Письмо Ассоциации российских банков от 22.11.2012 N А-02/5-678 О заключении Ассоциации российских банков на проект Положения Банка России "О порядке создания, ведения и хранения в кредитных организациях баз данных на электронных носителях"

Письмо Ассоциации российских банков от 22 ноября 2012 г. N А-02/5-678

Ассоциация российских банков благодарит Вас за предоставленную возможность проанализировать проект положения "О порядке создания, ведения и хранения в кредитных организациях баз данных на электронных носителях" (далее - проект Положения), разработанного Банком России в связи с принятием Федерального закона от 28.07.2012 г. N 144-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации", в соответствии с которым на кредитные организации возлагается обязанность отражать все осуществленные операции и иные сделки в базах данных на электронных носителях.

Ассоциация, а также банки - члены АРБ, принявшие участие в изучении проекта Положения, полностью поддерживают необходимость разработки нормативного акта Банка России, направленного на обеспечение хранения информации о деятельности кредитной организации, в частности обеспечение хранения информации об имуществе, обязательствах и их движении на электронных носителях.

Однако считаем возможным сообщить, что редакция проекта Положения имеет некоторые недостатки и нуждается в корректировке, в связи с чем АРБ подготовила соответствующее заключение (прилагается).

Ассоциация российских банков выражает надежду, что предложения банковского сообщества будут учтены Банком России при доработке проекта Положения.

Приложение: на 8 л.

Президент

Г.А. Тосунян

Заключение Ассоциации российских банков
на проект Положения Банка России "О порядке создания, ведения и хранения в кредитных организациях баз данных на электронных носителях"

ГАРАНТ:

См. Положение Банка России от 21 февраля 2013 г. N 397-П "О порядке создания, ведения и хранения баз данных на электронных носителях"

Ассоциация российских банков совместно с банками - членами АРБ проанализировала проект положения "О порядке создания, ведения и хранения в кредитных организациях баз данных на электронных носителях" (далее - проект Положения), разработанного Банком России в связи с принятием Федерального закона от 28.07.2012 г. N 144-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации", в соответствии с которым на кредитные организации возлагается обязанность отражать все осуществленные операции и иные сделки в базах данных на электронных носителях.

Анализ проекта Положения свидетельствует об актуальности разработки Банком России нормативного акта Банка России, направленного на обеспечение хранения информации о деятельности кредитной организации, в частности обеспечение хранения информации об имуществе, обязательствах и их движении на электронных носителях.

Однако считаем возможным сообщить, что редакция проекта Положения имеет некоторые недостатки и нуждается в корректировке в связи с нижеследующим.

1. Замечания по пункту 1.1 проекта Положения.

В соответствии с первым абзацем пункта 1.1 проекта Положения кредитная организация обязана отражать в базе данных на электронных носителях (далее - ЭБД) все осуществленные операции и сделки, отраженные в регистрах аналитического и синтетического учета в хронологической последовательности и сгруппированные по соответствующим счетам бухгалтерского учета в соответствии с Положением Банка России от 16 июля 2012 года N 385 "О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации" (далее - Положение N 385). Большинство российских кредитных организаций эксплуатирует автоматизированные банковские системы (АБС) с ЭБД, в которых содержится лишь некоторая часть информации, предусмотренной в проекте Положения. В этой связи кредитным организациям необходимо будет произвести существенные изменения в структуре АБС.

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Номер названного Положения следует читать как "385-П"

При этом во втором абзаце пункта 1.1 проекта Положения следует либо уточнить параметры объектов файловых систем, подлежащих хранению в ЭБД, и сделать их список закрытым, либо предоставить кредитным организациям право самостоятельно устанавливать, какие объекты файловых систем подлежат хранению.

Кроме того, следует принять во внимание, что предложенный в проекте Положения вариант группировки документов по соответствующим счетам бухгалтерского учета на практике не позволит обеспечить сохранность целостности пакета документов по одному виду операций. Так, например, операция кредитования отражается на счетах как балансовой (выдача/возврат кредита, создание резерва), так и внебалансовой областях учета (отражение обеспечения).

В связи с этим предлагаем абзац первый пункта 1.1 проекта Положения изложить в следующей редакции:

"1.1. В целях хранения информации об имуществе, обязательствах кредитной организации и их движении кредитная организация обязана поместить в базе данных на электронных носителях (далее - ЭБД) электронные копии первичных документов по всем осуществленным операциям и сделкам, отраженным в регистрах бухгалтерского учета в хронологической последовательности и сгруппированные в порядке, определенном кредитной организацией.".

В пункте 1.1 проекта Положения также следует уточнить, как кредитные организации, при наличии у них филиалов, дополнительных офисов и других структурных подразделений должны формировать ЭБД: территориально по месту нахождения подразделений, либо по месту нахождения головного офиса кредитной организации.

2. Замечания по пункту 1.2 проекта Положения.

Во избежание многовариантности трактовок разными кредитными организациями пункта 1.2 проекта Положения в части информации, которая должна содержаться в ЭБД, и расхождений с тем, что имеет в виду Банк России под составом ЭБД, представляется целесообразным дать более четкое определение состава ЭБД (в том числе, что конкретно подразумевается под имуществом и обязательствами кредитной организации в целях отражения в ЭБД) в нормативном акте Банка России, либо предоставить полномочия определять детальный перечень хранимой в ЭБД информации самостоятельно самим кредитным организациям. В том числе, требует уточнения:

включаются ли в данный термин: имущество, находящееся в залоге у Банка после предоставления им ипотечного кредита; имущественные права, которые находятся в залоге у Банка при предоставлении кредита на приобретение строящегося жилья; требования, не влекущие возникновения имущественных прав (по стройке это бывает);

включают ли банковские операции, упомянутые в пункте 1.2 проекта Положения, операции по банковским счетам клиентов, осуществляемые в процессе обслуживания договоров, заключенных между банком и его клиентами.

Также необходимо уточнить, обязана ли кредитная организация хранить в электронном виде копии указанных в пункте 1.2 проекта Положения документов, или кредитная организация может вести только реестр информации в соответствии с перечнем сведений.

Помимо этого предлагаем предусмотреть в проекте Положения, что обязанность по отражению в ЭБД всей информации, имеющей значение для определения имущества и обязательств и их движения не означает наличие у кредитных организаций обязанности осуществлять хранение в ЭБД копий всех первичных учетных документов. Данная обязанность подразумевала бы хранение кредитными организациями очень большого объема информации в электронном виде (копий в электронном виде).

3. Замечания по пункту 1.3 проекта Положения.

Исполнение требований, содержащихся в пункте 1.3 проекта Положения будет затруднено вследствие того, что в состав ЭБД надо будет включать не только информацию об осуществленных операциях и сделках (эта информация, как правило, содержится в ЭБД, являющихся частью АБС), но и практически полную библиотеку внутренних банковских регламентных документов, которая в кредитных организациях формируется по-разному (в частности, не всегда автоматизирована).

Следует уточнить, возможно ли хранение документов в формате Word (аналогичных форматах) или необходимо хранение скан-копий документов.

В проекте Положения не указано каким образом предполагается совместить АБС по бухгалтерскому учету и АБС по ведению документооборота в единой ЭБД, включая все документы (в частности, имеющие юридическое значение) как клиентские, так и внутрибанковские. Представляется, что данный процесс практически неосуществим при современном состоянии отечественной банковской системы.

Из указанного пункта не ясно, учитываются ли в ЭБД персональные данные и номера платежных карт. При этом возникает вопрос о соответствии проекта Положения требованиям законодательства о персональных данных и международным стандартом безопасности данных платёжных карт (PCIDSS).

4. Замечания по пункту 1.4 проекта Положения.

Проект позволяет исключить из ЭБД информацию, указанную в пунктах 1.2 и 1.3 проекта Положения, по истечении 5 лет после включения ее в ЭБД, даже если эта информация все еще актуальна. Таким образом, нивелируется смысловое значение пунктов 1.2 и 1.3 о включении информации в ЭБД.

5. Замечания по пункту 1.5 проекта Положения.

В настоящее время очень немногие АБС отвечают требованиям пункта 1.5 проекта Положения и обладают свойством восстановления на любой операционный день в течение 5 лет информации, перечисленной в пунктах 1.1 - 1.3 проекта Положения. Для собственных нужд кредитной организации (выявление ошибок в учете) достаточно восстановления не всей информации и за более короткий период, чем это следует из проекта Положения.

Таким образом, на приведение информационных систем кредитных организаций в соответствие с пунктом 1.5 проекта Положения требуется выделить существенный адаптационный период.

6. Общие замечания к Главе 1 проекта Положения.

В Главе 1 проекта Положения необходимо более четко отразить требования к базе данных на электронных носителях, определив, что следует понимать под ЭБД. Возможно ли в качестве ЭБД принимать программное обеспечение, установленное в банке (с имеющейся в программном обеспечении информацией), и различные внутренние порталы, в которых также хранится информация в электронном виде?

7. Замечания по пункту 2.1 проекта Положения.

В соответствии с пунктом 2.1 проекта Положения с целью организации работ с ЭБД распорядительным актом кредитной организации должны быть определены полномочия и ответственность лиц, осуществляющих действия по ее созданию, ведению, хранению, а также защите носителя и информации.

Представляется необходимым указать в пункте 2.1 проекта Положения, что распорядительным актом кредитной организации должны быть определены полномочия и ответственность лиц, осуществляющих действия, в том числе по защите не только носителя и информации, но и резервных копий.

8. Замечания по пункту 2.2 проекта Положения.

В пункте 2.2 проекта Положения следует уточнить, с какой даты начинает исчисляться 5-летний срок хранения информации в ЭБД.

Наряду с изложенным предлагаем в первом предложении пункте 2.2 проекта Положения текст в скобках изложить в следующей редакции:

"(в т.ч. СКЗИ и средств проверки ЭЦП вместе с необходимой ключевой информацией, а при необходимости - и аппаратных средств, например, устройств чтения электронных носителей)".

9. Замечания по пункту 2.3 проекта Положения.

С целью исполнения содержащихся в пункте 2.3 проекта Положения требований вероятно потребуется доработка информационных систем для того, чтобы обеспечить ".. возможность восстановления временной последовательности событий (действий) внесения изменений в ЭБД, а также идентификацию должностных лиц, от имени которых вносились данные изменения"., что повлечет дополнительные расходы кредитных организаций.

10. Замечания по пункту 2.4 проекта Положения.

Для реализации требований пункта 2.4 проекта Положения потребуются дополнительное серверное и сетевое оборудование, операционные системы, получение лицензии на СУБД, создание дополнительной серверной площадки на территории, отличной от основной серверной площадки, а также поддержание данных технических средств в работоспособном состоянии, в частности, формирование штата администраторов информационных систем.

11. Замечания по пунктам 3.1 и 3.2 проекта Положения.

В пункте 3.1 проекта Положения следует уточнить, с какого момента начинает исчисляться пятилетний срок хранения и защиты носителя и информации.

Положения пунктов 3.1 и 3.2 проекта Положения целесообразно дополнить указанием о минимальной периодичности создания резервной копии ЭБД.

При этом следует учесть, что по экспертным оценкам среднестатистический банк должен будет ежемесячно увеличивать объем электронной информации, которые надо будет хранить 5 лет, не менее 1 терабайта.

Кроме того, необходимо учесть, что технологии ведения ЭБД обязывают иметь разрешение (лицензию Оracl, DB и т.п.) на использование этих баз данных и регулярно продлевать действие этих разрешений (в противном случае использование этих данных становится либо технически невозможным, либо противоправным).

Более того, соответствующее программное обеспечение (ПО) "привязывается" к определенному техническому оборудованию (Pervasiv, Oracl и т.п.), и при смене технического оборудования возникает потребность в смене ПО. Таким образом, как кредитные организации, так и Банк России будут вынуждены собирать "музей" технического оборудования.

12. Замечания по пункту 3.3 проекта Положения.

Предлагаем исключить из пункта 3.3 проекта Положения требования об указании на ярлыке резервной копии ЭБД краткого содержания файлов или внести в них изменения, позволяющие автоматизировать резервирование копий ЭБД (например, с печатанием информации на поверхности дисков, что надежнее бумажного ярлыка, а также с применением положений Федерального закона от 06.04.2011 N 63-ФЗ "Об электронной подписи").

Данные предложения обусловлены следующим:

- наличие на бумажном носителе краткого содержания файлов может повлечь за собой разглашение банковской тайны;

- требование о подписании сотрудником, осуществившим создание резервной копии ЭБД, информации на ярлыке исключает вариант автоматического создания резервной копии и потребует участия в процессе резервирования файлов как минимум двух сотрудников кредитных организаций (дополнительных трудозатрат), т.к. формирование резервных баз данных осуществляют сотрудники подразделений информационного обеспечения кредитной организации, как правило, не имеющие доступа к содержанию файлов.

13. Замечания по пункту 3.4 проекта Положения.

Согласно пункту 3.4 проекта Положения на кредитные организации распространяется требование по поддержанию выведенных из эксплуатации информационных банковских систем. Как правило, поддержание в работоспособности выведенных из эксплуатации систем ограничивается сроком действия лицензии на используемое ПО. Требование пункта 3.4 приведет к необходимости кредитным организациям нести соответствующие расходы. Учитывая, что требования о поддержании работоспособности регулируются договорными отношениями между кредитной организацией и разработчиком ПО, предлагается установить, что данный пункт вступает в силу не ранее чем через пять лет после вступления в силу Положения. Указанный срок необходим для предоставления кредитным организациям времени для урегулирования взаимоотношений с разработчиками ПО и создания инфраструктуры для поддержания выведенных из эксплуатации информационных банковских систем.

14. Общие замечания к главе3 проекта Положения.

Представляется целесообразным дополнить главу 3 проекта Положения нормой, в соответствии с которой способы и средства обеспечения информационной безопасности при создании, ведении и хранении ЭБД определяются самостоятельно кредитной организацией, за исключением случаев, когда требования к способам и средствам обеспечения информационной безопасности в отношении определенной информации прямо предусмотрены действующим законодательством.

15. Замечания по пункту 4.1 проекта Положения.

Требование пункта 4.1 проекта Положения о предоставлении резервной копии ЭБД в течение трех дней практически не выполнимо в связи с большим объемом ЭБД, и, как следствие, большим сроком, требуемым на создание и отчуждение Банку России резервной копии ЭБД кредитных организаций.

16. Замечания по пункту 4.4 проекта Положения.

Предлагается абзац первый пункта 4.4 проекта Положения после слов "версии программного продукта" дополнить словами ", детальные инструкции по восстановлению из архивных копий ПО АБС".

В целом, Банк России при использовании резервной копии ЭБД кредитных организаций будет испытывать существенные затруднения по доступу к информации и данным, входящим в состав ЭБД, так как АБС существенно различаются между собой как с точки зрения структуры информации в ЭБД, так и с точки зрения аппаратных и программных требований к инфраструктуре АБС.

17. Общие замечания к Главе 4 проекта Положения.

Представляется целесообразным главу 4 проекта Положения дополнить положением о резервном копировании в условиях шифрования кредитными организациями целиком всей ЭБД. При этом следует определиться, какие требования предпочтительно включить в проект Положения: копировать незашифрованную базу (что может повысить риск утечки данных) либо прикладывать к ЭБД ключи шифрования (что создст риск их компрометации).

18. Замечания по пункту 5.1 проекта Положения.

Содержащееся в пункте 5.1 проекта Положения требование о применении "опечатанных контейнеров" целесообразно изменить, предусмотрев необходимость применять "упаковку, позволяющую обнаружить факт несанкционированного доступа". Это позволит кредитным организациям выбирать варианты "опломбирования" носителей информации в соответствии с особенностями своих технологических процессов.

19. Замечания по пункту 5.2 проекта Положения.

Пункт 5.2 проекта Положения необходимо дополнить нормой, в соответствии с которой хранение резервной копии ЭБД осуществляется Банком России с обязательным принятием мер по защите резервной копии без возможности копирования и выгрузки данных.

20. Общие замечания к Главе 5 проекта Положения.

Главу 5 проекта Положения необходимо дополнить нормой об обеспечении целостности и работоспособности резервной копии ЭБД кредитной организации, передаваемой Банку России. При этом следует учесть, что в силу многообразия поставщиков, версий и кастомизаций, используемых в кредитных организациях программного и аппаратного обеспечения задача адекватного воспроизведения резервной копии ЭБД (даже при отсутствии нарушений целостности) без привлечения сотрудников, ранее обеспечивающих эксплуатацию данного экземпляра ЭБД, является трудновыполнимой.

21. Общие Замечания к Главе 6 проекта Положения.

В целом, из проекта Положения однозначно не следует вывод о том, что речь идет об ЭБД, уже входящей в состав существующих АБС, или Банк России будет требовать создания новой ЭБД, полностью автономной и отчуждаемой Банку России. В любом случае отражение указанной в проекте Положения информации в ЭДБ потребует от кредитных организаций дополнительных существенных финансовых и трудовых затрат на создание программного обеспечения, ведение соответствующего реестра, сканирование документов и т.д. Однако создание новой отчуждаемой Банку России ЭБД потребует реализации в каждой кредитной организации очень дорогостоящего проекта по консолидации информации из существующих информационных систем банка в единую ЭБД, соответствующую требованиям Банка России. Причем в проекте Положения не указаны необходимые технические требования (отсутствует описание структуры, а также технических требований не только к самой ЭБД, но и к информации, которая там должна консолидироваться).

В связи с вышеизложенным предлагаем указать в пункте 6.1 проекта Положения, что оно вступает его в силу с 1 января 2014 г., а в пункте 6.2 проекта Положения установить позднюю, чем 1 января 2016 г.