ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ
ФЕДЕРАЦИИ
ПИСЬМО
от 9 сентября 2022 года N 017-56/8543
О рассмотрении обращения
Банк России рассмотрел
обращение Ассоциации банков России по
вопросам реализации требований Указа
Президента Российской Федерации от
01.05.2022 N 250 "О дополнительных мерах по
обеспечению информационной
безопасности Российской Федерации"
(далее - Указ) и сообщает следующее.
В
настоящее время Банк России
прорабатывает вопросы реализации
кредитными организациями положений
Указа в части назначения заместителя
руководителя кредитной организации
ответственным за обеспечение
информационной безопасности, а также
необходимости внесения изменений в
законодательство Российской Федерации,
направленных на устранение ограничений,
которые могут препятствовать назначению
заместителя руководителя кредитной
организации ответственным за
обеспечение информационной
безопасности с учетом требований к его
квалификации, предусмотренных разделом
II Типового положения о заместителе
руководителя органа (организации),
ответственного за обеспечение
информационной безопасности в органе
(организации)
.
Утверждено постановлением
Правительства Российской Федерации от
15.07.2022 N 1272 "Об утверждении типового
положения о заместителе руководителя
органа (организации), ответственном за
обеспечение информационной
безопасности в органе (организации), и
типового положения о структурном
подразделении в органе (организации),
обеспечивающем информационную
безопасность органа (организации)".
При этом отмечаем, что Банк
России в соответствии с Федеральным
законом N 86-ФЗ
не наделен полномочиями по
официальному разъяснению
законодательства Российской Федерации в
сфере безопасности критической
информационной инфраструктуры
Российской Федерации. Вместе с тем
полагаем возможным отметить следующее.
Федеральный закон от 10.07.2022* N 86-ФЗ
"О Центральном банке Российской
Федерации (Банке России)".
* Вероятно, ошибка оригинала.
Следует читать "от 10.07.2002". - Примечание
изготовителя базы данных.
По вопросам 1 и 6. При
привлечении Банка России к разработке
нормативных правовых актов, принимаемых
во исполнение Федерального закона N
187-ФЗ
, Банк России высказывал позицию
относительно целесообразности
установления нормативного
регулирования критической
информационной инфраструктуры
Российской Федерации (далее - КИИ)
соразмерно регулированию,
предусмотренному приказом ФСТЭК России N
239
, который определяет необходимость
применения специальных мер защиты
информации только в отношении значимых
объектов КИИ.
Федеральный закон от 26.07.2017 N 187-ФЗ
"О безопасности критической
информационной инфраструктуры
Российской Федерации".
Приказ ФСТЭК России от 25.12.2017 N 239
"Об утверждении Требований по
обеспечению безопасности значимых
объектов критической информационной
инфраструктуры Российской Федерации".
Вместе с тем следует
отметить, что указанный подход в
регулировании существенно сужает
область информационной инфраструктуры,
к которой предъявляются специальные
требования к обеспечению информационной
безопасности. В этой связи
распространение положений Указа только
на значимые объекты КИИ не обеспечивает
безопасность КИИ в целом.
По вопросу 2. В соответствии
с подпунктом "а" пункта 1 Указа полномочия
по обеспечению информационной
безопасности, в том числе по обнаружению,
предупреждению и ликвидации последствий
компьютерных атак и реагированию на
компьютерные инциденты могут быть
возложены только на заместителя
руководителя субъекта КИИ. Таким
образом, для выполнения требований
подпункта "а" пункта 1 Указа недостаточно
возложить полномочия по обеспечению
информационной безопасности на
ответственное лицо с прямым подчинением
руководителю (единоличному
исполнительному органу) субъекта КИИ.
По вопросу 3. В соответствии
с подпунктом "в" пункта 1 Указа для
осуществления мероприятий по
обеспечению информационной
безопасности в случае необходимости
кредитные организации могут принимать
решения о привлечении организаций. При
этом могут привлекаться исключительно
организации, имеющие лицензии на
осуществление деятельности по
технической защите конфиденциальной
информации.
По вопросу 4. В части порядка
реагирования на компьютерные инциденты,
установленного в подпункте "г" пункта 1
Указа, в соответствии с которым субъект
КИИ может привлекать исключительно
организации, являющиеся
аккредитованными центрами
государственной системы обнаружения,
предупреждения и ликвидации последствий
компьютерных атак (ГосСОПКА), Банк России
сообщает, что на 2022-2023 годы запланировано
проведение работ по аккредитации
ГосСОПКА отраслевого центра Банка
России. В этой связи Банк России
полагает, что:
согласованный с ФСБ России
порядок предоставления данных о
компьютерных инцидентах посредством
автоматизированной системы обработки
инцидентов Банка России (АСОИ ФинЦЕРТ)
сохранится;
создание кредитными
организациями дублирующего канала для
непосредственной передачи данных в
ГосСОПКА не требуется.
По вопросу 5. Согласно
пункту 2 статьи 857 Гражданского кодекса
Российской Федерации сведения,
составляющие банковскую тайну, могут
быть предоставлены государственным
органам и их должностным лицам
исключительно в случаях и порядке,
которые предусмотрены законом.
Конституционным Судом Российской
Федерации отмечено, что отступления от
банковской тайны - в силу статьи 55 (часть
3) Конституции Российской Федерации -
могут допускаться только в той мере, в
какой это необходимо в целях защиты
основ конституционного строя,
нравственности, здоровья, прав и
законных интересов других лиц,
обеспечения обороны страны и
безопасности государства, и лишь на
основе федерального закона
.
Определение Конституционного
Суда Российской Федерации от 19.01.2005 N 10-О
"По жалобе открытого акционерного
общества "Универсальный коммерческий
банк "Эра" на нарушение конституционных
прав и свобод частями второй и четвертой
статьи 182 Уголовно-процессуального
кодекса Российской Федерации".
В
свою очередь, порядок осуществления
мониторинга защищенности
информационных ресурсов, принадлежащих
органам (организациям) либо используемых
ими, определяется Федеральной службой
безопасности Российской Федерации
(подпункт "в" пункта 5 Указа).
В
этой связи, по нашему мнению, при
реализации должностными лицами органов
федеральной службы безопасности
указанного мониторинга должно
обеспечиваться соблюдение требований
законодательства Российской Федерации о
банковской тайне.
Заместитель Председателя
Банка России
Г.А.Зубарев
Электронный текст документа
подготовлен АО "Кодекс" и сверен по:
рассылка
Ссылается на
- Конституция Российской Федерации (с изменениями на 4 октября 2022 года)
- Гражданский кодекс Российской Федерации (часть вторая) (статьи 454 - 1109) (с изменениями на 13 декабря 2024 года)
- О дополнительных мерах по обеспечению информационной безопасности Российской Федерации (с изменениями на 13 июня 2024 года)
- О Центральном банке Российской Федерации (Банке России) (с изменениями на 28 февраля 2025 года) (редакция, действующая с 1 апреля 2025 года)
