14.11.2018 Получен ответ Департамента информационной безопасности Банка России о порядке применения норм Федерального закона от 27.06.2018 № 167-ФЗ в части противодействия хищению денежных средств
В связи с возникающими у кредитных организаций вопросами о порядке применения отдельных норм Федерального закона от 27.06.2018 № 167-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств», НСФР направил обращение в Департамент информационной безопасности Банк России.
В полученном ответе Департамента информационной безопасности Банка России высказана следующая позиция.
По вопросу 1 обращения:
Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» и изменяющий его Закон № 161-ФЗ не устанавливают исключений по приостановлению исполнения распоряжения о совершении операции, соответствующей признакам осуществления перевода денежных средств без согласия клиента, в случае если плательщик и получатель являются одним лицом.
По вопросу 2 обращения:
В соответствии с частью 5.1 и 5.3 статьи 8 Закона № 161-ФЗ в редакции Закона № 167-ФЗ оператор по переводу денежных средств возобновляет исполнение распоряжения по истечении двух рабочих дней после совершения им приостановления исполнения распоряжения о совершении операции.
По вопросу 3 обращения:
Проект нормативного акта Банка России, устанавливающего форму и порядок направления операторами по переводу денежных средств друг другу уведомлений о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств, о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или приостановления увеличения остатка электронных денежных средств получателя средств, разработан Департаментом национальной платежной системы Банка России и находится на согласовании в структурных подразделениях Банка России.
Закон № 167-ФЗ не регулирует требования к подтверждающим документам, порядку их проверки обслуживающим получателя средств оператором по переводу денежных средств. В этой связи Департамент указал, что указанные вопросы могут быть урегулированы в договоре, заключаемом оператором по переводу денежных средств с клиентом.
По вопросу 4 обращения:
Состав операционных расходов кредитных организаций определяется Методика составления отчетности по форме 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств», предусмотренной Положением Банка России от 22.12.2014 № 446-П. Согласно Методике операционные расходы являются дополнительными и связанными с выявлением причин, связанных с устранением последствий несанкционированного доступа.
Учитывая изложенное, расходы по оплате труда работников оператора по переводу денежных средств или оператора электронных денежных средств, задействованных в процессе работы с несанкционированным доступом к объектам их информационной инфраструктуры, не являются дополнительными, т.к. работники получают заработную плату ежемесячно. Однако в случае, если к таким работам привлекаются лица по гражданско-правовым договорам, то данные расходы могут учитываться в составе указанных операционных расходов.
По вопросу 5 обращения:
5.1. Передача информации в Автоматизированной системе обработки инцидентов ФинЦЕРТ Банка России (АСОИ ФинЦЕРТ) может быть осуществлена следующими способами:
– интерактивное заполнение форм в личном кабинете;
– передача информации в виде JSON-файлов, оформленных в соответствии со Стандартом Банка России СТО БР БФБО-1.5-2018 «О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации» (Стандарт) в личном кабинете (автоматизированный пакетный режим) или по e-mail (резервный канал). Спецификация файлов JSON будет приведена в Стандарте, который в ближайшее время будет размещен на сайте Банка России.
5.2. Информационное письмо Банка России от 09.10.2018 № ВН-03-56-3-2/3398 вводит шестимесячный мораторий на привлечение кредитных организаций к ответственности за нарушение Закона № 167-ФЗ.