Журнал "Information Security/ Информационная безопасность" #1, 2020

• 11 ПРАВО И НОРМАТИВЫ www.itsec.ru Применение требований Положений Банка России № 683-П и № 684-П С 1 января 2020 г. вступил в силу п. 4 Положения Банка России № 683-П 1 , согласно которому кредитные органи- зации в ряде случаев должны применять программное обеспечение, сертифици- рованное ФСТЭК России, или в отно- шении которого проведен анализ уязви- мостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4 по ГОСТ 15408-2–2013 2 . В связи с этим Банк России 31.12.2019 опубликовал информационное письмо № ИН-014-56/105 о неприменении мер к кредитным организациям при реализа- ции отдельных требований Положения Банка России № 683-П. Данным инфор- мационным письмом Банк России сообщил, что применять к кредитным организациям меры за несоблюдение требований 4 Положения Банка России № 683-П начнут с 1 июля 2020 г. Для некредитных финансовых орга- низаций Банком России 31.12.2019 было опубликовано информационное письмо № ИН-014-56/106 о реализации некре- дитными финансовыми организациями требований Положения Банка России № 684-П 3 , в котором Банк России сообщил, что с 1 июля 2020 г. начнут применять к некредитным финансовым организациям меры за несоблюдение требований, установленных Положением Банка России № 684-П, в части: l используемого некредитной финан- совой организацией программного обес- печения и приложений (п. 9 Положения Банка России № 684-П); l способов подписания некредитной финансовой организацией (ее уполно- моченными лицами) электронных сообщений (п. 10 Положения Банка Рос- сии № 684-П); l технологии обработки защищаемой информации, указанной в абзацах 2–4 п. 1 Положения № 684-П (п. 11 Положе- ния Банка России № 684-П). Информационным письмом от 30.01.2020 № ИН-014-56/4 Банк России также дает пояснения к применению пп. 5.1 п. 5 Положения Банка России № 683-П и п. 10 Положения Банка Рос- сии № 684-П. Согласно упомянутым выше пунктам кредитные организации и некредитные финансовые организации должны обеспечивать подписание элек- тронных сообщений способом, позво- ляющим обеспечить целостность и под- твердить составление указанного элек- тронного сообщения уполномоченным на это лицом. Банк России разъясняет, что для целей выполнения описанных требований можно использовать подпи- сание простой электронной подписью или усиленной неквалифицированной электронной подписью, но рекоменду- ется отражать такое использование в договорах с клиентами. Начинаем год с новых требований законодательства Январь-2020 ачало 2020 года встретило нас вступлением в силу ряда требований Банка России для кредитных организаций и некредитных финансовых организаций, а также официальными комментариями регулятора на этот счет. В сфере критической информационной инфраструктуры (КИИ) активно идут работы над административной ответственностью за нарушение требований по ее безопасности. У Windows 7 и Windows Server 2008 закончилась техническая поддержка производителем, а ФСБ России активизирует процесс изменения нормативного регулирования системы сертификации. Н Анастасия Заведенская, аналитик Аналитического центра Уральского центра систем безопасности 1 http://www.cbr.ru/Content/Document/File/101619/20200130_in-014-56_4.pdf 2 http://www.cbr.ru/StaticHtml/File/59420/20191231_in-014-56_105.pdf 3 https://cbr.ru/StaticHtml/File/59420/20191231_in-014-56_106.pdf