Изменения в 149-ФЗ «Об информации, информационных технологиях и о защите информации»

Запрет на использования иностранных мессенджеров распространяется на следующие организации:

- государственные компании
- государственные и муниципальные унитарные предприятия
- публично-правовые компании
- хозяйственные общества, в уставном капитале которых доля участия Российской Федерации, субъекта Российской Федерации, муниципального образования в совокупности превышает пятьдесят процентов
- кредитные организации
- профессиональные участники рынка ценных бумаг
- управляющие компании инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда
- специализированные депозитарии инвестиционного фонда, паевого инвестиционного фонда и негосударственного пенсионного фонда
- акционерные инвестиционные фонды
- клиринговые компании
- центральный контрагент
- организатор торговли
- центральный депозитарий
- репозитарии
- страховые компании
- негосударственные пенсионные фонды
- микрофинансовые организации
- кредитные потребительские кооперативы
- жилищные накопительные кооперативы
- ломбарды
- оператор инвестиционной платформы
- оператор финансовой платформы
- операторы информационных систем, в которых осуществляется выпуск цифровых финансовых активов
- операторы обмена цифровых финансовых активов
- субъекты национальной платежной системы.

Под запрет попали системы и программы, принадлежащие иностранным юридическим лицам и (или) иностранным гражданам. Запрещаемые системы и программы должны, кроме того, соответствовать следующим требованиям:

• предназначены или используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем или программ
• тправитель электронного сообщения определяет получателя или получателей электронного сообщения;
• не предусматривается размещение пользователями сети «Интернет» общедоступной информации в сети «Интернет».

На основе этих требований можно выделить типы систем и программ, которые запрещается использовать. Например, указанным характеристикам соответствуют мессенджеры, системы передачи информации, системы электронного документооборота, в которых общение и взаимодействие пользователей происходит только внутри этой системы. А вот передача информации по электронной почте к данным ограничениям не относится.

Организациям не требуется определять самим, что входит в перечень запрещенных систем и программ. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) публикует их перечень на своем сайте (ссылка: Роскомнадзор - Вниманию российских организаций, использующих иностранные сервисы (rkn.gov.ru). )

На 1 марта 2023 года в перечень входят:

- Discord;
- Microsoft Teams;
- Skype for Business;
- Snapchat;
- Telegram;
- Threema;
- Viber;
- WhatsApp;
- WeChat.

Перечень не является окончательным и может быть дополнен в будущем.

Если сервис попал с список запрещенных, не значит, что организациям полностью запретили его использование. Под запрет попадают только некоторые виды деятельности, а именно:

• предоставление государственных и муниципальных услуг;
• выполнение государственного или муниципального задания;
• реализация товаров, работ, услуг, имущественных прав;
• передача платежных документов;
• предоставление информации, содержащей персональные данные граждан Российской Федерации;
• предоставление информации, содержащей данные о переводах денежных средств в рамках применяемых форм безналичных расчетов;
• предоставление информации, содержащей сведения, необходимые для осуществления платежей;
• предоставление информации, содержащей сведения о счетах (вкладах) граждан Российской Федерации в банках.

Кроме того, запрещается не только использовать сами системы или программы, но и подключать к ним иные информационные системы организаций для обеспечения возможности перевода денежных средств граждан Российской Федерации в рамках применяемых форм безналичных расчетов.

Для финансовых организаций это означает, в частности, запрет использования иностранных мессенджеров для приема поручений на переводы денежных средств, для отправки одноразовых кодов доступа к системам интернет-банкинга, для отправки клиентам выписок о движении по счету.

На использования систем и программ из перечня Роскомнадзора для реализации иных видов деятельности, а также для внутреннего общения в организациях (если при этом не передается информация из списка выше) запрета на данный момент нет.

На данный момент нет специальных санкций за использование иностранных мессенджеров, но к организациям могут быть применены меры, аналогичные мерам за нарушение порядка обработки и защиты персональных данных, а также за обеспечение защиты информации и применение информационных систем и технологий.

Организациям, на которых распространяются изменения в 149-ФЗ, необходимо проанализировать используемые системы и программы и определить:

• используются ли в организации программы, принадлежащие иностранным юридическим лицам и (или) иностранным гражданам и соответствующие требованиям к мессенджерам;
• используются ли такие программы для указанного выше списка видов деятельности;
• включены ли такие программы в список Роскомнадзора.

Если совпали все критерии, организациям нужно уже сейчас изменить бизнес-процессы. Если в организации обнаружились системы, к которым подходят только первые два критерия, на данный момент запрета на их использование нет. Однако рекомендуется уже сейчас быть готовым к тому, что системы могут попасть в список запрещенных, и заранее исключить их из своих бизнес-процессов.

Юлия Задубровская, руководитель направления безопасности финансовых организаций Infosecurity