Вопрос: Кредитные организации направляют вопросы и предложения по тематике обеспечения информационной безопасности и импортозамещения (в Приложении).
Приложение: на 5 л. в 1 экз.
Приложение
Вопросы и предложения кредитных организаций по тематике
информационной безопасности
1. Согласно п. 1.9 Положения N 762-П <1> перевод денежных средств осуществляется банками по распоряжениям плательщиков в электронном виде или на бумажных носителях. Согласно п. 1.26 Положения N 762-П распоряжение плательщика на перевод денежных средств в электронном виде должно быть подписано электронной подписью, аналогом собственноручной подписи и (или) удостоверяется кодами, паролями и иными средствами, позволяющими подтвердить, что распоряжение составлено плательщиком или уполномоченным на это лицом. Требования к обеспечению защиты информации при осуществлении переводов денежных средств установлены Положениями N 683-П <2> и N 821-П <3>. Учитывая требования указанных нормативных правовых актов:
- может ли банк использовать телекоммуникационный канал связи "электронная почта" для получения распоряжений клиента на перевод денежных средств в электронной форме, подписанных электронной подписью;
- применимы ли в случае получения распоряжения на перевод денежных средств в электронной форме с применением электронной почты меры по обеспечению защиты информации, указанные в Положениях N 683-П и N 821-П?
--------------------------------
<1> Положение Банка России от 29.06.2021 N 762-П "О правилах осуществления перевода денежных средств".
<2> Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".
<3> Положение Банка России от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".
2. В соответствии с Методическими рекомендациями N 14-МР <4> возможным способом информирования ФСБ России о компьютерных инцидентах и компьютерных атаках, а также о результатах по реагированию и принятию мер по ликвидации последствий компьютерных инцидентов и атак является передача соответствующей информации в Банк России с использованием технической инфраструктуры Банка России - Автоматизированной системы обработки инцидентов ФинЦЕРТ Банка России (АСОИ ФинЦЕРТ) - с последующим направлением Банком России полученной информации в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
--------------------------------
<4> Методические рекомендации Банка России от 26.10.2023 14-МР "По выполнению кредитными и некредитными финансовыми организациями мероприятий по обеспечению безопасности критической информационной инфраструктуры Российской Федерации в части информирования федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, о компьютерных инцидентах, результатах мероприятий по реагированию на них и принятии мер по ликвидации последствий компьютерных атак".
При этом согласно Методическим рекомендациям N 15-МР <5> в случае выявления компьютерных инцидентов и атак кредитная организация в целях уголовно-правовой оценки действий злоумышленников обращается с заявлением в уполномоченные органы (МВД России и ФСБ России) с использованием сервиса приема обращений граждан и организаций или очно в их территориальные подразделения.
--------------------------------
<5> Методические рекомендации Банка России от 26.10.2023 N 15-МР "По взаимодействию кредитных организаций с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов критической информационной инфраструктуры".
Действующее законодательство, в частности Уголовно-процессуальный кодекс Российской Федерации, не обязывает лицо (независимо от того, является оно потерпевшим или свидетелем) обращаться в правоохранительные органы с заявлением о возбуждении уголовного дела по факту действий злоумышленников. Такое обращение всегда является правом лица.
В этой связи обязана ли кредитная организация, которой реализовано информирование регуляторов о компьютерных инцидентах и атаках с помощью АСОИ ФинЦЕРТ, дополнительно обращаться с заявлением об инцидентах в МВД России и ФСБ России, или такое обращение является ее правом?
3. В соответствии со ст. 57.5-1 Закона N 86-ФЗ <6> кредитные организации обязаны обеспечить переход на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов (ПАК), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации (КИИ). Банк России согласовывает планы мероприятий по переходу на преимущественное использование российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе ПАК (далее - План мероприятий), и заявки на закупку иностранных ИТ-решений.
--------------------------------
<6> Федеральный закон от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)".
Верно ли, что:
- требование по переходу на преимущественное использование отечественных решений распространяется исключительно на значимые объекты КИИ;
- для подтверждения проведенного категорирования объектов КИИ достаточно факта включения данных объектов в Реестр КИИ, подтвержденного уведомлением от ФСТЭК России;
- кредитные организации, которые не имеют в своей инфраструктуре значимых объектов КИИ, могут не согласовывать с Банком России Планы мероприятий и закупку иностранных ИТ-решений;
- кредитным организациям при осуществлении перехода необходимо руководствоваться сроками, установленными в Постановлении N 1912 <7>?
--------------------------------
<7> Постановление Правительства Российской Федерации от 14.11.2023 N 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации".
4. В соответствии с п. 21 Правил категорирования объектов КИИ <8> субъект КИИ не реже чем один раз в пять лет, а также в случае изменения показателей критериев значимости объектов КИИ или их значений осуществляет пересмотр установленных категорий значимости или решений об отсутствии необходимости присвоения указанным объектам таких категорий. Согласно ст. 57.5-1 Закона N 86-ФЗ Банк России осуществляет согласование Планов мероприятий кредитных организаций.
--------------------------------
<8> Утверждены Постановлением Правительства Российской Федерации от 08.02.2018 N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений".
В какой срок в случае присвоения одному из объектов КИИ категории значимости необходимо разработать и согласовать с Банком России План мероприятий?
5. 25 июля 2024 г. вступает в силу Закон N 369-ФЗ <9>, который вносит существенные изменения в процедуры антифрода в кредитных организациях. Важным элементом системы противодействия мошенничеству становится сверка реквизитов операции с информацией, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента (далее - АС "Фид-Антифрод"). Осуществление кредитной организацией перевода по содержащимся в АС "Фид-Антифрод" реквизитам без реализации механизма двухдневного периода "охлаждения" влечет за собой обязанность по возмещению клиенту суммы перевода.
--------------------------------
<9> Федеральный закон от 24.07.2023 N 369-ФЗ "О внесении изменений в Федеральный закон "О национальной платежной системе".
В этой связи при проверке факта добросовестного исполнения кредитной организацией требований Закона N 369-ФЗ и вынесении решения о возмещении суммы перевода определяющее значение будет иметь время совершения операции по реквизитам, содержащимся в АС "Фид-Антифрод", по сравнению с временем информирования Банком России кредитных организаций о включении данного реквизита в базу данных.
В настоящее время показатель, который мог бы использоваться для такого сравнения, отсутствует. Содержащееся в записи каждого реквизита в АС "Фид-Антифрод" поле "date", в котором отображаются дата и время последней актуальной операции без согласия по данному реквизиту, не может использоваться для указанных целей. Информация о новом реквизите в АС "Фид-Антифрод" становится доступна кредитным организациям существенно позже значения, указанного в поле "date", так как требуется дополнительное время для внесения реквизита в базу данных, отправки информации в кредитные организации и ее загрузки в системы антифрода.
В этой связи возможно ли введение дополнительного поля для реквизитов в АС "Фид-Антифрод": дата и время вступления в силу каждой записи о реквизите, которые должны отражать реальное время появления информации о данном реквизите у кредитных организаций? К операциям без согласия, совершенным ранее этой даты и времени, не должны применяться период "охлаждения" и, соответственно, обязанность по возмещению суммы перевода денежных средств.
Ответ: Департамент информационной безопасности Банка России рассмотрел обращение от 14.03.2024 по вопросам, связанным с обеспечением информационной безопасности и импортозамещения, и сообщает следующее.
По вопросу 1. В соответствии с пунктом 4.1 Положения Банка России N 683-П <1> и пунктом 1.2 Положения Банка России N 821-П <2> кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети Интернет, прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности".
--------------------------------
<1> Положение Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента".
<2> Положение Банка России от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".
Вместе с тем в соответствии с подпунктом 5.1 пункта 5 Положения Банка России N 683-П для обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или средств криптографической защиты информации, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
В рамках реализации требований абзаца второго подпункта 5.1 пункта 5 Положения Банка России N 683-П при подписании электронных сообщений допускается использование иных аналогов собственноручной подписи, кодов, паролей и других средств при условии использования средств криптографической защиты информации, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
С учетом вышеизложенного в случае применения телекоммуникационного канала "электронная почта" для получения подписанных электронной подписью распоряжений клиентов на перевод денежных средств в электронном виде требования пункта 4.1 Положения Банка России N 683-П и пункта 1.2 Положения Банка России N 821-П не соблюдаются.
Обращаем внимание, что Банк России не рассматривает конкретные реализации и технические решения, так как в соответствии со статьей 56 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" Банк России не вмешивается в оперативную деятельность кредитных организаций, за исключением случаев, предусмотренных федеральными законами.
По вопросу 2. Согласно Методическим рекомендациям по взаимодействию кредитных организаций с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов критической информационной инфраструктуры от 26.10.2023 N 15-МР обращение в МВД России и ФСБ России с заявлением об инцидентах является правом кредитной организации.
По вопросу 3:
1) в соответствии с указами Президента Российской Федерации от 30.03.2022 N 166 "О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации" и от 01.05.2022 N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" запрещается использование иностранных решений на значимых объектах критической информационной инфраструктуры Российской Федерации;
2) результатом проведенного категорирования объектов критической информационной инфраструктуры (далее - КИИ) можно считать подтверждение от ФСТЭК России. Вместе с тем просим уведомлять Банк России о результатах проведенного категорирования;
3) в соответствии с абзацем вторым статьи 57.5-1 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" кредитные организации обязаны осуществлять закупки иностранного программного обеспечения, радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов, а также закупки услуг, необходимых для их использования на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, в соответствии с согласованными Банком России заявками. В случае если организация планирует совершать указанные закупки, требуется согласование с Банком России;
4) сроки перехода в части программного обеспечения установлены постановлением Правительства Российской Федерации от 22.08.2022 N 1478 "Об утверждении требований к программному обеспечению, в том числе в составе программно-аппаратных комплексов, используемому органами государственной власти, заказчиками, осуществляющими закупки в соответствии с Федеральным законом N 223-ФЗ <3> (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, Правил согласования закупок иностранного программного обеспечения, в том числе в составе программно-аппаратных комплексов, в целях его использования заказчиками, осуществляющими закупки в соответствии с Федеральным законом N 223-ФЗ (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации, а также закупок услуг, необходимых для использования этого программного обеспечения на таких объектах, и Правил перехода на преимущественное использование российского программного обеспечения, в том числе в составе программно-аппаратных комплексов, заказчиками, осуществляющими закупки в соответствии с Федеральным законом N 223-ФЗ (за исключением организаций с муниципальным участием), на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации".
--------------------------------
<3> Федеральный закон от 18.07.2011 N 223-ФЗ "О закупках товаров, работ, услуг отдельными видами юридических лиц".
Сроки перехода в части программно-аппаратных комплексов установлены постановлением Правительства Российской Федерации от 14.11.2023 N 1912 "О порядке перехода субъектов критической информационной инфраструктуры Российской Федерации на преимущественное применение доверенных программно-аппаратных комплексов на принадлежащих им значимых объектах критической информационной инфраструктуры Российской Федерации".
По вопросу 4. В случае если кредитные организации предполагают, что их объекты КИИ могут стать значимыми до наступления сроков реализации перехода на преимущественное применение российского программного обеспечения, отечественных радиоэлектронной продукции и телекоммуникационного оборудования, в том числе в составе программно-аппаратных комплексов (ПАК), им следует заблаговременно начать работу по переходу на такие решения и, соответственно, разработать и согласовать с Банком России соответствующие планы мероприятий. В случае если присвоение категории значимости объекту КИИ произойдет после сроков, установленных Правительством Российской Федерации, кредитная организация должна осуществить переход на российские решения на данном объекте до завершения процесса его категорирования.
По вопросу 5. Информацию о дате и времени добавления реквизита в базу данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента (далее - база данных) планируется включить в дополнительное поле для реквизитов в АС "Фид-Антифрод".
При этом сообщаем, что сроки применения информации из базы данных предварительно определены в проектируемом Указании Банка России "О порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без добровольного согласия клиента, порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента, порядке запроса и получения Банком России у операторов по переводу денежных средств, операторов платежных систем, операторов услуг платежной инфраструктуры, операторов электронных платформ информации о переводах денежных средств, связанных с переводами денежных средств без добровольного согласия клиента, в отношении которых от федерального органа исполнительной власти в сфере внутренних дел получены сведения о совершенных противоправных действиях в соответствии с частью 8 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", а также о порядке реализации ими мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента" (проект указания Банка России взамен Указания Банка России от 09.01.2023 N 6354-У).
И.о. директора Департамента
информационной безопасности
А.О.ВЫБОРНОВ
10.04.2024