Прокуратурой округа в действиях ПАО «Юг-Инвестбанк» выявлены нарушения законодательства о безопасности критической информационной инфраструктуры
Прокуратурой Западного административного округа г. Краснодара по результатам исполнения поручения прокуратуры Краснодарского края в деятельности ПАО «Юг-Инвестбанк» выявлены нарушения законодательства о безопасности критической информационной инфраструктуры.
Установлено, что в целях исполнения требований Закона № 187-ФЗ, Постановления Правительства Российской Федерации от 08.02.2018 № 127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений» ПАО «Юг-Инвестбанк» 04.12.2018 издан приказ № 447-В о создании комиссии по категорированию объектов критической информационной инфраструктуры.
Председателем правления ПАО «Юг-Инвестбанк» 26.08.2019 утвержден перечень объектов критической информационной инфраструктуры ПАО «Юг-Инвестбанк», подлежащих категорированию: автоматизированная банковская система «Гефест»; система дистанционного банковского обслуживания «Инист» банк клиент; корпоративная сеть банка.
В соответствии с абз. 4 п. 15 Правил № 127 (ред. от 13.04.2019) перечень объектов в течение 10 рабочих дней после утверждения направляется в печатном и электронном виде в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности критической информационной инфраструктуры, однако в нарушение абз. 4 п. 15 Правил № 127 ПАО «Юг-Инвестбанк» направило в ФСТЭК России перечень объектов критической информационной инфраструктуры лишь 15.11.2019.
Также установлено, что ПАО «Юг-Инвестбанк» в соответствии с п. 16 Правил № 127 14.10.2019 утвержден акт категорирования объектов критической инфраструктуры, однако в нарушение 10-дневного срока, установленного абз. 1 п. 17 Правил № 127, ПАО «Юг-Инвестбанк» направило в ФСТЭК России сведения об отсутствии необходимости присвоения объектам критической информационной инфраструктуры одной из категорий значимости 15.11.2019.
Кроме того, отдел информационной безопасности создан в ПАО «Юг-Инвестбанк» 01.02.2023, спустя 8 месяцев с даты вступления в силу Указа № 250, что противоречит пп. «б» п. 1 Указа № 250.
Вопреки требованиям, установленным пп. «а» п. 1 Указа Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», п. 5 Типового положения о заместителе руководителя органа (организации), ответственным за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации), утвержденного Постановлением Правительства Российской Федерации от 15.07.2022 № 1272 полномочия по обеспечению информационной безопасности, в том числе по обнаружению, предупреждению и ликвидации последствий компьютерных атак и реагированию на компьютерные инциденты не возложены на заместителя руководителя ПАО «Юг-Инвестбанк».
У заместителей руководителя ПАО «Юг-Инвестбанк» отсутствует высшее образование по направлению обеспечения информационной безопасности, обучение по программе профессиональной переподготовки по направлению «Информационная безопасность» указанными лицами не пройдено, что является недопустимым.
В связи с выявленными нарушениями прокуратурой округа председателю правления ПАО «Юг-Инвестбанк» внесено представление, которое рассмотрено, удовлетворено, выявленные нарушения устранены.