Письмо Банка России от 10 апреля 2024 г. № 56-27/907 “О рассмотрении обращения”

Департамент информационной безопасности Банка России рассмотрел обращение Ассоциации "Россия" от 14.03.2024 № 02-05/248 по вопросам, связанным с обеспечением информационной безопасности и импортозамещения, и сообщает следующее.

По вопросу 1. В соответствии с пунктом 4.1 Положения Банка России N 683-П1 и пунктом 1.2 Положения Банка России N 821-П2 кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет", прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности".

Вместе с тем, в соответствии с подпунктом 5.1 пункта 5 Положения Банка России N 683-П, для обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или средств криптографической защиты информации, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.

В рамках реализации требований абзаца второго подпункта 5.1 пункта 5 Положения Банка России N 683-П при подписании электронных сообщений допускается использование иных аналогов собственноручной подписи, кодов, паролей и других средств при условии использования средств криптографической защиты информации, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.

С учетом вышеизложенного в случае применения телекоммуникационного канала "электронная почта" для получения подписанных электронной подписью распоряжений клиентов на перевод денежных средств в электронном виде требования пункта 4.1 Положения Банка России N 683-П и пункта 1.2 Положения Банка России № 821-П не соблюдаются.

Обращаем внимание, что Банк России не рассматривает конкретные реализации и технические решения, так как, в соответствии со статьей 56 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", Банк России не вмешивается в оперативную деятельность кредитных организаций, за исключением случаев, предусмотренных федеральными законами.

По вопросу 2. Согласно Методическим рекомендациям по взаимодействию кредитных организаций с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов критической информационной инфраструктуры от 26.10.2023 N 15-МР обращение в МВД России и ФСБ России с заявлением об инцидентах является правом кредитной организации.

По вопросу 3:

1) в соответствии с указами Президента Российской Федерации от 30.03.2022 N 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" и от 01.05.2022 N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" запрещается использование иностранных решений на значимых объектах критической информационной инфраструктуры Российской Федерации;

2) результатом проведенного категорирования объектов критической информационной инфраструктуры (далее - КИИ) можно считать подтверждение от ФСТЭК России. Вместе с тем просим уведомлять Банк России о результатах проведенного категорирования;

3) в соответствии с абзацем вторым статьи 57.5-1 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" кредитные организации обязаны осуществлять закупки иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупки услуг, необходимых для их использования на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, в соответствии с согласованными Банком России заявками. В случае если организация планирует совершать указанные закупки, требуется согласование с Банком России;

4) сроки перехода в части программного обеспечения установлены постановлением Правительства Российской Федерации от 22.08.2022 N 1478 "Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом N 223-ФЗ3 (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры российской федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом N 223-ФЗ (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, заказчиками, осуществляющими закупки в соответствии с Федеральным законом N 223-ФЗ (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации".

Сроки перехода в части программно-аппаратных комплексов установлены постановлением Правительства Российской Федерации от 14.11.2023 N 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации".

По вопросу 4. В случае если кредитные организации предполагают, что их объекты КИИ могут стать значимыми до наступления сроков реализации перехода на преимущественное применение российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов (ПАК), им следует заблаговременно начать работу по переходу на такие решения и, соответственно, разработать и согласовать с Банком России соответствующие планы мероприятий. В случае если присвоение категории значимости объекту КИИ произойдет после сроков, установленных Правительством Российской Федерации, кредитная организация должна осуществить переход на российские решения на данном объекте до завершения процесса его категорирования.

По вопросу 5. Информацию о дате и времени добавления реквизита в базу данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента (далее - база данных) планируется включить в дополнительное поле для реквизитов в АС "Фид-Антифрод".

При этом сообщаем, что сроки применения информации из базы данных предварительно определены в проектируемом Указании Банка России "О порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без добровольного согласия клиента, порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента, порядке запроса и получения Банком России у операторов по переводу денежных средств, операторов платежных систем, операторов услуг платежной инфраструктуры, операторов электронных платформ информации о переводах денежных средств, связанных с переводами денежных средств без добровольного согласия клиента, в отношении которых от федерального органа исполнительной власти в сфере внутренних дел получены сведения о совершенных противоправных действиях в соответствии с частью 8 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", а также о порядке реализации ими мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента" (проект указания Банка России взамен Указания Банка России от 09.01.2023 N 6354-У).

------------------------------

1 Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".

2 Положение Банка России от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”.

3 Федеральный закон от 18.07.2011 N 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц".