Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации

Информационное письмо о применении подпункта 5.1 пункта 5 Положения Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», пункта 10 Положения Банка России от 17 апреля 2019 года № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» 


     В связи с поступающими обращениями граждан, кредитных организаций и некредитных финансовых организаций о применении положений подпункта 5.1 пункта 5 Положения Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (далее – Положение № 683-П), пункта 10 Положения Банка России от 17 апреля 2019 года № 684-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее – Положение № 684-П) Банк России сообщает следующее.

     Согласно абзацу первому подпункта 5.1 пункта 5 Положения № 683-П, абзацу первому пункта 10 Положения № 684-П кредитные организации, а также некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации (далее – некредитные финансовые организации), должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

     В целях обеспечения контроля целостности электронных сообщений и подтверждения составления электронного сообщения уполномоченным на это лицом кредитным организациям, некредитным финансовым организациям рекомендуется обеспечивать использование усиленной электронной подписи или с соблюдением применяемой технологии обработки защищаемой информации иных аналогов собственноручной подписи, кодов, паролей и других средств при подписании электронных сообщений.

     С учетом системной связи положений части 1 статьи 5 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон № 63-ФЗ) о видах электронной подписи и положений части 4 статьи 11 Федерального закона от 27 июля 2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» к аналогу собственноручной подписи относится, в частности, простая электронная подпись.

     В соответствии с абзацем вторым подпункта 5.1 пункта 5 Положения № 683-П, абзацем вторым пункта 10 Положения № 684-П признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, осуществляется в соответствии со статьей 6 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон № 63-ФЗ).

     Согласно части 2 статьи 6 Федерального закона № 63-ФЗ информация в электронной форме, подписанная простой электронной подписью или усиленной неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними 3 нормативными правовыми актами или соглашением между участниками электронного взаимодействия.

     С учетом изложенного, в случае если в электронном взаимодействии используется простая электронная подпись или усиленная неквалифицированная электронная подпись, кредитным организациям, некредитным финансовым организациям рекомендуется отражать условия их использования в договорах с клиентами.

     В случае, если в правилах платежных систем установлены дополнительные требования к подписанию электронных сообщений при осуществлении переводов денежных средств через платежные системы, необходимо дополнительно руководствоваться правилами платежных систем (например, Положением Банка России от 9 января 2019 года № 672-П «О требованиях к защите информации в платежной системе Банка России»).

     Настоящее информационное письмо подлежит размещению на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет».

 

Заместитель Председателя

Д.Г. Скобелкин

к списку новостей