Письмо Банка России от 9 сентября 2022 г. № 017-56/8543 “О рассмотрении обращения”

Банк России рассмотрел обращение Ассоциации банков России по вопросам реализации требований Указа Президента Российской Федерации от 01.05.2022 N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" (далее - Указ) и сообщает следующее.

В настоящее время Банк России прорабатывает вопросы реализации кредитными организациями положений Указа в части назначения заместителя руководителя кредитной организации ответственным за обеспечение информационной безопасности, а также необходимости внесения изменений в законодательство Российской Федерации, направленных на устранение ограничений, которые могут препятствовать назначению заместителя руководителя кредитной организации ответственным за обеспечение информационной безопасности с учетом требований к его квалификации, предусмотренных разделом II Типового положения о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности в органе (организации)1.

При этом отмечаем, что Банк России в соответствии с Федеральным законом N 86-ФЗ2 не наделен полномочиями по официальному разъяснению законодательства Российской Федерации в сфере безопасности критической информационной инфраструктуры Российской Федерации. Вместе с тем полагаем возможным отметить следующее.

По вопросам 1 и 6. При привлечении Банка России к разработке нормативных правовых актов, принимаемых во исполнение Федерального закона N 187-ФЗ3, Банк России высказывал позицию относительно целесообразности установления нормативного регулирования критической информационной инфраструктуры Российской Федерации (далее - КИИ) соразмерно регулированию, предусмотренному приказом ФСТЭК России N 2394, который определяет необходимость применения специальных мер защиты информации только в отношении значимых объектов КИИ.

Вместе с тем следует отметить, что указанный подход в регулировании существенно сужает область информационной инфраструктуры, к которой предъявляются специальные требования к обеспечению информационной безопасности. В этой связи распространение положений Указа только на значимые объекты КИИ не обеспечивает безопасность КИИ в целом.

По вопросу 2. В соответствии с подпунктом "а" пункта 1 Указа полномочия по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты могут быть возложены только на заместителя руководителя субъекта КИИ. Таким образом, для выполнения требований подпункта "а" пункта 1 Указа недостаточно возложить полномочия по обеспечению информационной безопасности на ответственное лицо с прямым подчинением руководителю (единоличному исполнительному органу) субъекта КИИ.

По вопросу 3. В соответствии с подпунктом "в" пункта 1 Указа для осуществления мероприятий по обеспечению информационной безопасности в случае необходимости кредитные организации могут принимать решения о привлечении организаций. При этом могут привлекаться исключительно организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации.

По вопросу 4. В части порядка реагирования на компьютерные инциденты, установленного в подпункте "г" пункта 1 Указа, в соответствии с которым субъект КИИ может привлекать исключительно организации, являющиеся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), Банк России сообщает, что на 2022 - 2023 годы запланировано проведение работ по аккредитации ГосСОПКА отраслевого центра Банка России. В этой связи Банк России полагает, что:

согласованный с ФСБ России порядок предоставления данных о компьютерных инцидентах посредством автоматизированной системы обработки инцидентов Банка России (АСОИ ФинЦЕРТ) сохранится;

создание кредитными организациями дублирующего канала для непосредственной передачи данных в ГосСОПКА не требуется.

По вопросу 5. Согласно пункту 2 статьи 857 Гражданского кодекса Российской Федерации сведения, составляющие банковскую тайну, могут быть предоставлены государственным органам и их должностным лицам исключительно в случаях и порядке, которые предусмотрены законом. Конституционным Судом Российской Федерации отмечено, что отступления от банковской тайны - в силу статьи 55 (часть 3) Конституции Российской Федерации - могут допускаться только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, и лишь на основе федерального закона5.

В свою очередь, порядок осуществления мониторинга защищенности информационных ресурсов, принадлежащих органам (организациям) либо используемых ими, определяется Федеральной службой безопасности Российской Федерации (подпункт "в" пункта 5 Указа).

В этой связи, по нашему мнению, при реализации должностными лицами органов федеральной службы безопасности указанного мониторинга должно обеспечиваться соблюдение требований законодательства Российской Федерации о банковской тайне.

------------------------------

1 Утверждено постановлением Правительства Российской Федерации от 15.07.2022 N 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)".

2 Федеральный закон от 10.07.2022 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)".

3 Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".

4 Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".

5 Определение Конституционного Суда Российской Федерации от 19.01.2005 N 10-0 "По жалобе открытого акционерного общества "Универсальный коммерческий банк "Эра" на нарушение конституционных прав и свобод частями второй и четвертой статьи 182 Уголовно-процессуального кодекса Российской Федерации".