Информационное письмо Банка России от 16 марта 2023 г. № ИН-017-56/22 "О применении требований нормативных актов Банка России об обеспечении целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом"

В соответствии с подпунктом 5.1 пункта 5 Положения Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Положение N 683-П), пунктом 1.9 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее - Положение N 757-П) кредитные организации, некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить целостность электронных сообщений и подтвердить их составление уполномоченным на это лицом.

При реализации указанных требований рекомендуется учитывать следующее.

Для обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом в соответствии с абзацем вторым подпункта 5.1 пункта 5 Положения N 683-П и абзацем вторым пункта 1.9 Положения N 757-П допустимо использовать усиленную квалифицированную электронную подпись, усиленную неквалифицированную электронную подпись (далее - УНЭП) или средства криптографической защиты информации (далее - СКЗИ), реализующие функцию имитозащиты информации с аутентификацией отправителя сообщения1.

Возможность обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом только с использованием простой электронной подписи (далее - ПЭП) Положением N 683-П и Положением N 757-П не предусмотрена. Таким образом, использование ПЭП в указанных целях возможно только совместно с СКЗИ, реализующими функцию имитозащиты информации с аутентификацией отправителя сообщения.

Обращаем внимание кредитных организаций, некредитных финансовых организаций, которые приняли решение самостоятельно разрабатывать СКЗИ, что в соответствии с пунктом 1 части 1 статьи 12 Федерального закона от 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности" деятельность по разработке, производству, распространению СКЗИ подлежит лицензированию ФСБ России. Кроме того, согласно подпункту 6.1 пункта 6 Положения N 683-П и пункту 1.3 Положения N 757-П СКЗИ российского производства, применяемые кредитными организациями, некредитными финансовыми организациями, должны иметь сертификаты соответствия ФСБ России.

При использовании ПЭП или УНЭП для обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом в соответствии с частью 2 статьи 6 Федерального закона от 6 июня 2011 года N 63-ФЗ "Об электронной подписи" рекомендуется отражать в договорах с клиентами случаи (исчерпывающий перечень) признания электронных документов, подписанных ПЭП или УНЭП, равнозначным подписанным собственноручной подписью, а также порядок проверки электронной подписи.

Настоящее информационное письмо подлежит размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".

С даты издания настоящего информационного письма отменяется информационное письмо Банка России от 30 января 2020 года N ИН-014-56/4.

------------------------------

1 Под СКЗИ, реализующим функцию имитозащиты информации с аутентификацией отправителя сообщения, понимается средство имитозащиты, определенное подпунктом "б" пункта 2 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утв. приказом ФСБ России от 09.02.2005 N 66, обеспечивающее целостность и аутентификацию электронных сообщений, в том числе за счет вычисленного с использованием доверенным образом переданной ключевой информацией и добавленного к сообщению кода аутентификации сообщения (имитовставки), произведенное на территории Российской Федерации или ввезённое на территорию Российской Федерации в установленном порядке.