ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 13 апреля 2021 г. N 56-15/275
Департамент информационной безопасности Банка России рассмотрел обращение о вопросах применения Положения Банка России от 4 июня 2020 г. N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение Банка России N 719-П) и сообщает следующее.
В соответствии с пунктом 1.2 Положения Банка России N 719-П операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны обеспечивать использование прикладного программного обеспечения автоматизированных систем и приложений, распространяемых клиентам операторов по переводу денежных средств для совершения действий, непосредственно связанных с осуществлением переводов денежных средств, а также программного обеспечения, эксплуатируемого на участках, используемых для приема документов, связанных с осуществлением переводов денежных средств, составленных в электронном виде, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети Интернет, прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю (далее - сертификация ФСТЭК) или оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 <1> (далее - оценка соответствия).
<1> Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденный приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта".
При этом пункт 2.5 Положения Банка России N 719-П устанавливает специальные нормы для операторов по переводу денежных средств при проведении сертификации программного обеспечения автоматизированных систем и приложений, указанных в пункте 1.2 Положения Банка России N 719-П.
Таким образом, операторы по переводу денежных средств, не являющиеся системно значимыми кредитными организациями, кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, с целью соответствия требованиям Положения Банка России N 719-П, применяемым в отношении программного обеспечения, указанного в пункте 1.2 Положения Банка России N 719-П, должны обеспечить проведение сертификации ФСТЭК не ниже 5-го уровня доверия либо оценки соответствия.
При этом в связи с признанием с 1 января 2021 г. приказа ФСТЭК России от 30 июля 2018 г. N 131 утратившим силу и утверждением ФСТЭК России новой редакции "Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий" Банк России планирует внесение соответствующих изменений в Положение Банка России N 719-П.
Директор Департамента
информационной безопасности
В.А. УВАРОВ