Журнал "Information Security/ Информационная безопасность" #2, 2021

решенных субъектом персональных данных для распространения 11 (далее – приказ Роскомнадзора). Приказ Рос- комнадзора вступает в силу с 1 сен- тября 2021 г. и действует до 1 сентября 2027 г. Следует отметить, что Федеральный закон от 30.12.2020 г. № 519-ФЗ "О вне- сении изменений в Федеральный закон "О персональных данных", вводящий необходимость согласия из приказа Рос- комнадзора, вступил в силу 1 марта 2021 г., однако требования к содержанию согласия к указанной дате все еще находились в проекте. В отличие от своего проекта 12 утвержденная версия приказа Роскомнадзора носит более лаконичный характер и содержит только требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения. Так, напри- мер, исключены примеры биометриче- ских ПДн. Импортозамещение в КИИ В апреле 2021 г. было опубликовано заключение об оценке регулирующего воздействия и очередные изменения к проекту постановления Правительства РФ "Об утверждении требований к про- граммному обеспечению, телекоммуни- кационному оборудованию и радиоэлек- тронной продукции, используемым на объектах критической информационной инфраструктуры, и порядка перехода на преимущественное использование российского программного обеспечения, телекоммуникационного оборудования и радиоэлектронной продукции" 13 (далее – проект ПП РФ). К проекту ПП РФ также приложен порядок перехода на преимущественное использование рос- сийского программного обеспечения (далее – ПО), телекоммуникационного оборудования и радиоэлектронной про- дукции (далее при совместном упоми- нании – ПО и оборудование). По итогам оценки регулирующего воз- действия было получено отрицательное заключение. Так, в заключении отме- чаются следующие основные риски вве- дения такого регуляторного механизма: 1. Отсутствие анализа имеющегося иностранного оборудования у субъектов КИИ, что не позволяет сделать вывод о сроках реализуемости предлагаемого регулирования. Учитывая значительное количество объектов КИИ, необходимо проработать поэтапное внедрение про- ектируемого регулирования, в том числе в разрезе категорий объектов КИИ, с разделением сроков реализации по кате- гориям объектов КИИ, а проектируемое регулирование не должно распростра- няться на объекты КИИ, не отнесенные к значимым. 2. Проект ПП РФ не дает возможность однозначно определить, каким действи- ем заканчивается переход на отече- ственное ПО и оборудование для выполнения требований, например, достаточно ли утверждения плана пере- хода на преимущественное использова- ние российского ПО и оборудования с определенным временным горизонтом. 3. Разработчиком в сводном отчете отмечается, что расхода средств бюд- жетов бюджетной системы Российской Федерации и субъектов предпринима- тельской деятельности при реализации предлагаемого регулирования не потре- буется. Однако, например, объем затрат одной только банковской сферы соста- вит, по экспертной оценке Ассоциации банков России, более 700 млрд руб. (без учета затрат на покупку дополни- тельного серверного оборудования и параллельную поддержку работоспособ- ности двух систем до момента перехода на целевое ПО, затрат на наем и обуче- ние персонала, обучение сотрудников кредитных организаций работе с новым ПО). 4. Критерии анализа наличия аналогов используемого (планируемого для использования) иностранного ПО и обо- рудования представляются недостаточно определенными. 5. Проектом акта не регламентированы вопросы внесения изменений в план перехода на преимущественное исполь- зование российского ПО и оборудования, которые могут быть необходимы по не зависящим от субъектов КИИ причи- нам. Неприменение Банком России мер в отношении некредитных финансовых организаций Информационным письмом от 27.04.2021 г. № ИН-017-56/28 14 Банк России сообщает о неприменении в период до 31 декабря 2021 г. мер в случае нарушения некредитными финансовыми организациями требо- ваний положения Банка России от 17.04.2019 г. № 684-П "Об установ- лении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению неза- конных финансовых операций" (далее – положение № 684-П). Напомним, что ранее Банк России уведомлял о непри- менении мер до 01.07.2021 г. в случае нарушения требований положения № 684-П. Категорирование в сфере здравоохранения Министерство здравоохранения Рос- сийской Федерации 21 апреля 2021 г. опубликовало методические рекомен- дации по категорированию объектов критической информационной инфра- структуры сферы здравоохранения 15 . Указанные методические рекомендации согласованы ФСТЭК России. Обзор операций, совершенных без согласия клиентов финансовых организаций за 2020 г. В апреле 2021 г. Банк России опубли- ковал обзор операций, совершенных без согласия клиентов финансовых орга- низаций за 2020 г. 16 . Согласно отчету, доля социальной инженерии в общем объеме несанкционированных операций снизилась по итогам 2020 г. до 61,8% (с 68,6% в 2019 г.). l • 7 ПРАВО И НОРМАТИВЫ www.itsec.ru 11 http://publication.pravo.gov.ru/Document/View/0001202104210039 12 См. Заведенская А.А. Обзор изменений в законодательстве. Январь, февраль – 2021 // Information Security/ Информационная безопасность. 2021. № 1. С. 14–19. 13 https://regulation.gov.ru/Projects/List#npa=112842 14 https://cbr.ru/StaticHtml/File/117620/20210427_in_017_56-28.pdf 15 https://clck.ru/UojaE 16 https://cbr.ru/Collection/Collection/File/32190/Review_of_transactions_2020.pdf Ваше мнение и вопросы присылайте по адресу is@groteck.ru Рис. 2. Динамика количества и объема операций без согласия клиента. Источник: ФинЦЕРТ Департамента информационнои безопасности Банка России