ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ
ФЕДЕРАЦИИ
ПИСЬМО
от 9 сентября 2022 года N 017-56/8543
О рассмотрении обращения
Банк
России рассмотрел обращение Ассоциации
банков России по вопросам реализации
требований Указа Президента Российской
Федерации от 01.05.2022 N 250 "О
дополнительных мерах по обеспечению
информационной безопасности Российской
Федерации" (далее - Указ) и сообщает
следующее.
В
настоящее время Банк России
прорабатывает вопросы реализации
кредитными организациями положений
Указа в части назначения заместителя
руководителя кредитной организации
ответственным за обеспечение
информационной безопасности, а также
необходимости внесения изменений в
законодательство Российской Федерации,
направленных на устранение ограничений,
которые могут препятствовать назначению
заместителя руководителя кредитной
организации ответственным за
обеспечение информационной
безопасности с учетом требований к его
квалификации, предусмотренных разделом
II Типового положения о заместителе
руководителя органа (организации),
ответственного за обеспечение
информационной безопасности в органе
(организации)
.
Утверждено постановлением
Правительства Российской Федерации от
15.07.2022 N 1272 "Об утверждении типового
положения о заместителе руководителя
органа (организации), ответственном за
обеспечение информационной
безопасности в органе (организации), и
типового положения о структурном
подразделении в органе (организации),
обеспечивающем информационную
безопасность органа (организации)".
При
этом отмечаем, что Банк России в
соответствии с Федеральным законом N
86-ФЗ
не наделен полномочиями по
официальному разъяснению
законодательства Российской Федерации в
сфере безопасности критической
информационной инфраструктуры
Российской Федерации. Вместе с тем
полагаем возможным отметить следующее.
Федеральный закон от 10.07.2022* N 86-ФЗ
"О Центральном банке Российской
Федерации (Банке России)".
* Вероятно, ошибка оригинала. Следует
читать "от 10.07.2002". - Примечание
изготовителя базы данных.
По
вопросам 1 и 6. При привлечении Банка
России к разработке нормативных
правовых актов, принимаемых во
исполнение Федерального закона N 187-ФЗ
, Банк России высказывал позицию
относительно целесообразности
установления нормативного
регулирования критической
информационной инфраструктуры
Российской Федерации (далее - КИИ)
соразмерно регулированию,
предусмотренному приказом ФСТЭК России N
239
, который определяет необходимость
применения специальных мер защиты
информации только в отношении значимых
объектов КИИ.
Федеральный закон от 26.07.2017 N 187-ФЗ
"О безопасности критической
информационной инфраструктуры
Российской Федерации".
Приказ ФСТЭК России от 25.12.2017 N 239
"Об утверждении Требований по
обеспечению безопасности значимых
объектов критической информационной
инфраструктуры Российской
Федерации".
Вместе
с тем следует отметить, что указанный
подход в регулировании существенно
сужает область информационной
инфраструктуры, к которой предъявляются
специальные требования к обеспечению
информационной безопасности. В этой
связи распространение положений Указа
только на значимые объекты КИИ не
обеспечивает безопасность КИИ в целом.
По
вопросу 2. В соответствии с подпунктом
"а" пункта 1 Указа полномочия по
обеспечению информационной
безопасности, в том числе по обнаружению,
предупреждению и ликвидации последствий
компьютерных атак и реагированию на
компьютерные инциденты могут быть
возложены только на заместителя
руководителя субъекта КИИ. Таким
образом, для выполнения требований
подпункта "а" пункта 1 Указа
недостаточно возложить полномочия по
обеспечению информационной
безопасности на ответственное лицо с
прямым подчинением руководителю
(единоличному исполнительному органу)
субъекта КИИ.
По
вопросу 3. В соответствии с подпунктом
"в" пункта 1 Указа для осуществления
мероприятий по обеспечению
информационной безопасности в случае
необходимости кредитные организации
могут принимать решения о привлечении
организаций. При этом могут привлекаться
исключительно организации, имеющие
лицензии на осуществление деятельности
по технической защите конфиденциальной
информации.
По
вопросу 4. В части порядка реагирования
на компьютерные инциденты,
установленного в подпункте "г"
пункта 1 Указа, в соответствии с которым
субъект КИИ может привлекать
исключительно организации, являющиеся
аккредитованными центрами
государственной системы обнаружения,
предупреждения и ликвидации последствий
компьютерных атак (ГосСОПКА), Банк России
сообщает, что на 2022-2023 годы запланировано
проведение работ по аккредитации
ГосСОПКА отраслевого центра Банка
России. В этой связи Банк России
полагает, что:
согласованный с ФСБ России
порядок предоставления данных о
компьютерных инцидентах посредством
автоматизированной системы обработки
инцидентов Банка России (АСОИ ФинЦЕРТ)
сохранится;
создание кредитными
организациями дублирующего канала для
непосредственной передачи данных в
ГосСОПКА не требуется.
По
вопросу 5. Согласно пункту 2 статьи 857
Гражданского кодекса Российской
Федерации сведения, составляющие
банковскую тайну, могут быть
предоставлены государственным органам и
их должностным лицам исключительно в
случаях и порядке, которые предусмотрены
законом. Конституционным Судом
Российской Федерации отмечено, что
отступления от банковской тайны - в силу
статьи 55 (часть 3) Конституции Российской
Федерации - могут допускаться только в
той мере, в какой это необходимо в целях
защиты основ конституционного строя,
нравственности, здоровья, прав и
законных интересов других лиц,
обеспечения обороны страны и
безопасности государства, и лишь на
основе федерального закона
.
Определение Конституционного
Суда Российской Федерации от 19.01.2005 N 10-О
"По жалобе открытого акционерного
общества "Универсальный коммерческий
банк "Эра" на нарушение
конституционных прав и свобод частями
второй и четвертой статьи 182
Уголовно-процессуального кодекса
Российской Федерации".
В свою
очередь, порядок осуществления
мониторинга защищенности
информационных ресурсов, принадлежащих
органам (организациям) либо используемых
ими, определяется Федеральной службой
безопасности Российской Федерации
(подпункт "в" пункта 5 Указа).
В этой
связи, по нашему мнению, при реализации
должностными лицами органов федеральной
службы безопасности указанного
мониторинга должно обеспечиваться
соблюдение требований законодательства
Российской Федерации о банковской
тайне.
Заместитель Председателя
Банка России
Г.А.Зубарев
Электронный текст документа
подготовлен АО "Кодекс" и сверен
по:
рассылка
Ссылается на
- Конституция Российской Федерации (с изменениями на 4 октября 2022 года)
- Гражданский кодекс Российской Федерации (часть вторая) (статьи 454 - 1109) (с изменениями на 24 июля 2023 года) (редакция, действующая с 12 сентября 2023 года)
- О дополнительных мерах по обеспечению информационной безопасности Российской Федерации (с изменениями на 13 июня 2024 года)
- О Центральном банке Российской Федерации (Банке России) (с изменениями на 8 августа 2024 года) (редакция, действующая с 20 октября 2024 года)
