Вопрос: У кредитных организаций возникают вопросы, касающиеся соблюдения Методических рекомендаций Банка России по организации взаимодействия информационных систем организаций финансового рынка с инфраструктурой электронного правительства <1> (далее - Методические рекомендации).
--------------------------------
<1> Методические рекомендации Банка России по организации взаимодействия информационных систем организаций финансового рынка с инфраструктурой, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме (утв. Банком России 30.09.2024 N 16-МР).
Для эффективной и своевременной реализации Методических рекомендаций кредитные организации предлагают Банку России предоставить разъяснения по следующим вопросам.
1. В какие временные интервалы при наличии таковых Банк России ожидает от организаций финансового рынка соответствия Методическим рекомендациям?
2. Согласно п. 2.7 Методических рекомендаций организациям финансового рынка рекомендуется размещать объекты информационной инфраструктуры, используемые при взаимодействии с инфраструктурой электронного правительства, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Каким способом сегментации из приложенных ниже следует руководствоваться организациям при размещении объектов информационной инфраструктуры в выделенных сегментах вычислительных сетей?
Способы сегментации:
- логический, с помощью технологий VLAN на сетевом оборудовании;
- логический, на уровне управления виртуальной инфраструктурой;
- физический, путем создания отдельных локальных вычислительных сетей для ключевых сегментов.
3. Согласно п. 3.4 Методических рекомендаций организациям финансового рынка рекомендуется обеспечивать сверку подписей документов, поступивших из инфраструктуры электронного правительства после их подписания клиентами организаций, на соответствие первичным документам, сформированным клиентами и направленным в инфраструктуру электронного правительства.
По каким атрибутам/полям организациям финансового рынка следует выполнять данную сверку? Кредитные организации предлагают Банку России поделиться более детальными указаниями по ожидаемой технологической реализации данного пункта Методических рекомендаций.
4. Согласно п. 2.5 Методических рекомендаций организациям финансового рынка рекомендуется обеспечивать конфиденциальность электронных сообщений с использованием СКЗИ класса не ниже КС3, предусмотренных п. 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных <2>. Однако на стороне системы межведомственного электронного взаимодействия (далее - СМЭВ) требование к использованию СКЗИ класса не ниже КС3 отсутствует <3>.
--------------------------------
<2> Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных Приказом ФСБ России от 10.07.2014 N 378.
<3> Согласно разъяснениям Федерального ситуационного центра электронного правительства.
Какими требованиями обеспечения конфиденциальности электронных сообщений необходимо руководствоваться организациям финансового рынка при взаимодействии со СМЭВ? Не вызовет ли использование организацией финансового рынка СКЗИ класса не ниже КС3 при взаимодействии со СМЭВ технических рисков (некорректная расшифровка сообщений)?
5. Согласно п. 2.9 Методических рекомендаций при организации взаимодействия информационных систем организаций финансового рынка со СМЭВ, ЕСИА и инфраструктурой цифрового профиля необходимо обеспечить реализацию мер, предусмотренных п. 11 Положения об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме (далее - Положение) <4>. Требования п. 11 Положения распространяются на операторов информационных систем органов и организаций, а также оператора информационных систем, входящих в состав инфраструктуры взаимодействия.
--------------------------------
<4> Утверждено Постановлением Правительства РФ от 08.06.2011 N 451.
Является ли выполнение требований п. 11 Положения обязательным для организаций финансового рынка? В случае обязательности требований по каким электронным каналам сети организациям финансового рынка необходимо незамедлительно информировать оператора инфраструктуры взаимодействия и операторов информационных систем органов и организаций, участвующих во взаимодействии, о сбоях и нарушениях в работе своих информационных систем, которые могут повлечь нарушение сроков и качества предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций, а также о нарушении требований об обеспечении информационной безопасности <5>?
--------------------------------
<5> Для исполнения пп. "д" п. 11 Положения.
Ответ: Департамент информационной безопасности Банка России рассмотрел обращение по вопросам соблюдения кредитными организациями (далее также - организации финансового рынка) Методических рекомендаций Банка России по организации взаимодействия информационных систем организаций финансового рынка с инфраструктурой, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, от 30.09.2024 N 16-МР (далее - Методические рекомендации N 16-МР) и сообщает следующее.
Указанные Методические рекомендации, в соответствии со статьей 7 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", не являются нормативным актом Банка России и носят рекомендательный характер.
В связи с этим кредитные организации вправе самостоятельно определять подходы к организации взаимодействия их информационных систем с инфраструктурой, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме (далее - инфраструктура электронного правительства).
Дополнительно отмечаем, что в соответствии со статьей 56 Федерального закона от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" Банк России не вмешивается в оперативную деятельность кредитных организаций, за исключением случаев, предусмотренных федеральными законами. В связи с этим Банк России не рассматривает конкретные реализации и технические решения.
Вместе с тем с учетом вышеизложенного по вопросам кредитных организаций разъясняем.
1. Банком России не установлены сроки приведения работы кредитных организаций в соответствие Методическим рекомендациям N 16-МР.
2. При размещении объектов информационной инфраструктуры в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей кредитным организациям необходимо руководствоваться любым способом, исключающим несанкционированный доступ между сегментами вычислительных сетей.
3. Для проверки соответствия (сверки) подписей документов, поступивших из инфраструктуры электронного правительства после их подписания клиентами организаций финансового рынка, на неизменность (соответствие) первичным документам, сформированным клиентами организаций финансового рынка и направленным в инфраструктуру электронного правительства, кредитные организации вправе самостоятельно определять механизмы, в том числе атрибуты/поля, проверки (сверки) электронной подписи документов, соответствующие законодательству Российской Федерации.
4. При взаимодействии с единой системой межведомственного электронного взаимодействия (далее - СМЭВ) кредитным организациям следует руководствоваться актуальными Методическими рекомендациями по работе со СМЭВ, размещенными по адресу https://info.gosuslugi.ru/new/smev, а также материалами по использованию личного кабинета участника взаимодействия, размещенными по адресу https://lkuv.gosuslugi.ru/paip-portal/#/main/.
5. За разъяснениями по вопросу определения кредитными организациями каналов информирования оператора инфраструктуры взаимодействия и операторов информационных систем органов и организаций о сбоях и нарушениях в работе своих информационных систем целесообразно обратиться в Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации, которое в соответствии с постановлением Правительства Российской Федерации от 08.06.2011 N 451 "Об инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме" координирует работы по подключению информационных систем, используемых для предоставления государственных и муниципальных услуг, к инфраструктуре взаимодействия, а также проводит мониторинг функционирования инфраструктуры взаимодействия.
Директор Департамента
информационной безопасности
В.А.УВАРОВ
11.02.2025