ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
от 26 октября 2023 года N 15-МР
По взаимодействию кредитных организаций с МВД России и ФСБ России в целях принятия процессуальных решений при проведении компьютерных атак в отношении объектов критической информационной инфраструктуры
Настоящие Методические рекомендации описывают действия кредитных организаций при выявлении компьютерных инцидентов, инцидентов защиты информации (далее - инциденты) на объектах критической информационной инфраструктуры (далее - КИИ) и взаимодействии с МВД России и ФСБ России в целях принятия процессуальных решений уполномоченными органами.
Перечень инцидентов, включающий критерии информирования и разработанный в целях реализации Федерального закона N 187-ФЗ, Положения Банка России N 683-П, Положения Банка России N 719-П, приведен в приложениях 11 и 18 к стандарту Банка России СТО БР БФБО-1.5-2023 "Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности", принятому и введенному в действие приказом Банка России от 08.02.2023 N ОД-215 (далее - СТО БР БФБО-1.5-2023).
________________
При выявлении инцидентов кредитная организация в соответствии с пунктом 1 части 2 статьи 9 Федерального закона N 187-ФЗ направляет в Банк России с использованием технической инфраструктуры Банка России уведомление, содержащее сведения о выявленном инциденте, по форме и в порядке, установленным СТО БР БФБО-1.5-2023, а также в Национальный координационный центр по компьютерным инцидентам (далее - НКЦКИ) по форме и в порядке, установленным приказом ФСБ России N 282, в соответствии с пунктом 3 Порядка, утвержденного приказом ФСБ России N 282.
________________
В случае если кредитной организацией ранее было принято решение направлять информацию об инцидентах в НКЦКИ посредством Автоматизированной системы обработки инцидентов ФинЦЕРТ Банка России, дополнительное информирование НКЦКИ о данных событиях не требуется.
В случае выявления инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных, кредитная организация в соответствии с частью 12 статьи 19 Федерального закона N 152-ФЗ также информирует НКЦКИ в порядке, установленном приказом ФСБ России N 77.
________________
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".
В случае если кредитной организацией ранее было принято решение направлять информацию об инцидентах в НКЦКИ посредством Автоматизированной системы обработки инцидентов ФинЦЕРТ Банка России, дополнительное информирование НКЦКИ в порядке, установленном указанным приказом ФСБ России, не требуется. Сведения передаются в Банк России по форме и в порядке, установленным СТО БР БФБО-1.5-2023.
В ходе проведения технического анализа КИИ по факту выявленного инцидента кредитной организации рекомендуется обеспечить сохранение технических данных выявленного несанкционированного воздействия на КИИ, в том числе включающих в себя образы оперативной памяти, жестких дисков скомпрометированных объектов КИИ, информацию о сетевой активности с объектов КИИ.
Дополнительные рекомендации по применению организационных, технологических и технических подходов, связанных со сбором, обработкой, анализом и распространением (передачей) технических данных по выявленному инциденту, приведены в стандарте Банка России СТО БР ИББС-1.3-2016 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств", принятом и введенном в действие приказом Банка России от 30.11.2016 N ОД-4234.
По результатам реагирования на инциденты, вследствие которых возникли прямые и (или) непрямые потери, кредитная организация в соответствии с пунктом 7.6 Положения Банка России N 716-П определяет суммы потерь в разрезе видов потерь согласно пункту 3.11 Положения Банка России N 716-П и пункту 4 приложения 5 к Положению Банка России N 716-П в целях установления суммы причиненного ущерба.
________________
В случае выявления инцидентов в целях уголовно-правовой оценки действий злоумышленников кредитная организация обращается с заявлением в уполномоченные органы.
При подаче заявления в МВД России, помимо описания событий, связанных с несанкционированным переводом денежных средств со счетов организации, рекомендуется указать факт незаконного воздействия на КИИ и изменения компьютерной информации.
Обращение по факту выявления инцидентов подается очно в территориальное подразделение МВД России по месту нахождения юридического лица либо в исключительных случаях с использованием сервиса приема обращений граждан и организаций, размещенного на официальном сайте МВД России в информационно-телекоммуникационной сети "Интернет" (www.мвд.рф).
________________
В открывшемся списке подразделений выбирается "БСТМ МВД России" для дальнейшего заполнения формы обращения.
Помимо МВД России, кредитная организация обращается в ФСБ России с использованием сервиса приема обращений граждан и организаций, размещенного на официальном сайте ФСБ России в информационно-телекоммуникационной сети "Интернет" (fsb.ru), или очно в территориальные органы безопасности.
Настоящие Методические рекомендации согласованы с Генеральной прокуратурой Российской Федерации, МВД России и ФСБ России.
Заместитель Председателя
Банка России
Г.А.Зубарев
Электронный текст документа
подготовлен АО "Кодекс" и сверен по:
Официальный сайт Банка России
www.cbr.ru
по состоянию на 30.10.2023