5 апреля 2024 года Банк России обновил текст ответа на вопрос членов АБР по персданным и кибербезопасности.
Вопрос: Какие ключевые изменения планируется вводить в регулирования в области защиты персональных данных и кибербезопасности в 2024 году?
Ответ: На текущем этапе в целом формирование регуляторной среды для кредитных организаций в области защиты информации, операционной надежности, а также управления риском информационной безопасности полагаем завершенным. В настоящее время осуществляется оптимизация действующего регулирования. Для данной цели в связи с многочисленными обращениями представителей кредитно-финансовой сферы и ассоциаций Банком России при участии организаций финансового рынка были сформированы три рабочие группы. В рамках их работы собраны предложения по совершенствованию нормативных актов Банка России и национальных стандартов в области защиты информации и операционной надежности. На основе полученных предложений осуществляется формирование редакций нормативных актов для учета при их плановом пересмотре.
Банк России принимает участие в работе над следующими законопроектами:
1) Проект федерального закона, разрабатываемый в целях обеспечения правового регулирования аутсорсинга информационных технологий и облачных услуг. Предлагаемые изменения законодательства направлены на обеспечение правового регулирования привлечения финансовыми организациями поставщиков услуг аутсорсинга информационных технологий и облачных услуг, а также на установление требований к привлекаемым организациям в целях обеспечения сохранности информации, передаваемой поднадзорными Банку России указанным организациям на обработку;
2) Проект федерального закона, разрабатываемый в целях обеспечения соответствия руководителя финансовой организации, на которого возложены полномочия по обеспечению информационной безопасности, квалификационным требованиям, определенным в соответствии с Указом Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». Также законопроект направлен на повышение ответственности и вовлеченности такого руководителя в процесс обеспечения информационной безопасности в финансовой организации, путем установления дополнительного требования к деловой репутации. В рамках данного требования предусматривается возможность применения персональных мер ответственности в отношении должностного лица в случае установления нарушений требований к защите информации, которые привели к утечке данных клиентов или к угрозе правам и законным интересам клиентов организации.
Приоритетным для Банка России остается вопрос обеспечения надлежащего репортинга данных о мошеннических операциях в Банк России. Концепция противодействия переводам без согласия клиента базируется на высоком качестве данных о соответствующих переводах, которые банки направляют в базу данных Банка России, а регулятор, в свою очередь, распространяет среди всех участников информационного обмена. От полноты, достоверности и своевременности предоставления этих сведений зависит скорость и эффективность противодействия злоумышленникам, а также качество работы антифрод-систем в банках. Особую актуальность этот вопрос приобретает в связи с предстоящим вступлением в силу (с 25.07.2024) Федерального закона от 24 июля 2023 года № 369-ФЗ «О внесении изменений в Федеральный закон «О национальной платежной системе».
Предусмотренные им механизмы противодействия злоумышленникам будут эффективно работать только при условии своевременного наполнения базы данных Банка России полноценной информацией.