Журнал "Information Security/ Информационная безопасность" #6, 2020

сональных данных" (далее – ФЗ-152), заменив ее положениями об особенно- стях обработки общедоступных персо- нальных данных (ПДн). Основные изменения, описанные зако- нопроектом: 1. Введение отдельной формы согла- сия субъекта ПДн на обработку общедо- ступных ПДн. При этом в законопроекте определены требования к содержанию такого согласия, но не определена форма предоставления согласия. 2. Оператор обязан предоставить воз- можность субъекту ПДн указать, какие категории своих ПДн он делает общедо- ступными. Если по каким-то причинам в согласии субъектом однозначно не ука- зано, какие из категорий персональных данных он делает общедоступными, то оператор вправе обрабатывать такие ПДн как "иные", то есть без предоставления к ним доступа неограниченному кругу лиц. 3. В качестве одного из вариантов предоставления согласия на обработку общедоступных ПДн предполагается использование информационной систе- мы Роскомнадзора. Пояснений, какая информационная система имеется в виду, в законопроекте не приводится. Скорее всего, следует ожидать созда- ния указанной системы в будущем. 4. Не допускается получение оператором согласия на обработку общедоступных пер- сональных данных по умолчанию или без- действию субъекта персональных данных. 5. Обработка неограниченным кругом лиц общедоступных ПДн субъекта ПДн, ранее представленных оператору, может осуществляться без согласия субъекта ПДн при условии, что из ранее предо- ставленного оператору согласия одно- значно следует, что ПДн сделаны обще- доступными субъектом ПДн и в указанном согласии не установлены условия обра- ботки и запреты на обработку общедо- ступных ПДн. Оператор обязан опублико- вать информацию об условиях обработки и о наличии запретов на обработку неогра- ниченным кругом лиц ПДн, сделанных субъектом ПДн общедоступными. Проект замены положения Банка России № 684-П В ноябре 2020 г. Банк России пред- ставил проект положения "Об установ- лении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению неза- конных финансовых операций" (далее – проект положения) 8 . Проект положения направлен на заме- ну действующего сейчас положения Банка России от 17.04.2019 г. № 684-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении дея- тельности в сфере финансовых рынков в целях противодействия осуществле- нию незаконных финансовых операций" (далее – 684-П). Основными отличиями проекта положения от действующего 684-П являются: 1. Расширение перечня некредитных финансовых организаций, попадающих под сферу действия положения. Добави- лись: операторы инвестиционных плат- форм; операторы финансовых платформ; операторы информационных систем, в которых осуществляется выпуск циф- ровых финансовых активов; операторы обмена цифровых активов. 2. Уточнены показатели отнесения некредитных финансовых организаций к организациям, которые обязаны реа- лизовать усиленный и стандартный уров- ни защиты информации. 3. Добавлены некредитные финансо- вые организации, которым необходимо реализовывать минимальный уровень защиты информации. 4. Скорректировано требование по сертификации прикладного программ- ного обеспечения на наличие уязвимо- стей/недекларированных возможностей или проведению анализа уязвимостей по требованиям к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4. Теперь сертификацию необходимо будет проводить на соответствие Требованиям к уровням доверия либо проводить пол- ную оценку соответствия по требованиям к ОУД не ниже, чем ОУД 4. 5. Уточнены нормативные акты, соот- ветствие которым необходимо в случае применения некредитной финансовой организацией ЕБС (единой информа- ционной системы персональных дан- ных, обеспечивающей обработку, вклю- чая сбор и хранение биометрических ПДн, их проверку и передачу инфор- мации о степени их соответствия пре- доставленным биометрическим ПДн гражданина РФ) и ЕСИА (Единой систе- мы идентификации и аутентификации). При этом, как отмечается экспертным сообществом 9 , формулировки проекта положения имеют неоднозначную трак- товку. Так, первый абзац п. 1.9 положе- ния предусматривает возможность выбо- ра между сертификацией в системе сер- тификации ФСТЭК России и оценкой соответствия по ОУД. В дальнейшем же абзацы пятый и шестой п. 1.9 устанав- ливают обязанность проведения только сертификации. l • 5 ПРАВО И НОРМАТИВЫ www.itsec.ru 7 https://sozd.duma.gov.ru/bill/1057337-7 8 https://regulation.gov.ru/projects#npa=110533 9 https://naufor.ru/tree.asp?n=20706 Уровень значимости информации ГИС (сегмент ГИС) федерального масштаба ГИС (сегмент ГИС) регионального масштаба ГИС (сегмент ГИС) объектового масштаба Высокий уровень значимости КВ КС3 КС2 Средний уровень значимости КС3 КС3 КС1 Низкий уровень значимости КС2 КС1 КС1 Таблица. Отношение к классам СКЗИ Реклама