Информационная безопасность

Департамент информационной безопасности Банка России проинформировал Ассоциацию об издании и размещении на официальном сайте информационного письма от 21.07.2023 № ИН-017-56/48 о порядке проведения оценки соответствия защиты информации. Информационное письмо разъясняет вопросы порядка и сроков проведения оценки соответствия, необходимости привлечения для этого сторонних организаций и формата предоставления сведений о проведенной оценке в Банк России. Информационное письмо доступно по ссылке. 

Ассоциация банков России по просьбе Банка России провела опрос кредитных организаций о требуемом времени на доработку бизнес-процессов и информационных систем, используемых для обеспечения взаимодействия с Банком России в порядке и в форматах, предусмотренных новой редакцией Стандарта Банка России СТО БР БФБО-1.5-2023 «Безопасность финансовых (банковских) операций. 

Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности». Кроме результатов опроса, 

Ассоциация также запросила у Банка России техническую и организационно-технологическую информацию по процессу перехода на порядок взаимодействия с Банком России в соответствии с новой редакцией Стандарта. Департамент информационной безопасности Банка России рассмотрел данное обращение и направил разъяснения по вопросам кредитных организаций, а также сообщил информацию о порядке внедрения Стандарта.

Ассоциация банков России обратилась в ФСТЭК России по вопросу соблюдения квалификационных требований к заместителю руководителя кредитной организации по информационной безопасности (Ответственное лицо) в соответствии с Указом Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» и Постановлением Правительства Российской Федерации от 15.07.2022 № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)». 

Согласно требованиям, Ответственное лицо должно иметь высшее образование по направлению обеспечения информационной безопасности или пройти обучение по программе профессиональной переподготовки по направлению «Информационная безопасность». 

Ассоциация просила довести информацию относительно перечня программ профессиональной переподготовки, прохождение которых рекомендовано представителям кредитных организаций для соблюдения установленных требований к квалификации Ответственного лица.

ФСТЭК России сообщил, что в утвержденных ФСТЭК России примерных программах профессиональной подготовки отсутствуют вопросы, изучение которых позволит сформировать у обучаемых Ответственных лиц необходимые компетенции для соответствия предъявляемым к ним квалификационным требованиям. 

В настоящее время организована работа по разработке примерной программы профессиональной переподготовки по информационной безопасности при участии заинтересованных федеральных органов исполнительной власти и образовательных организаций.

В связи с опубликованием Указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» (далее – Указ) в Ассоциацию обратились кредитные организации по вопросам обеспечения информационной безопасности и защиты данных клиентов. Ассоциация направила данные вопросы в Банк России и Правительство Российской Федерации и получила ответы на них, в том числе в части назначения заместителя руководителя по информационной безопасности, обеспечения доступа к информационным системам для ФСБ России и порядка импортозамещения средств защиты информации.

По итогам рассмотрения проект указания Банка России «О формах, сроках и порядке составления и представления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности о защите информации при осуществлении переводов денежных средств» Ассоциация собрала замечания и предложения кредитных организаций к проекту и направила их в Банк России. Кроме того, в целях обсуждения наиболее значимых вопросов по заполнению отчетности по форме 04030203 была проведена рабочая встреча с представителями Департамента информационной безопасности Банка России. По результатам встречи были сформированы дополнительные вопросы и направлены в адрес регулятора. Банк России частично учел поступившие замечания и предложения, а также подготовил разъяснения по вопросам кредитных организаций.

Департамент информационной безопасности Банка России рассмотрел позицию членов Ассоциацией по проекту указания Банка России «О внесении изменений в Положение Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (Проект). Большинство замечаний и предложений учтены в новой редакции Проекта, регулятором предоставлены необходимые пояснения.

Ассоциация банков России в связи с опубликованием проекта указания Банка России «О внесении изменений в Указание Банка России от 8 октября 2018 года № 4926-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента» направила замечания и предложения к данному документу в Банк России, в том числе связанные с необходимостью актуализации Стандарта Банка России СТО БР БФБО-1.5-2018 «Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» и пересмотра обязательности информирования своих клиентов о включении в базу данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

Банк России в ответ на обращение сообщил о ведущейся работе по совершенствованию указанного Стандарта и планах представить порядок реализации модели информирования о включении клиентов в базу данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

Кроме того, Банк России учел предложения Ассоциации, связанные с уточнением порядка взаимодействия операторов по переводу денежных средств с Банком России по вопросам исключения данных о клиентах из базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

Кроме того, Банк России учел предложения Ассоциации, связанные с уточнением порядка взаимодействия операторов по переводу денежных средств с Банком России по вопросам исключения данных о клиентах из базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.