Получен ответ Банка России на обращение НСФР о применении Положения Банка России от 04.06.2020 № 719-П в части сертификации прикладного программного обеспечения
В НСФР обращаются участники финансового рынка в связи с предстоящим вступлением в силу с 01.01.2022 Положения Банка России от 04.06.2020 № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
Согласно пункту 1.2 Положения № 719-П операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры в части требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, с учетом особенностей, предусмотренных пунктами 3.8 – 3.10, 4.6 и 6.10 Положения № 719-П, должны обеспечивать использование прошедших сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия (далее – ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации, и обрабатывающих информацию, указанную в абзаце первом пункта 1.3 Положения № 719-П.
Одновременно с этим, согласно пункту 2.5 Положения № 719-П операторы по переводу денежных средств, не указанные в абзаце первом указанного пункта, т.е. не являющиеся системно значимыми кредитными организациями, а также кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений не ниже 5 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 30.07.2018 № 131 «Об утверждении Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
Учитывая изложенное, НСФР направил обращение в Департамент информационной безопасности Банка России с просьбой разъяснить, какое именно требование должен выполнять оператор по переводу денежных средств, не являющийся системно значимой кредитной организацией, а также кредитной организацией, признанной Банком России значимой на рынке платежных услуг.
В своем ответе Департамент указал, что операторы по переводу денежных средств, не являющиеся системно значимыми кредитными организациями, кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, с целью соответствия требованиям Положения № 719-П, применяемым в отношении программного обеспечения, указанного в пункте 1.2 Положения № 719-П, должны обеспечить проведение сертификации ФСТЭК не ниже 5 уровня доверия либо оценки соответствия.
При этом Департамент дополнительно указал на то, что в связи с признанием с 1 января 2021 г. приказа ФСТЭК России от 30 июля 2018 г. № 131 утратившим силу и утверждением ФСТЭК России новой редакции «Требований по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий» Банк России планирует внесение соответствующих изменений в Положение № 719-П.