понятия и нормы, например, блокчейн и генеративные нейросети. Кроме того, кодекс призван заменить часть уже существующих законов, например, Федеральный закон РФ 63 ФЗ «Об электронной подписи» от 06.04.2011 или №126-ФЗ «О связи» от 07.07.2003, которые приняты и применяются довольно значительный срок в такой стремительно меняющейся сфере как IТ [10-11]. Министерство цифрового развития РФ (глава – Шадаев М.) рассчитывают, что первая версия кодекса появится в РФ в середине 2025 года.

2.4. Изменения в работе IT-компаний

Основными правовыми и налоговыми изменениями в работе IT-компаний и ИП с 2025 года являются:

  • ставки налога на прибыль. Согласно Федеральному закону №176-ФЗ (в редакции от 12.12.2024) «О внесении изменений в первую и вторую часть НК РФ» от 12.07.2024, начиная с 2025 и до 2030 года для IT-компаний, которые прошли аккредитацию в Министерстве цифрового развития РФ, сохраняется льготная ставка по налогу на прибыль в 5%. Предприятия радиоэлектронной отрасли платили и будут продолжать платить с 2025 года налог на прибыль:
    • в федеральный бюджет – 3%;
    • в региональные бюджеты – 0%.
    Для всех остальных IT-компаний ставка налога увеличивается с 20% до 25% [12];
  • расширение патентной системы для IT-предпринимателей. IT-предпринимателям, занятым в разработке компьютерного программного обеспечения, в том числе системного программного обеспечения, приложений программного обеспечения, баз данных, web-страниц, включая их адаптацию и модификацию, IT-услуги согласно пп.62 ч.2 ст.346.43 НК РФ предоставляется возможность использовать патентную систему налогообложения без необходимости уплаты НДС [12, 13].
  • поддержка стартапов. Молодые IT-компании смогут получать льготы при вступлении в инновационные научно-технологические центры, такие как «Сколково» и «Сириус». Это даст им доступ к налоговым послаблениям и государственным грантам при ведении бизнеса.

Заключение

Для того, чтобы компания соответствовала новым требованиям законодательства в сфере применяемых программных средств, порядку и технологиям обработки персональных данных, политикам информационной безопасности, необходимо регулярно мониторить российское законы, а также вести контроль соответствия вашей информационной системы нормам текущего законодательства. Для чего рекомендуется:

  • вести аналитику текущих процессов ИС: аудит обработки данных по выявлению потенциальных рисков утечек и нарушений законодательства;
  • обеспечивать возможность инвестиций в безопасность ИС: заложить в бюджет компании средства на информационную безопасность. Закон предусматривает смягчение штрафов, если компания тратит не менее 0,1% выручки на ИБ;
  • обеспечить технические и организационные меры предупреждения нарушений: внедрение системы мониторинга утечек, контроля доступа и защиты данных, включая шифрование и резервное копирование;
  • проводить систематические аудиты работы компании: проверки на соответствие требованиям законов в IT-сфере являются обязательным шагом для минимизации рисков возможных штрафных санкций.

Литература

  1. Гвоздева Т.В., Баллод Б.А. Проектирование информационных систем: учебное пособие. – Ростов н/Д.: Феникс, 2009. – 508 с.
  2. Федеральный закон №420 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» от 03.11.2024.
  3. Федеральный закон №421 «О внесении изменений в Уголовный кодекс Российской Федерации» от 30.11.2024.
  4. Главбух. Согласие на обработку и распространение персональных данных в 2025 году: новая форма, изменения. – URL: https://www.glavbukh.ru/art/391109-soglasie-na-obrabotku-i-rasprostranenie-personalnyh-dannyh-v-2025-godu-novaya-forma.
  5. Федеральный закон №233-ФЗ «О внесении изменений в Федеральный закон “О персональных данных” и Федеральный закон “О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве”» и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» от 08.08.2024.
  6. Распоряжение Правительства РФ №856-Р от 09.04.2024.
  7. Федеральный закон №411-ФЗ «О внесении изменений в статьи 10.6 и 15.1 Федерального закона от 27.07.2006 №149-ФЗ “Об информации, информационных технологиях и о защите информации” и отдельные законодательные акты Российской Федерации» от 23.11.2024.
  8. Минцифры РФ. Правительство внесло в Госдуму поправки в закон о КИИ. – URL: https://digital.gov.ru/ru/events/49964/
  9.  Актив консалтинг. Изменения в 187-ФЗ. К чему готовиться субъектам КИИ. – URL: https://aktiv.consulting/ekspertiza/1634/
  10. Сбер Про. Цифровой кодекс: как будет выглядеть новая концепция регулирования ИКТ. – URL: https://sber.pro/digital/publication/tsifrovoi-kodeks-kak-budet-viglyadet-novaya-kontseptsiya-regulirovaniya-ikt/.
  11. Минцифры РФ. Финальный проект Цифрового кодекса планируют представить в 2025 году. – URL: https://digital.gov.ru/ru/events/48174/.
  12. Налоговый кодекс РФ.
  13. О бизнесе доступно. Виды деятельности, подпадающие под патент в 2025 году для ИП. – URL: https://www.regberry.ru/registraciya-ip/vidy-deyatelnosti-popadayushchie-pod-patent.
  14. Консультант. В Госдуму внесен законопроект о переходе критической информационной инфраструктуры РФ на преимущественное использование российского программного обеспечения. – URL: https://www.consultant.ru/law/hotdocs/84125.html.

Выходные данные статьи

Степанова Г.А. Основные изменения в правовом обеспечении защиты информации, персональных данных и функционирования ИС в РФ в 2025 году // Корпоративные информационные системы. – 2024. – №4 (28) – С. 1-9. – URL: https://corpinfosys.ru/archive/2024/issue-28/259-2024-28-itlawschangesin2025.

Основные изменения в правовом обеспечении защиты информации, персональных данных и функционирования ИС в РФ в 2025 году

Об авторе

 Степанова Галина Ананьевна Степанова Галина Ананьевна – эксперт по бухгалтерскому и налоговому учету по РСБУ и МСФО. Принимала участие в проектах по слиянию и ликвидации предприятий и их структурных подразделений, внедрения  автоматизации работы предприятия на основе продуктов 1С. Имеет более чем 25-и летний опыт работы в учетно-финансовом и экономическом блоке кредитных, нефтяных, торговых предприятий. Адрес контактной электронной почты: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра..

Статьи выпуска №28

  1. Основные изменения в правовом обеспечении информации в РФ в 2025 году.