Министерство цифрового развития, связи и массовых коммуникаций РФ (Минцифры) разработало дополнительные требования к организациям при присоединении информационных систем к инфраструктуре электронного правительства. Они станут дополнением к существующим требованиям, установленным постановлением правительства РФ № 1382 от 22 декабря 2012 г.

Как говорится в пояснительной записке, установление требований к подключаемым организациям направлено на усиление защиты информации, в том числе защиты персональных данных и снижения риска их неправомерной обработки (сбора, накопления, извлечения, использования, передачи). Всего в проекте постановления содержится пять требований к организациям:

• организация является российским юридическим лицом и не находится в процессе реорганизации, ликвидации, банкротства, ее деятельность не приостановлена;
• организация не является российским юридическим лицом, учредителями (участниками, членами) которого являются иностранные граждане и (или) организации либо лица без гражданства;
• организация не включена в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму;
• организация не включена в реестр иностранных агентов;
• в отношении такой организации отсутствуют сведения о привлечении к административной ответственности по административным правонарушениям в области связи и информации, предусмотренным главой 13 кодекса Российской Федерации об административных правонарушениях.

"Новые требования Минцифры к подключению информационных систем к инфраструктуре электронного правительства представляют логичное развитие регуляторной политики в условиях текущих геополитических реалий. С технической точки зрения они не вводят принципиально новых мер защиты данных, но создают важные организационные фильтры", - отметил руководитель направления по информационной безопасности АО "Инфозащита" (iTPROTECT) Леонид Ломакин.

"Основной смысл изменений - минимизация рисков работы с организациями, которые потенциально могут стать каналом утечки критичной информации или объектом внешнего влияния. Требования к отсутствию иностранного участия в капитале и чистой репутации (отсутствие в реестре иностранных агентов и т.д.) - это разумная превентивная мера. Особенно актуально это в свете участившихся случаев использования цепочек поставок и аутсорсинговых компаний для кибератак. На практике эти меры действительно могут усилить защиту персональных данных, но с важной оговоркой - они не заменяют технических средств защиты. Ключевой эффект заключается в создании более контролируемого круга участников инфраструктуры электронного правительства. Однако есть и побочный эффект - дополнительные административные барьеры для бизнеса, особенно для стартапов с иностранными инвестициями, даже если эти инвестиции происходят из дружественных юрисдикций", - добавил Леонид Ломакин.

Публичное обсуждение по проекту постановления продлится до 15 мая 2025 г.