Письмо Ассоциации российских банков от 11.12.2012 N А-02/5-717 "О проекте Указания Банка России о внесении изменений в Положение Банка России от 09.06.2012 N 382-П"

Ассоциация российских банков с участием специалистов Комитета АРБ по информационной безопасности проанализировала проект Указания Банка России "О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Проект) и в этой связи сообщает следующее.

Ассоциация полностью поддерживает цель Проекта о необходимости совершенствования правового регулирования обеспечения защиты информации при осуществлении переводов денежных средств. Вместе с тем, считаем возможным сообщить, что некоторые положения Проекта нуждаются в корректировке с учетом нижеследующего.

1. В соответствии с подпунктом 2.15.1 пункта 2.15 Положения Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение N 382-П) (в редакции абзацев второго и четвертого пункта 2 Проекта) "организация, привлекаемая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры для проведения оценки соответствия должна, в частности, обладать подтвержденным опытом проведения работ, связанных с оценкой выполнения требований к обеспечению защиты информации и (или) требований к обеспечению информационной безопасности.".

Учитывая, отсутствие в Проекте порядка подтверждения организацией своего опыта проведения соответствующих работ, предлагаем в абзаце четвертом пункта 2 Проекта слово "подтвержденным" исключить.

2. В соответствии с подпунктом 2.15.1 пункта 2.15 Положения N 382-П (в редакции абзацев второго, пятого - девятого пункта 2 Проекта) "организация, привлекаемая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры для проведения оценки соответствия должна, в частности,

иметь в штате не менее трех работников, имеющих:

высшее образование в области информационных технологий, защиты информации и (или) информационной безопасности,

опыт работы в области информационных технологий, защиты информации и (или) информационной безопасности не мене трех лет,

опыт проведения работ связанных с оценкой выполнения требований к обеспечению защиты информации и (или) требований к обеспечению информационной безопасности;

подтверждение прохождения обучения (повышения квалификации) по вопросам проверки, оценки и (или) контроля требований к обеспечению защиты информации.".

Представляется целесообразным к соответствующим работникам предъявлять требования в соответствии с двумя критериями, один из которых связан с наличием у работников необходимого образования, а второй - практического опыта.

При этом необходимо учесть, что некоторые специалисты получили высшее образование во времена, когда в номенклатуре специальностей высшей школы отсутствовала специальность, непосредственно связанная с обеспечением информационной безопасности, но, вместе с тем, они имеют ученую степень, присужденную за научную работу в данной области.

Кроме того, в отношении требований к опыту работы соответствующих работников следует единообразно установить минимальную его продолжительность в 3 года.

В этой связи предлагаем абзацы шестой - девятый пункта 2 Проекта объединить в абзацы шестой - седьмой, изложив их в следующей редакции:

"высшее образование и (или) ученую степень в области информационных технологий, защиты информации и (или) информационной безопасности или подтверждение прохождения обучения (повышения квалификации) по вопросам проверки, оценки и (или) контроля требований к обеспечению защиты информации;

опыт работы не менее трех лет в области информационных технологий, защиты информации и (или) информационной безопасности и (или) опыта проведения не менее трех лет работ, связанных с оценкой выполнения требований к обеспечению защиты информации и (или) информационной безопасности.".

3. Вышеизложенные предложения предлагаем учесть в Приложении 2 к Положению N 382-П (в редакции пункта 7 Проекта).

Ассоциация российских банков выражает надежду, что позиция банковского сообщества будут учтена Департаментом регулирования расчетов Банка России при доработке Проекта.

Президент

Г.А. Тосунян