Translate this page:
Please select your language to translate the article


You can just close the window to don't translate
Library
Your profile

Back to contents

Administrative and municipal law
Reference:

Provision of Information Security in the Financial Sector As Part of Implementation of National Program 'Digital Economics of the Russian Federation'

Gorian Ella

ORCID: 0000-0002-5962-3929

PhD in Law

Associate Professor, Vladivostok State University

690014, Russia, Primorsky Krai, Vladivostok, Gogol str., 41, office 5502

ella-gorjan@yandex.ru
Other publications by this author
 

 
Barannik Igor' Nikolaevich

PhD in Law

Associate Professor of the Department of Civil Law Disciplines at Vladivostok State University of Economics and Service

690014, Russia, Primorskii krai, g. Vladivostok, ul. Gogolya, 41, kab. 5502

barannik_08@mail.ru

DOI:

10.7256/2454-0595.2019.4.29911

Received:

02-06-2019


Published:

24-07-2019


Abstract: The object of the research is the relations that arise in the process of implementation of National Program 'Digital Economics', in particular, provision of information security in Russia's financial system. The researchers define the role of state financial regulatory authority in implementation of the aforesaid program taking into account special features of such financial regulatory authority's legal status. They also analyze key documents that constitute regulatory mechanisms of information security in Russia's financial and banking systems. The authors describe particular activities of Information Security competence center and prove the need to appoint the Bank of Russia as such competence center. In the course of their research the authors have used general research methods (structural-functional and hermeneutical) and special research methods (formal law and history of law methods). According to the authors, despite a serious constitutional legal status and practical experience in provision of security at financial institutions, National program 'Digital Economics of the Russian Federation' does not use potential of the financial regulatory authority to the full extent, even though objectives to be achieved by the competence center are of state nature and thus should be performed by a competent authority. As a proof and logical outcome of declaring an impmortant role of financial regulatory authority, the government must appoint the Bank of Russia as the competence center for the federal project 'Digital Economics' because this financial regulatory authority has all necessary organizational and legal competences and material resources (FinCERT). 


Keywords:

financial regulatory authority, Bank of Russia, financial system, banking system, digital economics, informational security, cybersecurity, critical information infrastructure, FinCERT, competence center


Актуальность темы исследования. В целях реализации Стратегии развития информационного общества в Российской Федерации на 2017-2030 годы [1] в 2017 году была утверждена национальная программа «Цифровая экономика Российской Федерации» [2] (далее - Программа). В качестве ее основной цели было указано создание цифровой среды, обеспечивающей взаимодействие всех участников публичного и частного секторов во всех сферах жизнедеятельности в достаточных и необходимых условиях институционального и инфраструктурного характера для развития высоких технологий, используемых как в традиционных, так и новых отраслях экономики. Дорожная карта Программы первоначально предусматривала пять направлений развития цифровой экономики в России: 1) нормативное регулирование; 2) кадры и образование; 3) формирование исследовательских компетенций и технологических заделов; 4) информационная инфраструктура; 5) информационная безопасность [2]. Однако в конце 2018 года был утвержден Паспорт национальной программы «Цифровая экономика Российской Федерации» [3], которым была предусмотрена реализация шести федеральных проектов в рамках Программы (пп. 4.1-4.6): а) нормативное регулирование цифровой среды; б) информационная инфраструктура; в) кадры для цифровой экономики; г) информационная безопасность; д) цифровые технологии; е) цифровое государственное управление. Для реализации Программы была разработана система управления, включающая, помимо всего прочего, так называемые «центры компетенций» (п. 4). Центры компетенций занимаются а) обеспечением сбора предложений и осуществлением подготовки проектов паспортов федеральных проектов Программы, включая пояснительную записку и финансово-экономическое обоснование, и запросов на изменения паспортов федеральных проектов Программы; б) направлением указанных проектов в соответствующую рабочую группу и другим участникам системы управления; в) рассмотрением итоговых отчетов о реализации Программы и о реализации федеральных проектов Программы; г) рассмотрением проектов актов и проектов поправок к законопроектам, принятие которых может оказать влияние на реализацию Программы и выполнение федеральных проектов Программы, а также проекты официальных отзывов на такие законопроекты; д) выполнением мероприятий федеральных проектов Программы в рамках своей компетенции, в том числе подготовки проектов актов (п. 12) [4].

Одним из федеральных проектов Программы, как указывалось выше, является «Информационная безопасность», задачей которого определено обеспечение информационной безопасности на основе отечественных разработок при передаче, обработке и хранении данных, гарантирующей защиту интересов личности, бизнеса и государства (п. 4.4) [3]. Результаты выполнения данной задачи запланированы следующие: 1) создание условий для глобальной конкурентоспособности в области экспорта отечественных разработок и технологий обеспечения безопасности информации; 2) обеспечение устойчивости и безопасности функционирования информационной инфраструктуры и сервисов передачи, обработки и хранения данных; 3) обеспечение защиты прав и законных интересов личности, бизнеса и государства от угроз информационной безопасности в условиях цифровой экономики; 4) обеспечение использования отечественных разработок и технологий при передаче, обработке и хранении данных. Однако в качестве центра компетенций этого федерального проекта Программы был определен ПАО «Сбербанк России», а руководителем рабочей группы по направлению «Информационная безопасность» - президент группы компаний InfoWatch Н. Касперская) [5]. При этом функцию финансового регулятора в России исполняет Центральный банк Российской Федерации (Банк России), имеющий особый конституционно-правовой статус и соответствующие полномочия. Его руководство неоднократно обращалось к Правительству Российской Федерации с просьбой пересмотреть решение об определении ПАО «Сбербанка России» в качестве центра компетенций в пользу Банка России или хотя бы передать ему часть полномочий, но безрезультатно [6]. В качестве аргументов были указаны следующие: во-первых, в структуре Банка России успешно действует центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ), во-вторых, его участие «гармонизирует программу со стратегическими целями развития финансового рынка и снизит риски возникновения конфликта интересов при формировании и исполнении программы… эти функции являются «исключительно государственными и не свойственны коммерческим банкам» [6]. Ведь именно финансовый регулятор несет ответственность за стабильное функционирование финансового рынка и банковской системы России (ст. 2) [7], он играет координирующую роль, устанавливая правила осуществления деятельности финансовыми институтами, в том числе в сфере обеспечения безопасности их функционирования [8, С. 26]. Поэтому необходимо теоретическое исследование и обоснование роли Банка России в качестве центра компетенций федерального проекта «Информационная безопасность» Национальной программы «Цифровая экономика Российской Федерации». Все вышесказанное свидетельствует об актуальности темы исследования.

Постановка проблемы исследования. Обеспечение информационной безопасности государства осуществляется взаимодействующими институтами публичного и частного секторов. В такой ситуации представители публичного сектора несут ответственность за координацию действий в рамках конкретного сегмента экономики. Финансовый регулятор выполняет функции по координированию и управлению отношениями в рамках финансового и банковского секторов (ст. 3, 4) [7], поэтому определение его роли в обеспечении информационной безопасности в рамках реализации государственной программы по создание цифровой среды, обеспечивающей взаимодействие всех участников публичного и частного секторов во всех сферах жизнедеятельности, является научно и практически обоснованным.

Цели и задачи исследования. Цель нашего исследования – обосновать необходимость определения Банка России в качестве центра компетенций федерального проекта «Информационная безопасность» Национальной программы «Цифровая экономика Российской Федерации». Задачи исследования заключаются в определении правового статуса указанного субъекта, характеристике полномочий в сфере обеспечения информационной безопасности и определении роли в реализации Программы.

Методология. В исследовании использованы общенаучные (в частности, структурно-функциональный и герменевтический) и специальные юридические методы познания (формально-юридический и историко-правовой).

Предмет исследования, источниковая база исследования. Предмет исследования составляют основные нормативно-правовые акты, определяющие содержание Программы и полномочия Банка России по обеспечению информационной безопасности, а также ряд научных исследований по теме.

Выбранная нами для исследования тема мало представлена в российской научной литературе. Среди отечественных научных исследований можно выделить работы о роли российского финансового регулятора в обеспечении информационной безопасности банковской и финансовой систем [9; 10], а также работу о подходах к разработке информационно-регулятивной системы финансовой инфраструктуры [11].

Основная часть. Перед определением правового статуса Банка России необходимо остановиться на вопросе об особенности объекта, к которому применяются полномочия финансового регулятора. Речь идет об информационных системах банковского и финансового секторов, имеющих статус объектов критических информационных инфраструктур (КИИ). Наряду с информационными системами энергетического и транспортного секторов они являются первоочередной мишенью компьютерных атак со стороны как преступного сообщества, так и специализированных государственных служб иностранных государств. Объекты КИИ представляют собой зону ответственности прежде всего специализированных государственных институтов, выполняющих функции по обеспечению национальной безопасности [12, с. 55-57]. Как мы указывали выше, финансовый регулятор уполномочен государством на установление правил деятельности всех финансовых институтовами, в том числе и в сфере безопасности их функционирования [8, с. 26].

Особый правовой статус Банка России устанавливается Конституцией Российской Федерации (ст. 75) [13], определившей его в качестве единственного субъекта защиты и обеспечения устойчивости рубля в качестве денежной единицы Российской Федерации. Он был учрежден в 1990 году на базе Российского республиканского банка Госбанка СССР. Федеральный закон от 10.07.2002 №86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (далее – ФЗ-86) устанавливает статус финансового регулятора, указывая дополнительно такие цели его деятельности как развитие и укрепление банковской системы Российской Федерации; обеспечение стабильности и развитие национальной платежной системы; развитие и обеспечение стабильности финансового рынка Российской Федерации (ст. 3) [7]. Среди функций Банка России, определенных в статье 4 ФЗ-86, особо следует отметить такие, которые имеют непосредственное отношение к обеспечению безопасности финансовой и банковской сферы: установление правил проведения банковских операций и осуществления расчетов; валютное регулирование; осуществление валютного контроля и банковского надзора, а также надзора в национальной платежной системе; разработка и проведение политики развития и обеспечения стабильности функционирования финансового рынка; проведение анализа и прогнозирования состояния экономики государства с публикацией соответствующих материалов и статистических данных; организация оказания услуг по передаче электронных сообщений по финансовым операциям.

Для осуществления своих полномочий и регулирования вышеуказанных отношений Банк России издает нормативные акты, обязательные для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, всех юридических и физических лиц (ст. 7 ФЗ-86). Эти акты имеют форму инструкций, положений и указаний.

Инструкции определяют порядок применения положений федеральных законов, иных нормативных правовых актов (в том числе нормативных актов Банка России) по вопросам, отнесенным к компетенции Банка России, посредством установления совокупности правил, регулирующих процесс осуществления отдельных видов деятельности в определенной области правоотношений (п. 1.4.1) [14]. Положение Банка России устанавливает системно связанные между собой правила по вопросам, отнесенным к компетенции Банка России (п. 1.4.2) [14]. В форме указания издается нормативный акт, устанавливающий отдельные правила по вопросам, отнесенным к компетенции Банка России, а также изменяющий или признающий утратившими силу нормативные или иные акты Банка России (п. 1.4.3) [14].

Кроме указанных нормативных актов финансовый регулятор может издавать иные, не являющиеся нормативными, акты: официальные разъяснения; распорядительные акты; методические рекомендации; положения о структурных подразделениях; акты, содержащие исключительно технические форматы и иные технические требования (п. 1.3) [14]. Рассмотрим те из них, имеющие отношение к обеспечению информационной безопасности финансовой и банковской сфер.

Для обеспечения обмена электронными сообщениями между финансовым регулятором и другими субъектами в целях осуществления банковских операций и других видов деятельности, предусмотренных законодательством, была создана Электронная информационная система Банка России, функционирующая в соответствии с утвержденным Положением [15] и включающая в себя вычислительные и технические центры Банка России, оснащенные аппаратными и программными средствами, в целях сбора, обработки, хранения и передачи административной, экономической, учетной, отчетной, операционной информации, информации о расчетных операциях (в том числе платежной информации) и другой информации в соответствии с правилами и условиями, установленными в нормативных актах и организационно-распорядительных документах Банка России, договорах обмена информацией. Электронная информационная система Банка России взаимодействует с телекоммуникационной системой Банка России (п. 1.2) [15]. Обеспечение информационной безопасности этой системы наряду со всей банковской системой России осуществляется в соответствии со Стандартом Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [16], который состоит из девяти разделов, среди которых нужно отметить разделы, посвященные 1) исходной концептуальной схеме (парадигме) обеспечения информационной безопасности организаций банковской системы; 2) моделям угроз и нарушителей информационной безопасности; 3) системе информационной безопасности; 4) системе менеджмента информационной безопасности; 4) проверке и оценке информационной безопасности.

В разделе 6 «Модели угроз и нарушителей информационной безопасности организаций банковской системы Российской Федерации» стандарта определяется иерархия основных уровней информационной инфраструктуры, обеспечивающей реализацию банковских технологий: а) физический (линии связи, аппаратные средства и пр.); б) сетевое оборудование (маршрутизаторы, коммутаторы, концентраторы и пр.); в) сетевые приложения и сервисы; г) операционные системы; д) системы управления базами данных; е) банковские технологические процессы и приложения; ж) бизнес-процессы организации (п. 6.2) [16].

Далее приводится перечень основных источников угроз информационной безопасности: 1) неблагоприятные события природного, техногенного и социального характера; 2) террористы и криминальные элементы; 3) зависимость от поставщиков/провайдеров/партнеров/клиентов; 4) сбои, отказы, разрушения/повреждения программных и технических средств; 5) работники организации банковской системы России, реализующие угрозы информационной безопасности с использованием легально предоставленных им прав и полномочий (внутренние нарушители информационной безопасности); 6) работники организации банковской системы России, реализующие угрозы информационной безопасности вне легально предоставленных им прав и полномочий, а также субъекты, не являющиеся работниками организации БС РФ, но осуществляющие попытки несанкционированного доступа и нерегламентированных действий в рамках предоставленных полномочий (внешние нарушители информационной безопасности); 7) несоответствие требованиям надзорных и регулирующих органов, действующему законодательству (п. 6.6) [16].

Рассматриваемый стандарт содержит также перечни наиболее актуальных угроз на трех основных уровнях: 1) на физическом уровне, уровне сетевого оборудования и уровне сетевых приложений (п. 6.7); 2) на уровнях операционных систем, систем управления базами данных, банковских технологических процессов (п. 6.8); 3) на уровне бизнес-процессов (п. 6.9) [16].

Раздел 7 «Система информационной безопасности организаций банковской системы Российской Федерации» содержит принципы распределении прав доступа работников и клиентов к информационным активам организации банковской системы России: а) «знать своего клиента» (know your customer); б) «знать своего служащего» (know your employee); в) «необходимо знать» (need to know); г) «двойное управление» (dual control) (п. 7.1.4). Стандарт устанавливает, что в рамках банковских платежных технологических процессов в качестве активов, защищаемых в первую очередь, следует рассматривать: 1) банковский платежный технологический процесс; 2) платежную информацию; 3) информацию, отнесенную к защищаемой информации в соответствии с пунктом 2.1 Положения Банка России от 09.06.2012 №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» в редакции Указания Банка России от 05.06.2013 №3007-У (п. 7.1.9) [16].

В указанном разделе стандарта содержатся общие требования по обеспечению информационной безопасности: а) при назначении и распределении ролей и обеспечении доверия к персоналу (п. 7.2); б) автоматизированных банковских систем на стадиях жизненного цикла (п. 7.3); в) при управлении доступом и регистрацией (п. 7.4); г) средствами антивирусной защиты (п. 7.5); д) при использовании ресурсов сети Интернет (п. 7.6); е) при использовании средств криптографической защиты информации (п. 7.7); ж) банковских платежных технологических процессов (п. 7.8); з) банковских информационных технологических процессов (п. 7.9); и) банковских технологических процессов, в рамках которых обрабатываются персональные данные (п. 7.11), а также общие требования по обработке персональных данных в организации банковской системы Российской Федерации (п. 7.10) [16].

В разделе 8 «Система менеджмента информационной безопасности организаций банковской системы Российской Федерации» изложены требования к: 1) организации и функционированию службы информационной безопасности организации банковской системы Российской Федерации (п. 8.2); 2) определению/коррекции области действия системы обеспечения информационной безопасности (п. 8.3); 3) выбору/коррекции подхода к оценке рисков нарушения информационной безопасности и проведению оценки рисков нарушения информационной безопасности (п. 8.4); 4) разработке планов обработки рисков нарушения информационной безопасности (п. 8.5); 5) разработке/коррекции внутренних документов, регламентирующих деятельность в области обеспечения информационной безопасности (п. 8.6); 6) принятию руководством организации банковской системы Российской Федерации решений о реализации и эксплуатации системы обеспечения информационной безопасности (п. 8.7); 7) организации реализации планов внедрения системы обеспечения информационной безопасности (п. 8.8); 8) разработке и организации реализации программ по обучению и повышению осведомленности в области информационной безопасности (п. 8.9); 9) организации обнаружения и реагирования на инциденты информационной безопасности (п. 8.10); 10) организации обеспечения непрерывности бизнеса и его восстановления после прерываний (п. 8.11); 11) мониторингу информационной безопасности и контролю защитных мер (п. 8.12); 12) проведению самооценки информационной безопасности (п. 8.13); 13) проведению аудита информационной безопасности (п. 8.14); 14) анализу функционирования системы обеспечения информационной безопасности (п. 8.15); 15) анализу системы обеспечения информационной безопасности со стороны руководства организации банковской системы Российской Федерации (п. 8.16); 16) принятию решений по тактическим улучшениям системы обеспечения информационной безопасности (п. 8.17); 17) принятию решений по стратегическим улучшениям системы обеспечения информационной безопасности (п. 8.18) [16].

В отношении проверки и оценки информационной безопасности организаций банковской системы России предусмотрены следующие процессы и дается их характеристика: а) мониторинг информационной безопасности и контроль защитных мер; б) самооценка информационной безопасности; в) аудит информационной безопасности; г) анализ функционирования система обеспечения информационной безопасности (в том числе со стороны руководства) (п. 9.1) [16].

Еще одним важным инструментом обеспечения информационной безопасности следует указать дополненное в прошлом году Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств №382-П [17]. Его подробно проанализировала О.А. Василенко в своей статье [10]. Отметим прежде всего такие ключевые меры, предпринимаемые финансовым регулятором, как обязанность банков и операторов по переводу денежных средств информировать о хакерских атаках, обязанность банков раскрывать финансовый ущерб от кибератак, обязательная сертификация технических мер защиты информации.

В начале 2019 года финансовый регулятор утвердил Положение о требованиях к защите информации в платежной системе Банка России №672-П [18], которое распространяется на объекты информационной инфраструктуры, применяемые для обработки защищаемой информации, перечисленной в пункте 2.1 Положения Банка России от 9 июня 2012 года №382-П: 1) об остатках денежных средств на банковских счетах; 2) об остатках электронных денежных средств; 3) о совершенных переводах денежных средств, в том числе информация, содержащаяся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы; требование об отнесении информации о совершенных переводах денежных средств к защищаемой информации, хранящейся в операционных центрах платежных систем с использованием платежных карт или находящихся за пределами Российской Федерации, устанавливается оператором платежной системы; 4) содержащаяся в оформленных в рамках применяемой формы безналичных расчетов распоряжениях клиентов операторов по переводу денежных средств, распоряжениях участников платежной системы, распоряжениях платежного клирингового центра; 5) о платежных клиринговых позициях; 6) необходимая для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт; 7) ключевая информация средств криптографической защиты информации, используемых при осуществлении переводов денежных средств (о криптографических ключах); 8) о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств, а также информация о конфигурации, определяющей параметры работы технических средств защиты информации; 9) информация ограниченного доступа, в том числе персональных данных и иная информация, подлежащая обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств [19].

В качестве дополнительных инструментов обеспечения кибербезопасности следует отметить ряд стандартов [20; 21; 22] и Указание Банка России от 10.12.2015 №3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных» [23].

Отдельно необходимо остановиться на аутсорсинге - передаче выполнения отдельных собственных бизнес-функций на основании договорных отношений сторонним (внешним) организациям, специализирующимся на предоставлении соответствующих услуг (поставщикам услуг). Финансовый регулятор определяет следующие бизнес-функции для возможной передачи на аутсорсинг: а) связанные с применением информационных технологий, обслуживанием и администрированием средств вычислительной техники, серверного и телекоммуникационного оборудования, устройств самообслуживания, с разработкой программного обеспечения; б) административные, включая связанные с финансовой деятельностью, функционалом back-офиса, call-центра, организационным и административным обеспечением; в) связанные с хранением и обработкой информации, в том числе на внешних центрах обработки данных и облачных сервисах (облачных службах); г) обеспечения информационной безопасности организации банковской системы России; д) административно-хозяйственные [22]. Соответствующий стандарт состоит из 12 разделов и 3 приложений. Непосредственные требования к аутсорсингу в аспекте информационной безопасности содержат разделы 5-12 (риск нарушения информационной безопасности и основные требования к управлению таким риском; оценка риска; содержание задач и зона ответственности руководства организации банковской системы; требования к проведению оценки поставщика услуг и к содержанию соглашений об аутсорсинге; мониторинг и контроль риска нарушения информационной безопасности при аутсорсинге; особенности аутсорсинга процессов информационной безопасности).

Приложение 1 устанавливает допустимые виды международной сертификации по информационной безопасности: сертификацию международной ассоциации ISACA (Information Systems Audit and Control Association) и сертификацию международного консорциума по информационной безопасности ISC (International Information Systems Security Certifications Consortium, Inc.). Приложение 2 содержит перечень вопросов для оценки политики поставщика услуг в части обеспечения информационной безопасности, а приложение 3 – примеры бизнес-функций, которые могут быть переданы на аутсорсинг.

Непосредственное оперативное управление информационной безопасностью осуществляется через Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) – одно из структурных подразделений Департамента информационной безопасности [24]. ФинЦЕРТ осуществляет информационное взаимодействие не только между субъектами финансовой системы, но и разработчиками антивирусного программного обеспечения, провайдерами и операторами связи, а также правоохранительными и иными государственными органами, курирующими информационную безопасность отрасли. Кроме этого ФинЦЕРТ готовит аналитические материалы о фактах кибератак и устанавливает рекомендации в области обеспечения защиты информации при осуществлении переводов денежных средств [24] на основании положений специального стандарта об управлении инцидентами информационной безопасности [20].

Инструменты, издаваемые Банком России с целью регулирования информационной безопасности, охватывают основные аспекты: защита информационных систем, управление рисками, аутсорсинг, и содержат не только детальный перечень организационно-правовых мер, но и массу технических предписаний.

Вышеуказанные инструменты нормативно-правового и институционального характера определяют финансового регулятора в качестве ключевого, более того, единственного субъекта, обладающего широкими полномочиями по регулированию финансовых отношений.

Рассмотрим теперь положения Программы, устанавливающие объем и пределы вовлеченности Банка России в ее федеральные проекты. Руководителями проектов назначены заместители глав следующих министерств: Министерства экономического развития Российской Федерации – для проектов «Нормативное регулирование цифровой среды» и «Кадры для цифровой экономики»; Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации – для проектов «Информационная инфраструктура», «Информационная безопасность», «Цифровые технологии» и «Цифровое государственное управление» (раздел 3) [3].

В федеральном проекте «Нормативное регулирование цифровой среды» Банк России указан в качестве ответственного исполнителя задачи обеспечения правовых условий для внедрения и использования инновационных технологий на финансовом рынке. В качестве одного из результатов данного проекта было указано принятие к 31.12.2018 года федерального закона, регулирующего оборот криптовалют и проведения ICO, определения статуса цифровых технологий, применяемых в финансовой сфере, и их понятий (п. 1.8) [3]. Для его достижения финансовый регулятор взаимодействовал с Минфином России, Минэкономразвития России, Минкомсвязи России, Фондом «Сколково», АНО «Цифровая экономика» и иными заинтересованными федеральными органами исполнительной власти и организациями. Соответствующий законопроект [25] был принят Государственной Думой Федерального Собрания РФ в первом чтении 22.05.2018 года, экспертное заключение Совета при Президенте РФ по кодификации и совершенствованию гражданского законодательства было получено 29.11.2018 года и 20.03.2019 года рассмотрение законопроекта во втором чтении было перенесено Государственной Думой ФС РФ на другое пленарное заседание [26]. Еще одним результатом в рамках федерального проекта «Нормативное регулирование цифровой среды» было указано принятие федерального закона, предусматривающего регулирование осуществления краудфандинговой деятельности (деятельности по привлечению инвестиций с использованием инвестиционных платформ) (п. 1.9) к 31.12.2018 года [3]. Соисполнителями с Банком России были указаны Минэкономразвития России, Минкомсвязи России, Минфин России, Фонд «Сколково», АНО «Цифровая экономика» и иные заинтересованные федеральными органами исполнительной власти и организации. Соответствующий проект федерального закона «О привлечении инвестиций с использованием инвестиционных платформ» [27] был принят в первом чтении 22.05.2018 года. Экспертное заключение Совета при Президенте РФ по кодификации и совершенствованию гражданского законодательства на этот законопроект было дано 17.01.2019 года [28].

Федеральный проект «Информационная инфраструктура» включил Банк России для достижения задачи внедрения цифровых технологий и платформенных решений в сферах государственного управления, бизнеса и общества. К 31.12.2023 года Банк России совместно с ПАО «Ростелеком» должен создать платформу, обеспечивающую обмен информацией между государством, гражданами, а также коммерческими и некоммерческими организациями, в том числе с согласия гражданина (инфраструктура «Цифровой профиль») (п. 1.66) [3].

Следует отметить, что в работе центра компетенций по информационной безопасности не задействованы представители Банка России, несмотря на то, что работа этого центра ведется в 16 подгруппах по следующим направлениям: 1) обеспечение устойчивости и безопасности функционирования единой сети электросвязи Российской Федерации (включая российский сегмент сети «Интернет»); 2) управляемость и надежность функционирования сети российского сегмента сети «Интернет»; 3) технологическая независимость и безопасность функционирования аппаратных средств и инфраструктуры обработки данных; 4) обеспечить устойчивость и безопасность функционирования информационных систем и технологий; 5) правовой режим и технические инструменты функционирования сервисов и использования данных; 6) правовой режим межмашинного взаимодействия для киберфизических систем; 7) правовой режим функционирования машинных и когнитивных интерфейсов, включая интернет вещей; 8) защита прав, свобод и законных интересов личности в условиях цифровой экономики; 9) технические инструменты, обеспечивающие безопасное информационное взаимодействие граждан в условиях цифровой экономики; 10) защита прав и законных интересов бизнеса в условиях цифровой экономики; 11) организационная и правовая защита государственных интересов в условиях цифровой экономики; 12) создание эффективных механизмов государственного регулирования и поддержки в области информационной безопасности при интеграции национальной цифровой экономики в международную экономику; 13) создание основ для построения доверенной среды ЕАЭС, обеспечивающей коллективную информационную безопасность; 14) участие России в подготовке и реализации международных документов по вопросам информационной безопасности, относящимся к цифровой экономике; 15) правовое обеспечение реализации направления информационной безопасности; 16) кадровое обеспечение реализации направления информационной безопасности [5]. В деятельности этих групп принимают участие представители как публичного, так и частного секторов, однако финансовый регулятор не представлен ни в одной из них, что никак не соотносится с его возможностями и полномочиями.

Выводы. Вышесказанное позволяет сделать следующие выводы. Банк России курирует все финансовые институты, формирует финансовую систему путем поддержания устойчивой системы корпоративного управления и строгого соблюдения международных стандартов бухгалтерского учета. Для обеспечения информационной безопасности банковского и финансового секторов Банк России уполномочен принимать нормативные акты, которые охватывают такие важные аспекты банковской и финансовой деятельности, как защита объектов информационной инфраструктуры и информации при осуществлении переводов денежных средств, безопасность персональных данных, аутсорсинг услуг и др. Важную роль в обеспечении информационной безопасности играет специальный Центр мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере, взаимодействующий с субъектами публичного и частного секторов. Несмотря на серьезный конституционно-правовой статус и опыт практического управления процессами по обеспечению безопасности финансовых институтов, потенциал финансового регулятора не в полной мере используется в Национальной программе «Цифровая экономика Российской Федерации», хотя задачи, поставленные перед центром компетенций по информационной безопасности, носят государственный характер и соответственно должны исполняться соответствующим субъектом. На наш взгляд, Банк России должен быть определен в качестве центра компетенций этого проекта (единолично или совместно со Сбербанком России), что является логическим продолжением реализации предоставленных ему государством полномочий.

References
1. O Strategii razvitiya informatsionnogo obshchestva v Rossiiskoi Federatsii na 2017-2030 gody: Ukaz Prezidenta Rossiiskoi Federatsii ot 09.05.2017 №203 [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_216363/
2. Ob utverzhdenii programmy «Tsifrovaya ekonomika Rossiiskoi Federatsii» : rasporyazhenie Pravitel'stva Rossiiskoi Federatsii ot 28.07.2017 №1632-r [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_221756/
3. Pasport natsional'noi programmy «Tsifrovaya ekonomika Rossiiskoi Federatsii» (utv. prezidiumom Soveta pri Prezidente RF po strategicheskomu razvitiyu i natsional'nym proektam, protokol ot 24.12.2018 №16) [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_319432/
4. O sisteme upravleniya realizatsiei natsional'noi programmy «Tsifrovaya ekonomika Rossiiskoi Federatsii» (vmeste s Polozheniem o sisteme upravleniya realizatsiei natsional'noi programmy «Tsifrovaya ekonomika Rossiiskoi Federatsii»): postanovlenie Pravitel'stva RF ot 02.03.2019 №234 [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_319701/
5. Informatsionnaya bezopasnost' [Elektronnyi resurs] // Tsifrovaya ekonomika Rossii 2024: ofitsial'nyi sait. – Rezhim dostupa: https://data-economy.ru/security
6. Razumnyi E. Sberbank i TsB sporyat, kto glavnyi po kiberbezopasnosti: TsB khochet chast' polnomochii Sberbanka v «Tsifrovoi ekonomike» [Elektronnyi resurs] / E. Razumnyi // Elektronnoe periodicheskoe izdanie «Vedomosti» (Vedomosti). – Rezhim dostupa: https://www.vedomosti.ru/finance/articles/2018/10/31/785328-sberbank-i-tsb-sporyat
7. O Tsentral'nom banke Rossiiskoi Federatsii (Banke Rossii) : federal'nyi zakon ot 10.07.2002 №86-FZ (red. ot 01.05.2019) [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_37570/
8. Goryan E.V. Rol' finansovogo regulyatora v obespechenii kiberbezopasnosti: opyt Singapura / E.V. Goryan // Finansovoe pravo i upravlenie.-2018.-№2.-S. 25-38.
9. Aleksandrov V.V. Primenenie standarta Banka Rossii po obespecheniyu informatsionnoi bezopasnosti organizatsii bankovskoi sistemy Rossiiskoi Federatsii / V.V. Aleksandrov, Yu.V. Malii // Vestnik Belgorodskogo universiteta kooperatsii, ekonomiki i prava. 2015. № 2 (54). S. 289-292.
10. Vasilenko O.A. Mery Tsentral'nogo banka Rossii po zashchite informatsii v finansovoi sfere / O.A. Vasilenko // Nauka, tekhnika i obrazovanie.-2018.-№ 8 (49).-S. 66-68.
11. Alekseev V.N. Podkhody k razrabotke informatsionno-regulyativnoi sistemy finansovoi infrastruktury / V.N. Alekseev, N.N. Sharkov // Nauchno-issledovatel'skii finansovyi institut. Finansovyi zhurnal.-2019.-№ 2 (48).-S. 109-121.
12. Goryan E.V. Institutsional'nye mekhanizmy obespecheniya bezopasnosti kriticheskoi informatsionnoi infrastruktury Rossiiskoi Federatsii i Singapura: sravnitel'no-pravovoi aspekt / E.V. Goryan // Administrativnoe i munitsipal'noe pravo.-2018.-№9.-S.49-60.
13. Konstitutsiya Rossiiskoi Federatsii (prinyata vsenarodnym golosovaniem 12.12.1993) (s uchetom popravok, vnesennykh Zakonami RF o popravkakh k Konstitutsii RF ot 30.12.2008 №6-FKZ, ot 30.12.2008 №7-FKZ, ot 05.02.2014 №2-FKZ, ot 21.07.2014 №11-FKZ) [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_28399/
14. O pravilakh podgotovki normativnykh aktov Banka Rossii : polozhenie Banka Rossii ot 22.09.2017 №602-P [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_278566/
15. Ob Elektronnoi informatsionnoi sisteme Banka Rossii : polozhenie Banka Rossii ot 04.08.2005 №274-P [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_55289/
16. O vvode v deistvie standarta Banka Rossii «Obespechenie informatsionnoi bezopasnosti organizatsii bankovskoi sistemy Rossiiskoi Federatsii. Obshchie polozheniya. STO BR IBBS-1.0-2014» : rasporyazhenie Banka Rossii ot 17.05.2014 №R-399 [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_163762/
17. O trebovaniyakh k obespecheniyu zashchity informatsii pri osushchestvlenii perevodov denezhnykh sredstv i o poryadke osushchestvleniya Bankom Rossii kontrolya za soblyudeniem trebovanii k obespecheniyu zashchity informatsii pri osushchestvlenii perevodov denezhnykh sredstv : polozhenie Banka Rossii ot 09.06.2012 №382-P (red. ot 07.05.2018) [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_131473/
18. O trebovaniyakh k zashchite informatsii v platezhnoi sisteme Banka Rossii (vmeste s «Pravilami material'no-tekhnicheskogo obespecheniya formirovaniya elektronnykh soobshchenii i kontrolya rekvizitov elektronnykh soobshchenii v informatsionnoi infrastrukture uchastnika SSNP, a takzhe pravila material'no-tekhnicheskogo obespecheniya obrabotki elektronnykh soobshchenii i kontrolya rekvizitov elektronnykh soobshchenii v informatsionnoi infrastrukture OPKTs») : polozhenie Banka Rossii ot 09.01.2019 №672-P [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_320979/
19. O trebovaniyakh k obespecheniyu zashchity informatsii pri osushchestvlenii perevodov denezhnykh sredstv i o poryadke osushchestvleniya Bankom Rossii kontrolya za soblyudeniem trebovanii k obespecheniyu zashchity informatsii pri osushchestvlenii perevodov denezhnykh sredstv : polozhenie Banka Rossii ot 09.06.2012 №382-P (red. ot 07.05.2018) [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_131473/
20. O vvode v deistvie standarta Banka Rossii «Bezopasnost' finansovykh (bankovskikh) operatsii. Upravlenie intsidentami informatsionnoi bezopasnosti. O formakh i srokakh vzaimodeistviya Banka Rossii s uchastnikami informatsionnogo obmena pri vyyavlenii intsidentov, svyazannykh s narusheniem trebovanii k obespecheniyu zashchity informatsii. STO BR BFBO-1.5-2018» : prikaz Banka Rossii ot 14.09.2018 №OD-2403 [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_310165/
21. O vvode v deistvie standarta Banka Rossii «Obespechenie informatsionnoi bezopasnosti organizatsii bankovskoi sistemy Rossiiskoi Federatsii. Sbor i analiz tekhnicheskikh dannykh pri reagirovanii na intsidenty informatsionnoi bezopasnosti pri osushchestvlenii perevodov denezhnykh sredstv. STO BR IBBS-1.3-2016» : prikaz Banka Rossii ot 30.11.2016 №OD-4234 [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_208423/
22. O vvode v deistvie standarta Banka Rossii «Obespechenie informatsionnoi bezopasnosti organizatsii bankovskoi sistemy Rossiiskoi Federatsii. Upravlenie riskom narusheniya informatsionnoi bezopasnosti pri autsorsinge. STO BR IBBS-1.4-2018» : prikaz Banka Rossii ot 06.03.2018 №OD-568 [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_294526/
23. Ob opredelenii ugroz bezopasnosti personal'nykh dannykh, aktual'nykh pri obrabotke personal'nykh dannykh v informatsionnykh sistemakh personal'nykh dannykh : ukazanie Banka Rossii ot 10.12.2015 №3889-U [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/document/cons_doc_LAW_195662/
24. Tsentr monitoringa i reagirovaniya na komp'yuternye ataki v kreditno-finansovoi sfere (FinTsERT) [Elektronnyi resurs] // Bank Rossii: ofitsial'nyi sait. – Rezhim dostupa: https://www.cbr.ru/fincert/
25. O tsifrovykh finansovykh aktivakh : proekt federal'nogo zakona №419059-7 (red., prinyataya GD FS RF v I chtenii 22.05.2018) [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&ts=1691504148046052765968293574&cacheid=E86A60337A9AB058728DA45CFA2FC424&mode=splus&base=PRJ&n=172447&rnd=0D5BCB2A5355B88F17E045BC4D1B428B#1o85lvcl2r3
26. O tsifrovykh finansovykh aktivakh : pasport proekta federal'nogo zakona №419059-7 (vnesen deputatami Gosudarstvennoi Dumy FS RF A.G. Aksakovym, I.B. Divinskim, O.A. Nikolaevym, R.M. Mardanshinym, A.A. Getta, M.L. Shakkumom, A.B. Vybornym, K.G. Slyshchenko, E.B. Shulepovym, V.I. Afonskim, N.D. Boevoi, I.E. Mar'yash, S.V. Zheleznyakom, A.I. Voevodoi, S.A. Vostretsovym, A.V. Chernyshevym, chlenami Soveta Federatsii FS RF N.A. Zhuravlevym, A.N. Epishinym, V.V. Poletaevym) [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/cons/cgi/online.cgi?rnd=0D5BCB2A5355B88F17E045BC4D1B428B&req=doc&base=PRJ&n=170088&stat=refcode%3D16876%3Bindex%3D0#2kcep97peb0
27. O privlechenii investitsii s ispol'zovaniem investitsionnykh platform : proekt federal'nogo zakona №419090-7 (red., prinyataya GD FS RF v I chtenii 22.05.2018) [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/cons/cgi/online.cgi?rnd=0D5BCB2A5355B88F17E045BC4D1B428B&req=doc&base=PRJ&n=172448&dst=100053&fld=134&REFFIELD=134&REFDST=100008&REFDOC=320475&REFBASE=LAW&stat=refcode%3D10881%3Bdstident%3D100053%3Bindex%3D16#1ycrfbuohhg
28. O privlechenii investitsii s ispol'zovaniem investitsionnykh platform : pasport proekta federal'nogo zakona №419090-7 (vnesen deputatami Gosudarstvennoi Dumy FS RF A.G. Aksakovym, I.B. Divinskim, O.A. Nikolaevym, A.A. Getta, M.L. Shakkumom, K.G. Slyshchenko, V.I. Afonskim, E.B. Shulepovym, S.V. Zheleznyakom, S.A. Vostretsovym, R.M. Mardanshinym, D.E. Shilkovym, chlenami Soveta Federatsii FS RF N.A. Zhuravlevym, V.V. Poletaevym) [Elektronnyi resurs] // SPS «Konsul'tantPlyus». – Rezhim dostupa: http://www.consultant.ru/cons/cgi/online.cgi?rnd=0D5BCB2A5355B88F17E045BC4D1B428B&req=doc&base=PRJ&n=170089&stat=refcode%3D16876%3Bindex%3D0#xfqwm5jws