ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПИСЬМО
от 9 сентября 2022 г. N 017-56/8543
Банк России рассмотрел обращение по вопросам реализации требований Указа Президента Российской Федерации от 01.05.2022 N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" (далее - Указ) и сообщает следующее.
В настоящее время Банк России прорабатывает вопросы реализации кредитными организациями положений Указа в части назначения заместителя руководителя кредитной организации ответственным за обеспечение информационной безопасности, а также необходимости внесения изменений в законодательство Российской Федерации, направленных на устранение ограничений, которые могут препятствовать назначению заместителя руководителя кредитной организации ответственным за обеспечение информационной безопасности с учетом требований к его квалификации, предусмотренных разделом II Типового положения о заместителе руководителя органа (организации), ответственного за обеспечение информационной безопасности в органе (организации) <1>.
<1> Утверждено постановлением Правительства Российской Федерации от 15.07.2022 N 1272 "Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)".
При этом отмечаем, что Банк России в соответствии с Федеральным законом N 86-ФЗ <2> не наделен полномочиями по официальному разъяснению законодательства Российской Федерации в сфере безопасности критической информационной инфраструктуры Российской Федерации. Вместе с тем полагаем возможным отметить следующее.
<2> Федеральный закон от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)".
По вопросам 1 и 6. При привлечении Банка России к разработке нормативных правовых актов, принимаемых во исполнение Федерального закона N 187-ФЗ <3>, Банк России высказывал позицию относительно целесообразности установления нормативного регулирования критической информационной инфраструктуры Российской Федерации (далее - КИИ) соразмерно регулированию, предусмотренному приказом ФСТЭК России N 239 <4>, который определяет необходимость применения специальных мер защиты информации только в отношении значимых объектов КИИ.
<3> Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
<4> Приказ ФСТЭК России от 25.12.2017 N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации".
Вместе с тем следует отметить, что указанный подход в регулировании существенно сужает область информационной инфраструктуры, к которой предъявляются специальные требования к обеспечению информационной безопасности. В этой связи распространение положений Указа только на значимые объекты КИИ не обеспечивает безопасность КИИ в целом.
По вопросу 2. В соответствии с подпунктом "а" пункта 1 Указа полномочия по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты, могут быть возложены только на заместителя руководителя субъекта КИИ. Таким образом, для выполнения требований подпункта "а" пункта 1 Указа недостаточно возложить полномочия по обеспечению информационной безопасности на ответственное лицо с прямым подчинением руководителю (единоличному исполнительному органу) субъекта КИИ.
По вопросу 3. В соответствии с подпунктом "в" пункта 1 Указа для осуществления мероприятий по обеспечению информационной безопасности в случае необходимости кредитные организации могут принимать решения о привлечении организаций. При этом могут привлекаться исключительно организации, имеющие лицензии на осуществление деятельности по технической защите конфиденциальной информации.
По вопросу 4. В части порядка реагирования на компьютерные инциденты, установленного в подпункте "г" пункта 1 Указа, в соответствии с которым субъект КИИ может привлекать исключительно организации, являющиеся аккредитованными центрами государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА), Банк России сообщает, что на 2022 - 2023 годы запланировано проведение работ по аккредитации ГосСОПКА отраслевого центра Банка России. В этой связи Банк России полагает, что:
согласованный с ФСБ России порядок предоставления данных о компьютерных инцидентах посредством автоматизированной системы обработки инцидентов Банка России (АСОИ ФинЦЕРТ) сохранится;
создание кредитными организациями дублирующего канала для непосредственной передачи данных в ГосСОПКА не требуется.
По вопросу 5. Согласно пункту 2 статьи 857 Гражданского кодекса Российской Федерации сведения, составляющие банковскую тайну, могут быть представлены государственным органам и их должностным лицам исключительно в случаях и порядке, которые предусмотрены законом. Конституционным Судом Российской Федерации отмечено, что отступления от банковской тайны - в силу статьи 55 (часть 3) Конституции Российской Федерации - могут допускаться только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, и лишь на основе федерального закона <5>.
<5> Определение Конституционного Суда Российской Федерации от 19.01.2005 N 10-О "По жалобе открытого акционерного общества "Универсальный коммерческий банк "Эра" на нарушение конституционных прав и свобод частями второй и четвертой статьи 182 Уголовно-процессуального кодекса Российской Федерации".
В свою очередь, порядок осуществления мониторинга защищенности информационных ресурсов, принадлежащих органам (организациям) либо используемых ими, определяется Федеральной службой безопасности Российской Федерации (подпункт "в" пункта 5 Указа).
В этой связи, по нашему мнению, при реализации должностными лицами органов Федеральной службы безопасности указанного мониторинга должно обеспечиваться соблюдение требований законодательства Российской Федерации о банковской тайне.
Заместитель председателя
Банка России
Г.А. ЗУБАРЕВ