2025 год должен стать для всей российской сферы информационных технологий годом значимых изменений. Основными векторами изменений являются изменения в законодательстве IT-сферы, ужесточение контроля за доступом к информации и информационной безопасности, технологическая независимость государства. Сегодня невозможна правильная и эффективная работа и развитие государства без развитой информационной инфраструктуры.
Информационная инфраструктура представляет собой систему организационных структур, подсистем, обеспечивающих функционирование и развитие информационного пространства страны и средств информационного взаимодействия. Информационная инфраструктур включает в себя совокупность информационных центров, подсистем, банков данных и знаний, систем связи, центров управления, аппаратно-программных средств и технологий обеспечения сбора, хранения, обработки и передачи информации; а также обеспечивает доступ потребителей к информационным ресурсам [1].
Информационные системы (ИС), являясь составляющей частью информационной инфраструктуры, представляет собой систему обработки информации совместно с соответствующими организационными ресурсами (человеческими, техническими, финансовыми и др.), обеспечивая ее распространение (ISO/IEC 2382:2015). ИС предназначена для своевременного обеспечения людей надлежащей информацией, то есть для удовлетворения конкретных информационных потребностей в рамках определённой предметной области, при этом результатом функционирования информационных систем является информационная продукция: документы, массивы данных, базы данных и информационные услуги. По охвату задач информационные системы можно классифицировать на персональные, групповые, корпоративные, системы органов власти и государственных учреждений [1].
Информационная инфраструктура неразрывно связана с современным обществом, всеми культурными, социальными, экономическими и политическими процессами. Критическая информационная инфраструктура (КИИ) – совокупность информационных систем и/или телекоммуникационных сетей, критически важных для работы ключевых сфер жизнедеятельности государства и общества: здравоохранение, промышленность, связь, транспорт, энергетика, финансовый сектор и городское хозяйство. От устойчивого функционирования КИИ напрямую зависит работоспособность платежных систем, услуг связи, транспортной и энергетической систем, ЖКХ, а также других важных сфер. Поэтому изменения в IT-сфере, обусловленные как геополитическими факторами, так и внутренними потребностями, затронут не только IT-компании, но и бизнес в целом, и общество.
В части изменений в законодательстве в IT-сфере, которые касаются информационных систем, порядка получения, преобразования и использования информации, укрепления законности использования информационных ресурсов и обеспечения информационной безопасности граждан, предприятий, организаций РФ, предлагается рассмотреть основные:
изменения в Федеральном законе №149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006, внесенные Федеральным законом №411 от 23.11.2024, вступают в силу с 01.01.2025;
изменения в Федеральный закон №152-ФЗ «О персональных данных» от 27.07.2006, внесенные Федеральным законом №233-ФЗ от 08.08.2024 и рядом других документов, вступают в силу в течение 2025;
проекте концепции Федерального закона «Цифровой кодекс РФ» планируется быть представленным на рассмотрение в середине 2025 года;
изменения, вносимые в Федеральный закон №187-ФЗ «О безопасности критической инфраструктуры РФ» от 26.07.2017, планируются к вступлению в силу с 1 марта 2025 года;
ряд иных изменений в законодательстве в сфере деятельности IT-компаний и IT-предпринимателей.
Рассмотрим изменения, предварительно их группировав по областям:
защита информации и работа с персональными данными (ПД);
информационные системы.
1. Новое в законодательстве РФ в области защиты информации и ПД
С 2025 года в РФ возрастает контроль со стороны государственных органов в области защиты информации и ПД и ужесточение ответственности компаний, использующих в работе информационные базы с персональными данными. Изменения в законодательстве несут новые правила в работе как для частных компаний, так и государственных учреждений и требуют комплексного пересмотра подходов к работе с персональными данными и базами данных.
1.1. Ужесточение мер при нарушении законодательства о персональных данных
30 ноября 2024 года Президентом РФ подписаны законы, ужесточающие меры административной и уголовной ответственности при нарушении законодательства РФ о персональных данных [2-3]:
Федеральный закон №420 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» 03.11.2024, в котором диверсифицированы виды правонарушений и ужесточены меры административной ответственности в законодательстве РФ о персональных данных, вступает в силу с 30 мая 2025 года;
Федеральный закон №421 «О внесении изменений в Уголовный кодекс Российской Федерации» от 30.11.2024, которым вводится специальный состав преступления в законодательстве РФ о персональных данных, вступил в силу 11 декабря 2024 года.
1.2. Изменения в документах при работе с персональными данными
Ожидаются изменения в техническом оформлении документов при работе с персональными данными. В частности, с 1 января 2025 года согласно распоряжению Правительства РФ № 856-Р от 09.04.2024 вводятся две унифицированные формы согласия на размещение и обработку ПД в Единой системе идентификации и аутентификации (ЕСИА), и биометрических ПД в Единой биометрической системе (ЕБС).
Единая система идентификации и аутентификации (ЕСИА) – это информационная система, обеспечивающая единый доступ граждан, бизнеса и представителей исполнительной власти к различным информационным системам, подключенным к Системе межведомственного электронного взаимодействия (СМЭВ). Оператор ЕСИА – Министерство цифрового развития, связи и массовых коммуникаций РФ.
Единая биометрическая система (ЕБС) – это государственная информационная система, созданная в России для идентификации и аутентификации пользователей с использованием их биометрических данных. В ЕБС для идентификации применяются два параметра: голос и лицо. Система является ключевым элементом механизма удаленной идентификации, позволяющего гражданам дистанционно получать финансовые услуги. Оператор ЕБС – ПАО «Ростелеком».
В 2025 году работодатели должны подавать уведомление в Роскомнадзор об обработке персональных данных. Уведомлять ведомство нужно как в начале проведения обработки, так и по ее завершению. Временных рамок для извещения органа надзора нет [4].
Оператор ПД должен зарегистрироваться в реестре Роскомнадзора прежде, чем приступить к обработке личной информации клиентов, сотрудников. Регистрация подразумевает заполнение уведомительного бланка стандартного образца. Существует три варианта подачи уведомления:
в электронном виде с цифровой подписью через сайт Роскомнадзора;
на бумажном носителе. Форму можно заполнить на сайте Роскомнадзора, распечатать ее, подписать и отнести лично, либо направить почтовым отправлением в региональное отделение органа;
через подтвержденную учетную запись на портале «Госуслуги».
Форма уведомления об обработке персональных данных утверждена приказом Роскомнадзора №180 от 28.10.2022. Перечень сведений, которые нужно указать в уведомлении, приведен в части 3 статьи 22 Федерального закона №152-ФЗ «О персональных данных» от 27.07.2006 [5].
Если работодатель прекратил обработку персональных данных, он должен уведомить об этом Роскомнадзора течение 10 дней с момента прекращения обработки персональных данных (часть 7 статьи 22 Федерального закона №152-ФЗ от 27.07.2006). Уведомление о прекращении обработки персональных данных составляются в соответствии с правилами приказа Роскомнадзора №180 от 28.10.2022 [6].
1.3. Особенности обработки персональных данных
Федеральным законом №233-ФЗ «О внесении изменений в Федеральный закон “О персональных данных”» от 08.08.2024 внесены изменения в законодательство о персональных данных, в том числе определены особенности обработки обезличенных персональных данных при формировании состава данных и предоставления доступа к ним. Урегулирована передача обезличенных ПД в ГИС Минцифры РФ. Состав персональных данных, сроки передачи, порядок обезличивания будет определен дополнительно. Изменения вступят в силу с 1 сентября 2025 года [5].
2. Изменения в законодательстве РФ в сфере информации, ИТ и защите информации
С 2025 года в сфере информационных систем и технологий также приняты или находятся на стадии разработки значимые изменения и нововведения в нормативно-правовой базе их регулирования. Основные из них приведены ниже [7].
2.1. Изменения в сфере защиты информации
Внесенные Федеральным законом №411 от 23.11.2024 изменения в закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» от 09.11.2024. вступают в силу с 1 января 2025 года в редакции от 23.11.2024. Изменения регулируют отношения, возникающие при:
осуществлении права на поиск, получение, передачу, производство и распространение информации;
применении информационных технологий;
обеспечении защиты информации.
Новая редакция закона уточняет и дополняет отдельные его статьи и пункты [7]:
дополнение части 1 статьи 10.6 пунктом 14. Текст новой редакции: «п.14. В течение суток с момента получения соответствующего требования федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, ограничить доступ к персональной странице до выполнения создавшим ее пользователем социальной сети требований, предусмотренных частью 1.1 настоящей статьи»;
дополнение статьи 10.6 частью 1.3. Текст новой редакции: «п.1.3. В случае, если объем аудитории персональной страницы составляет более десяти тысяч пользователей социальной сети и сведения о такой персональной странице не включены в перечень персональных страниц, указанный в части 1.2 настоящей статьи, создавший такую персональную страницу пользователь социальной сети не вправе размещать информацию, содержащую предложения о финансировании данного пользователя, а также сведения о возможных способах осуществления этого финансирования»;
дополнение статьи 10.6 частью 9.1. Текст новой редакции: «п.9.1. Пользователь социальной сети обязан не допускать на созданной им персональной странице последующее распространение информации, которая была распространена на персональной странице, не включенной в перечень персональных страниц, указанный в части 1.2 настоящей статьи, и другие;
а также дополнения статьи 15.1 данного закона [7] ...
Литературный источник:
Степанова Г.А. Основные изменения в правовом обеспечении защиты информации, персональных данных и функционирования ИС в РФ в 2025 году // Корпоративные информационные системы. – 2024. – №4 (28) – С. 1-9. – URL: https://corpinfosys.ru/archive/2024/issue-28/259-2024-28-itlawschangesin2025.
