ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 30 ноября 2020 г. N 56-1-11/601
Департамент информационной безопасности рассмотрел обращение по вопросу о сроке достижения уровня соответствия согласно ГОСТ Р 57580.2-2018 <1>.
<1> Национальный стандарт Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденный Приказом Федерального агентства по техническому регулированию и метрологии от 28.03.2018 N 156-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2018).
На основании подпункта 3.1 пункта 3 Положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Положение N 683-П) кредитные организации должны обеспечить реализацию уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных ГОСТ Р 57580.1-2017 <2>.
<2> Национальный стандарт Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденный Приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).
В соответствии с подпунктом 9.2 пункта 9 Положения N 683-П кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 с 01.01.2021.
Согласно пункту 9 Положения N 683-П кредитные организации должны обеспечить проведение оценки соответствия уровню защиты информации, установленному в подпункте 3.1 пункта 3 Положения N 683-П (далее - оценка соответствия защиты информации), не реже одного раза в два года. Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного Постановлением Правительства Российской Федерации от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (далее - проверяющая организация).
В силу пункта 11 Положения N 683-П подпункт 3.1 пункта 3, пункт 9 Положения N 683-П вступают в силу с 01.01.2021.
Таким образом, кредитные организации должны обеспечить проведение оценки соответствия защиты информации проверяющей организацией в период с 01.01.2021 по 01.01.2023, при этом в указанный период должен быть достигнут третий уровень соответствия согласно ГОСТ Р 57580.2-2018.
Вместе с тем считаем целесообразным проведение кредитными организациями в 2020 году самооценки с последующим формированием плана устранения несоответствий и отчета о его исполнении по состоянию не позднее чем на 31.12.2020. Указанный подход позволит своевременно привести в соответствие требованиям информационную инфраструктуру кредитной организации.
Учитывая изложенное, оценка соответствия, которая будет проведена в период с 01.01.2021 по 01.01.2023 с привлечением сторонней организации, имеющей соответствующую лицензию, будет свидетельствовать о выполнении кредитной организацией указанных требований.
Директор Департамента
информационной безопасности
В.А. УВАРОВ