Письмо Банка России от 31 декабря 2019 г. № ИН-014-56/105 “Информационное письмо о неприменении мер к кредитным организациям при реализации отдельных требований Положения Банка России N 683-П”

В соответствии со статьей 57.4 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее - Федеральный закон N 86-ФЗ) Банк России устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента.

В целях реализации указанного полномочия Банком России принято Положение Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Положение N 683-П).

В соответствии с подпунктом 4.1 пункта 4 Положения N 683-П кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет", сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта".

В соответствии с пунктом 11 Положения N 683-П пункт 4 указанного Положения вступает в силу с 1 января 2020 года.

Принимая во внимание, что для реализации предусмотренных пунктом 4 Положения N 683-П требований кредитным организациям необходимо провести комплекс организационных и технологических мероприятий, Банк России считает целесообразным применять к кредитным организациям меры за несоблюдение указанных требований с 1 июля 2020 года.

Настоящее информационное письмо подлежит размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".