В частности, проект обязует банки и других операторов по переводу средств проводить независимую оценку на соответствие уровню защиты информации раз в два года и хранить отчет в течение пяти лет. "Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение соответствующих работ и услуг", - уточняют авторы документа.
Также они предлагают операторам по переводу денежных средств, банковским платежным агентам, операторам услуг информационного обмена, операторам услуг платежной инфраструктуры, операторам электронных платформ (операторам по переводу денежных средств) при осуществлении онлайн-переводов денежных средств проводить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры и оценку соответствия уровням защиты информации.
В числе прочего, операторы по переводу денежных средств должны будут обеспечить регистрацию результатов идентификации, аутентификации и авторизации клиентов при переводе и покупках онлайн, а также прием электронных сообщений от клиентов.
Кроме того, ЦБ предлагает регистрировать данные об идентификаторе сотрудника, который работает с информацией клиента, а также присвоить идентификатор клиенту. Необходимо будет регистрировать данные об устройстве, при помощи которого сотрудник оператора по переводу денежных средств зашел в систему, а также данные об устройстве, с помощью которого клиент совершил или пытался совершить покупку.
Магистр права, доцент кафедры государственных и муниципальных финансов РЭУ им. Г.В. Плеханова Мери Валишвили отмечает, что требования Банка России к обеспечению защиты информации при осуществлении денежных переводов работают с 2012 г. "В настоящее время мегарегулятор разработал актуализированные требования, отвечающие критериям, установленным указом президента России от 1 мая 2022 г. "О дополнительных мерах по обеспечению информационной безопасности в РФ", - объяснила она. По ее словам, обновленные требования включают ряд требований к составу защищаемой информации и правила доступа к ней.
"Отдельно закреплена обязанность оператора по переводу средств проводить независимую оценку соответствия уровня защиты информации не реже одного раза в два года, а также обязанность хранить отчет проверяющей организации не менее пяти лет. В целом совершенствование законодательства о защите информации и персональных сведений клиентов финансовых организаций является одним из важнейших направлений деятельности Банка России в сфере финансовой безопасности и защите прав потребителей финансовых услуг", - говорит Мери Валишвили.
Однако, по ее словам, требования неуклонно повлекут за собой существенные материальные затраты, конечным плательщиком которых станут клиенты банков за счет увеличения размера комиссии на ведение счетов и банковские переводы. "Кроме того, реализация на практике обновленных требований повлечет перестройку некоторых внутрибанковских процессов и потребует некоторого периода адаптации", - отметила она.
Представитель пресс-службы Ассоциации банков России отметил, что проекты положений Банка России обсуждаются экспертным сообществом продолжительное время. "Сейчас на площадке ассоциации идет обсуждение проекта", - уточнил он.
Ирина Приборкина