Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
Информационное письмо Банка России от 16 марта 2023 г. N ИН-017-56/22 "О применении требований нормативных актов Банка России об обеспечении целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом"
В соответствии с подпунктом 5.1 пункта 5 Положения Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (далее - Положение N 683-П), пунктом 1.9 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее - Положение N 757-П) кредитные организации, некредитные финансовые организации, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить целостность электронных сообщений и подтвердить их составление уполномоченным на это лицом.
При реализации указанных требований рекомендуется учитывать следующее.
Для обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом в соответствии с абзацем вторым подпункта 5.1 пункта 5 Положения N 683-П и абзацем вторым пункта 1.9 Положения N 757-П допустимо использовать усиленную квалифицированную электронную подпись, усиленную неквалифицированную электронную подпись (далее - УНЭП) или средства криптографической защиты информации (далее - СКЗИ), реализующие функцию имитозащиты информации с аутентификацией отправителя сообщения 1.
Возможность обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом только с использованием простой электронной подписи (далее - ПЭП) Положением N 683-П и Положением N 757-П не предусмотрена. Таким образом, использование ПЭП в указанных целях возможно только совместно с СКЗИ, реализующими функцию имитозащиты информации с аутентификацией отправителя сообщения.
Обращаем внимание кредитных организаций, некредитных финансовых организаций, которые приняли решение самостоятельно разрабатывать СКЗИ, что в соответствии с пунктом 1 части 1 статьи 12 Федерального закона от 4 мая 2011 года N 99-ФЗ "О лицензировании отдельных видов деятельности" деятельность по разработке, производству, распространению СКЗИ подлежит лицензированию ФСБ России. Кроме того, согласно подпункту 6.1 пункта 6 Положения N 683-П и пункту 1.3 Положения N 757-П СКЗИ российского производства, применяемые кредитными организациями, некредитными финансовыми организациями, должны иметь сертификаты соответствия ФСБ России.
При использовании ПЭП или УНЭП для обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом в соответствии с частью 2 статьи 6 Федерального закона от 6 июня 2011 года N 63-ФЗ "Об электронной подписи" рекомендуется отражать в договорах с клиентами случаи (исчерпывающий перечень) признания электронных документов, подписанных ПЭП или УНЭП, равнозначным подписанным собственноручной подписью, а также порядок проверки электронной подписи.
Настоящее информационное письмо подлежит размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".
С даты издания настоящего информационного письма отменяется информационное письмо Банка России от 30 января 2020 года N ИН-014-56/4.
|
Заместитель Председателя |
Г.А. Зубарев |
------------------------------
1 Под СКЗИ, реализующим функцию имитозащиты информации с аутентификацией отправителя сообщения, понимается средство имитозащиты, определенное подпунктом "б" пункта 2 Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утв. приказом ФСБ России от 09.02.2005 N 66, обеспечивающее целостность и аутентификацию электронных сообщений, в том числе за счет вычисленного с использованием доверенным образом переданной ключевой информацией и добавленного к сообщению кода аутентификации сообщения (имитовставки), произведенное на территории Российской Федерации или ввезённое на территорию Российской Федерации в установленном порядке.
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Кредитные организации и НФО, реализующие усиленный и стандартный уровни защиты информации, должны обеспечить целостность электронных сообщений и подтвердить их составление уполномоченным на это лицом.
При реализации указанных требований допустимо использовать усиленную квалифицированную или неквалифицированную электронную подпись (УКЭП, УНЭП) или средства криптографической защиты информации (СКЗИ). Простую электронную подпись (ПЭП) в указанных целях можно использовать только со СКЗИ. При этом отмечено, что деятельность по разработке, производству и распространению СКЗИ подлежит лицензированию ФСБ. СКЗИ российского производства должны иметь сертификаты соответствия ФСБ.
Кроме того, в договорах с клиентами рекомендуется отражать случаи признания электронных документов, подписанных ПЭП или УНЭП, равнозначным подписанным собственноручной подписью, а также порядок проверки электронной подписи.
Информационное письмо Банка России от 16 марта 2023 г. N ИН-017-56/22 "О применении требований нормативных актов Банка России об обеспечении целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом"
Опубликование:
сайт Банка России (cbr.ru) 20 марта 2023 г.