Ответы Банка России на оставшиеся разные вопросы, поступившие от отрасли.
Ответ: Контроль (мониторинг) использования технических средств защиты информации закреплен п. 2.14.5 действующей редакции положения 382-П за службой информационной безопасности ОПДС и ОУПИ. В отношении СПФС порядок оказания услуг регламентируется Указанием Банка России от 20.09.2019 № 5263-У, а остальные требования защиты определяются Договором на оказание услуг.
Ответ: Требования стандартов Банка России носят рекомендательный характер. В связи с принятием Положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» требования, установленные национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта» (далее - ГОСТ Р 57580.1-2017), являются обязательными.
Ответ: На основании части 11.1 статьи 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее – Федеральный закон № 161-ФЗ) при получении от клиента - юридического лица уведомления, указанного в части 11 статьи 9 Федерального закона № 161-ФЗ, после осуществления списания денежных средств с банковского счета клиента оператор по переводу денежных средств, обслуживающий плательщика, обязан незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя средств, уведомление о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств (далее - уведомление о приостановлении) по форме и в порядке, которые установлены нормативным актом Банка России.
Согласно пункту 1 Указания № 5039-У оператор по переводу денежных средств, обслуживающий плательщика, при получении от клиента - юридического лица уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента должен незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя, уведомление о приостановлении в виде электронного сообщения, позволяющего воспроизвести его на бумажном носителе.
В соответствии с пунктом 1.4 Указания № 4926-У оператор по переводу денежных средств, обслуживающий плательщика, оператор услуг платежной инфраструктуры - субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяемые в соответствии с Федеральным законом от 26 июля 2017 года № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", должны направить в Банк России первичное уведомление в течение трех часов с момента наступления событий, указанных в абзацах четвертом и шестом пункта 1.3 Указания № 4926-У, и в течение одного рабочего дня, следующего за днем наступления событий, указанных в абзацах втором, третьем и пятом пункта 1.3 Указания № 4926-У.
Иные операторы по переводу денежных средств, обслуживающие плательщика, операторы услуг платежной инфраструктуры должны направить в Банк России информацию о переводах без согласия клиента по форме первичного уведомления:
Таким образом, в указанных нормах Федерального закона № 161-ФЗ, Указании № 5039-У указано требование о незамедлительном направлении операторами по переводу денежных средств друг другу уведомлений о приостановлении. Сроки, содержащиеся в Указании № 4926-У, относятся к направлению в Банк России уведомлений о случаях и попытках осуществления переводов денежных средств без согласия клиента. Следовательно, указанные сроки не могут рассматриваться в качестве тождественных.
Между тем полагаем, что незамедлительное направление уведомлений о приостановлении означает направление без промедления, при первой возможности. Допустимость направления уведомлений о приостановлении в течение 24 часов будет рассматриваться в каждом конкретном случае, принимая во внимание обстоятельства, характеризующие возможность направления оператором по переводу денежных средств указанных уведомлений.
Ответ: На основании части 11.1 статьи 9 Федерального закона № 161-ФЗ при получении от клиента - юридического лица уведомления, указанного в части 11 статьи 9 Федерального закона № 161-ФЗ, после осуществления списания денежных средств с банковского счета клиента оператор по переводу денежных средств, обслуживающий плательщика, обязан незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя средств, уведомление о приостановлении по форме и в порядке, которые установлены нормативным актом Банка России.
Согласно пункту 3 Указания № 5029-У оператор плательщика, оператор получателя (далее при совместном упоминании - операторы) должны направлять уведомление о приостановлении, уведомление о невозможности приостановления (далее при совместном упоминании - уведомления) с использованием технической инфраструктуры (автоматизированной системы) Банка России, указанной в пункте 1.2 Указания № 4926-У.
Таким образом, уведомления направляются операторами друг другу, техническая инфраструктура (АСОИ ФинЦЕРТ) является каналом взаимодействия.
Ответ: Банк России участвует в рассмотрении проектов федеральных законов в сфере инновационных финансовых технологий (например, проект федерального закона № 419059-7 «О цифровых финансовых активах», проект федерального закона № 617867-7 «О совершении сделок с использованием электронной платформы»).
Так, Банком России инициированы изменения в указанные проекты федеральных законов в части требований к защите информации, относящихся к новым видам деятельности некредитных финансовых организаций.
Проект федерального закона № 747513-7 «О внесении изменений в отдельные законодательные акты (в части уточнения процедур идентификации и аутентификации)» (законопроект о «цифровом профиле») содержит вопросы, относящиеся к компетенции уполномоченных органов государственной власти, устанавливающих требования к защите информации в отношении государственных информационных систем.
1. Осталась ли для кредитных организаций, не подключившихся к СПФС, обязанность раз в квартал проводить контроль технической защиты информации? Или данная обязанность осталась только для участников СПФС?
Ответ: Контроль (мониторинг) использования технических средств защиты информации закреплен п. 2.14.5 действующей редакции положения 382-П за службой информационной безопасности ОПДС и ОУПИ. В отношении СПФС порядок оказания услуг регламентируется Указанием Банка России от 20.09.2019 № 5263-У, а остальные требования защиты определяются Договором на оказание услуг.
2. Необходимо ли в данный момент выполнять требования СТО Банка России? Если нет, то какова процедура отсоединения от данного стандарта? Необходимо ли уведомлять об отсоединении Банк России? Если да, то необходимо ли и дальше присылать результаты оценки соответствия наряду с отчетностью по 382-П и 57580.2?
Ответ: Требования стандартов Банка России носят рекомендательный характер. В связи с принятием Положения Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» требования, установленные национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 822-ст «Об утверждении национального стандарта» (далее - ГОСТ Р 57580.1-2017), являются обязательными.
3. Что понимается под «незамедлительным уведомлением при списании средств» согласно 161-ФЗ и 5039-У? В СТО 1.5, а также в 4926-У говорится о том, что в случае владения незначимыми объектами КИИ уведомление осуществляется в течение 24 часов. Не будет ли направление уведомления в течение 24-х часов рассматриваться как нарушение требования незамедлительности?
Ответ: На основании части 11.1 статьи 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» (далее – Федеральный закон № 161-ФЗ) при получении от клиента - юридического лица уведомления, указанного в части 11 статьи 9 Федерального закона № 161-ФЗ, после осуществления списания денежных средств с банковского счета клиента оператор по переводу денежных средств, обслуживающий плательщика, обязан незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя средств, уведомление о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств (далее - уведомление о приостановлении) по форме и в порядке, которые установлены нормативным актом Банка России.
Согласно пункту 1 Указания № 5039-У оператор по переводу денежных средств, обслуживающий плательщика, при получении от клиента - юридического лица уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента должен незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя, уведомление о приостановлении в виде электронного сообщения, позволяющего воспроизвести его на бумажном носителе.
В соответствии с пунктом 1.4 Указания № 4926-У оператор по переводу денежных средств, обслуживающий плательщика, оператор услуг платежной инфраструктуры - субъекты критической информационной инфраструктуры, которым на праве собственности, аренды или ином законном основании принадлежат значимые объекты критической информационной инфраструктуры, определяемые в соответствии с Федеральным законом от 26 июля 2017 года № 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации", должны направить в Банк России первичное уведомление в течение трех часов с момента наступления событий, указанных в абзацах четвертом и шестом пункта 1.3 Указания № 4926-У, и в течение одного рабочего дня, следующего за днем наступления событий, указанных в абзацах втором, третьем и пятом пункта 1.3 Указания № 4926-У.
Иные операторы по переводу денежных средств, обслуживающие плательщика, операторы услуг платежной инфраструктуры должны направить в Банк России информацию о переводах без согласия клиента по форме первичного уведомления:
- в случаях, указанных в абзацах четвертом и шестом пункта 1.3 Указания № 4926-У, - в течение 24 часов с момента наступления событий, указанных в пункте 1.3 Указания № 4926-У;
- в случаях, указанных в абзацах втором, третьем и пятом пункта 1.3 Указания № 4926-У, - в течение одного рабочего дня, следующего за днем наступления событий, указанных в пункте 1.3 Указания № 4926-У.
Таким образом, в указанных нормах Федерального закона № 161-ФЗ, Указании № 5039-У указано требование о незамедлительном направлении операторами по переводу денежных средств друг другу уведомлений о приостановлении. Сроки, содержащиеся в Указании № 4926-У, относятся к направлению в Банк России уведомлений о случаях и попытках осуществления переводов денежных средств без согласия клиента. Следовательно, указанные сроки не могут рассматриваться в качестве тождественных.
Между тем полагаем, что незамедлительное направление уведомлений о приостановлении означает направление без промедления, при первой возможности. Допустимость направления уведомлений о приостановлении в течение 24 часов будет рассматриваться в каждом конкретном случае, принимая во внимание обстоятельства, характеризующие возможность направления оператором по переводу денежных средств указанных уведомлений.
4. Согласно 161-ФЗ «оператор по переводу денежных средств, обслуживающий плательщика, должен незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя» в случае несанкционированного списания средств. Согласно 5039-У для такого уведомления должна использоваться техническая инфраструктура Банка России, то есть ФинЦЕРТ. Получается, что мы направляем уведомление не оператору, обслуживающему получателя, а Банку России. Не нарушаем ли мы тем самым законодательство?
Ответ: На основании части 11.1 статьи 9 Федерального закона № 161-ФЗ при получении от клиента - юридического лица уведомления, указанного в части 11 статьи 9 Федерального закона № 161-ФЗ, после осуществления списания денежных средств с банковского счета клиента оператор по переводу денежных средств, обслуживающий плательщика, обязан незамедлительно направить оператору по переводу денежных средств, обслуживающему получателя средств, уведомление о приостановлении по форме и в порядке, которые установлены нормативным актом Банка России.
Согласно пункту 3 Указания № 5029-У оператор плательщика, оператор получателя (далее при совместном упоминании - операторы) должны направлять уведомление о приостановлении, уведомление о невозможности приостановления (далее при совместном упоминании - уведомления) с использованием технической инфраструктуры (автоматизированной системы) Банка России, указанной в пункте 1.2 Указания № 4926-У.
Таким образом, уведомления направляются операторами друг другу, техническая инфраструктура (АСОИ ФинЦЕРТ) является каналом взаимодействия.
5. Планируются ли к разработке и, если да, то когда, нормативные акты Банка России, регулирующие вопросы защиты информации в проектах по цифровому профилю, Мастерчейне и финансовом маркетплейсе?
Ответ: Банк России участвует в рассмотрении проектов федеральных законов в сфере инновационных финансовых технологий (например, проект федерального закона № 419059-7 «О цифровых финансовых активах», проект федерального закона № 617867-7 «О совершении сделок с использованием электронной платформы»).
Так, Банком России инициированы изменения в указанные проекты федеральных законов в части требований к защите информации, относящихся к новым видам деятельности некредитных финансовых организаций.
Проект федерального закона № 747513-7 «О внесении изменений в отдельные законодательные акты (в части уточнения процедур идентификации и аутентификации)» (законопроект о «цифровом профиле») содержит вопросы, относящиеся к компетенции уполномоченных органов государственной власти, устанавливающих требования к защите информации в отношении государственных информационных систем.
