Проект Положения Банка России “О требованиях к защите информации в платежной системе Банка России” (по состоянию на 12.10.2018)

Настоящее Положение на основании Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2003, N 2, ст. 157; N 52, ст. 5032; 2004, N 27, ст. 2711; N 31, ст. 3233; 2005, N 25, ст. 2426; N 30, ст. 3101; 2006, N 19, ст. 2061; N 25, ст. 2648; 2007, N 1, ст. 9, ст. 10; N 10, ст. 1151; N 18, ст. 2117; 2008, N 42, ст. 4696, ст. 4699; N 44, ст. 4982; N 52, ст. 6229, ст. 6231; 2009, N 1, ст. 25; N 29, ст. 3629; N 48, ст. 5731; 2010, N 45, ст. 5756; 2011, N 7, ст. 907; N 27, ст. 3873; N 43, ст. 5973; N 48, ст. 6728; 2012, N 50, ст. 6954; N 53, ст. 7591, ст. 7607; 2013, N 11, ст. 1076; N 14, ст. 1649; N 19, ст. 2329; N 27, ст. 3438, ст. 3476, ст. 3477; N 30, ст. 4084; N 49, ст. 6336; N 51, ст. 6695, ст. 6699; N 52, ст. 6975; 2014, N 19, ст. 2311, ст. 2317; N 27, ст. 3634; N 30, ст. 4219; N 40, ст. 5318; N 45, ст. 6154; N 52, ст. 7543; 2015, N 1, ст. 4, ст. 37; N 27, ст. 3958, ст. 4001; N 29, ст. 4348, ст. 4357; N 41, ст. 5639; N 48, ст. 6699; 2016, N 1, ст. 23, ст. 46, ст. 50; N 27, ст. 4225, ст. 4273, ст. 4295), статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2012, N 53, ст. 7592; 2013, N 27, ст. 3477; N 30, ст. 4084; N 52, ст. 6968; 2014, N 19, ст. 2315, ст. 2317; N 43, ст. 5803; 2015, N 1, ст. 8, ст. 14; 2016, N 27, ст. 4221, ст. 4223) (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ) и с учетом требований Положения Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированного Министерством юстиции Российской Федерации 14 июня 2012 года N 24575, 1 июля 2013 года N 28930, 10 сентября 2014 года N 34017, 22 июня 2018 года N 51411 ("Вестник Банка России" от 22 июня 2012 года N 32, от 10 июля 2013 года N 37, от 17 сентября 2014 года N 83) (далее - Положение Банка России от 9 июня 2012 года N 382-П), устанавливает требования к защите информации при осуществлении переводов денежных средств в платежной системе Банка России (далее - осуществление переводов денежных средств).

1. Термины, используемые в настоящем Положении, применяются в значениях, установленных Положением Банка России от 9 июня 2012 года N 382-П и Положением Банка России от 6 июля 2017 года N 595-П "О платежной системе Банка России", зарегистрированного Министерством юстиции Российской Федерации 6 июля 2017 года N 48458 ("Вестник Банка России" от 26 октября 2017 года N 90-91).

2. Требования к защите информации при осуществлении переводов денежных средств в платежной системе Банка России, установленные настоящим Положением, распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, предназначенные для обработки защищаемой информации, перечисленной в пункте 2.1 главы 2 Положения Банка России от 9 июня 2012 года N 382-П (далее при совместном упоминании - объекты информационной инфраструктуры), используемые для осуществления переводов денежных средств в платежной системе Банка России:

участниками обмена при осуществлении перевода денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода (далее при совместном упоминании - участники ССНП), не являющимися подразделениями Банка России;

участниками обмена при осуществлении перевода денежных средств с использованием сервиса быстрых платежей (далее - участники СБП);

операционным центром и платежным клиринговым центром другой платежной системы (далее - ОПКЦ внешней платежной системы) при предоставлении операционных услуг и услуг платежного клиринга участникам СБП.

3. Участники ССНП и участники СБП обеспечивают защиту информации при осуществлении переводов денежных средств в соответствии с требованиями Положения Банка России от 9 июня 2012 года N 382-П, установленными для операторов по переводу денежных средств, с учетом требований настоящего Положения.

ОПКЦ внешней платежной системы обеспечивает защиту информации при осуществлении переводов денежных средств в соответствии с требованиями Положения Банка России от 9 июня 2012 года N 382-П, установленными для операторов услуг платежной инфраструктуры, с учетом требований настоящего Положения.

4. Участники ССНП размещают объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и при осуществлении переводов денежных средств с использованием сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Для объектов информационной инфраструктуры в пределах указанного сегмента (группы сегментов) вычислительных сетей участниками ССНП реализуется стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Росстандарта от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).

5. Участники СБП размещают объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее - быстрый платеж), в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Для объектов информационной инфраструктуры в пределах указанного сегмента (группы сегментов) вычислительных сетей участниками СБП реализуется стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

6. ОПКЦ внешней платежной системы размещает объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Для объектов информационной инфраструктуры в пределах указанного сегмента (группы сегментов) ОПКЦ внешней платежной системы реализуется усиленный уровень (уровень 1) защиты информации, определенный ГОСТ Р 57580.1-2017.

7. С целью реализации требований к определению и реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств, установленных пунктом 2.14 Положения Банка России от 9 июня 2012 года N 382-П, настоящее Положение устанавливает следующие требования.

Порядок обеспечения защиты информации при осуществлении переводов денежных средств определяется самостоятельно участниками ССНП, участниками СБП и ОПКЦ внешней платежной системы.

7.1. Документы, составляющие порядок обеспечения защиты информации при осуществлении переводов денежных средств, определяют состав и порядок применения организационных мер защиты информации и использования технических средств защиты информации в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами защиты информации;

защита среды виртуализации;

защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

7.2. Документы, составляющие порядок обеспечения защиты информации при осуществлении переводов денежных средств, определяют:

описание технологий подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры;

состав и порядок применения технологических мер защиты информации, применяемых для контроля целостности и подтверждения подлинности электронных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств криптографической защиты информации (далее - СКЗИ) и управления ключевой информацией СКЗИ;

план и порядок действий по обеспечению непрерывности и восстановления деятельности.

8. Обеспечение защиты информации участниками ССНП, участниками СБП и ОПКЦ внешней платежной системы с помощью СКЗИ осуществляется в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; N 27, ст. 3880; 2012, N 29, ст. 3988; 2013, N 14, ст. 1668; N 27, ст. 3463, ст. 3477; 2014, N 11, ст. 1098; N 26, ст. 3390; 2016, N 1, ст. 65; N 26, ст. 3889), Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66, зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350 (далее - Положение ПКЗ-2005), и технической документацией на СКЗИ.

Участники ССНП, участники СБП и ОПКЦ внешней платежной системы обеспечивают назначение лиц:

допущенных к работе с СКЗИ;

ответственных за обеспечение функционирования и безопасности СКЗИ (ответственный пользователь СКЗИ);

обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей.

9. Участники СБП обеспечивают регистрацию информации, связанной с действиями клиентов участников СБП (далее - клиентов), в том числе указанную в подпункте 2.6.3 пункта 2.6 Положения Банка России от 9 июня 2012 года N 382-П. Регистрация информации осуществляется в объеме, достаточном для информирования Банка России обо всех случаях и попытках осуществления переводов денежных средств без согласия клиентов в соответствии с Указанием Банка России от 8 октября 2018 года N 4926-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента" (далее - Указание Банка России от 8 октября 2018 года N 4926-У).

Регистрации подлежит следующая информация:

информация, устанавливающая операцию плательщика и получателя перевода денежных средств без согласия клиента;

параметры устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента, при наличии информации, определяющей параметры указанных устройств.

10. Распоряжение клиента, направляемое участнику СБП в электронном виде, может быть удостоверено электронной подписью клиента, а также в соответствии с пунктом 4 статьи 847 Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1996, N 5, ст. 410) аналогами собственноручной подписи, кодами, паролями и иными средствами, позволяющими подтвердить целостность и составление распоряжения уполномоченным на это лицом.

Распоряжение участника СБП, направляемое в ОПКЦ внешней платежной системы, удостоверяется усиленной электронной подписью участника СБП.

Распоряжение участника ССНП, направляемое в Банк России, удостоверяется двумя усиленными электронными подписями участника ССНП: электронной подписью, применяемой в контуре формирования электронных сообщений, и электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений. Правила выделения контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП определены в приложении 1 к настоящему Положению.

Электронные сообщения, содержащие распоряжения участника ССНП, направляемые в Банк России, защищаются согласно третьему варианту защиты, предусмотренному Альбомом унифицированных форматов электронных банковских сообщений.

Распоряжение ОПКЦ внешней платежной системы, направляемое в Банк России, удостоверяется двумя усиленными электронными подписями: электронной подписью, применяемой в контуре обработки электронных сообщений, и электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений. Правила выделения контура обработки электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ внешней платежной системы определены в приложении 1 к настоящему Положению.

11. Формирование и подписание электронных сообщений осуществляются собственной информационной инфраструктурой (автоматизированной системой) участника ССНП и ОПКЦ внешней платежной системы. Передача и прием электронных сообщений участника ССНП осуществляются с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России.

12. Участники ССНП, участники СБП и ОПКЦ внешней платежной системы обеспечивают ведение архива входящих и исходящих электронных сообщений, подписанных электронной подписью. Сроки хранения входящих и исходящих электронных сообщений должны составлять не менее пяти лет.

13. Банк России управляет ключевой системой при обмене электронными сообщениями между Банком России и ОПКЦ внешней платежной системы, Банком России и участниками ССНП.

ОПКЦ внешней платежной системы управляет ключевой системой при обмене электронными сообщениями между ОПКЦ внешней платежной системы и участниками СБП.

14. Криптографические ключи, используемые при обмене электронными сообщениями между Банком России и участником ССНП, изготавливаются самостоятельно участником ССНП, за исключением случаев, определенных договором об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы между Банком России и участником ССНП.

Криптографические ключи, используемые при обмене электронными сообщениями между Банком России и ОПКЦ внешней платежной системы, изготавливаются самостоятельно ОПКЦ внешней платежной системы, за исключением случаев, определенных договором о взаимодействии, заключаемым между Банком России и оператором внешней платежной системы в соответствии с частью 37 статьи 15 Федерального закона 27 июня 2011 года N 161-ФЗ.

Криптографические ключи, используемые при обмене электронными сообщениями между ОПКЦ внешней платежной системы и участником СБП, изготавливаются самостоятельно участником СБП, за исключением случаев, определенных договором о предоставлении операционных услуг и услуг платежного клиринга при осуществлении быстрых платежей между ОПКЦ внешней платежной системы и участником СБП (далее - договор о предоставлении услуг между ОПКЦ внешней платежной системы и участником СБП).

15. С целью реализации требований к определению порядка применения организационных мер защиты информации и (или) использованию технических средств защиты информации, установленных подпунктом 2.10.2 пункта 2.10 Положения Банка России от 9 июня 2012 года N 382-П, настоящее Положение устанавливает следующие требования.

15.1. При передаче электронных сообщений между участниками ССНП и Банком России, участниками СБП и ОПКЦ внешней платежной системы, ОПКЦ внешней платежной системы и Банком России должна обеспечиваться их защита от искажения фальсификации, переадресации, несанкционированного ознакомления.

15.2. Защита электронных сообщений при передаче между участниками СБП и ОПКЦ внешней платежной системы обеспечивается:

использованием усиленной электронной подписи для контроля целостности и подтверждения подлинности электронных сообщений, состав которых определен стандартом ОПКЦ внешней платежной системы "Стандарт ОПКЦ СБП Система Быстрых Платежей протокол и основные функциональные требования";

шифрованием электронных сообщений на прикладном уровне в соответствии с семиуровневой стандартной моделью взаимодействия открытых систем, определенной в ГОСТ 28906-91 "Системы обработки информации. Взаимосвязь открытых систем. Базовая эталонная модель", утвержденный постановлением Государственного комитета СССР по управлению качеством продукции и стандартам от 30 января 1991 года № 78 (М.: Издательство стандартов, 1991) (далее - ГОСТ 28906-91), с использованием СКЗИ, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

применением средств защиты информации реализующих двухстороннюю аутентификацию и шифрование информации на канальном или сетевом уровне, в соответствии с семиуровневой стандартной моделью взаимодействия открытых систем, определенной в ГОСТ 28906-91, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

15.3. Защита электронных сообщений при передаче между участниками ССНП и Банком России обеспечивается:

использованием двух усиленных электронных подписей: электронной подписи, применяемой в контуре контроля, и электронной подписи, применяемой в контуре обработки, для контроля целостности и подтверждения подлинности электронных сообщений, шифрованием электронных сообщений на прикладном уровне в соответствии с семиуровневой стандартной моделью взаимодействия открытых систем, определенной в ГОСТ 28906-91, с использованием СКЗИ, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

применением средств защиты информации реализующих двухстороннюю аутентификацию и шифрование информации на канальном или сетевом уровне, в соответствии с семиуровневой стандартной моделью взаимодействия открытых систем, определенной в ГОСТ 28906-91, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

15.4. Защита электронных сообщений при передаче между ОПКЦ внешней платежной системы и Банком России обеспечивается:

использованием двух усиленных электронных подписей: электронной подписи, применяемой в контуре контроля, и электронной подписи, применяемой в контуре обработки, для контроля целостности и подтверждения подлинности электронных сообщений, шифрованием электронных сообщений на прикладном уровне в соответствии с семиуровневой стандартной моделью взаимодействия открытых систем, определенной в ГОСТ 28906-91, с использованием СКЗИ, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

применением средств защиты информации реализующих двухстороннюю аутентификацию и шифрование информации на канальном или сетевом уровне, в соответствии с семиуровневой стандартной моделью взаимодействия открытых систем, определенной в ГОСТ 28906-91, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

16. Участники СБП обеспечивают формирование значения показателя, характеризующего уровень быстрых платежей без согласия клиента (далее - Показатель) на ежеквартальной основе (на основе данных за квартал).

Значение Показателя формируется как отношение общей суммы денежных средств, в отношении которых получены уведомления клиентов об осуществлении быстрых платежей без их согласия к общей сумме платежей, переведенных (списанных) с банковских счетов клиентов с использованием быстрых платежей.

Состав и содержание организационных, технических и технологических мер защиты информации, применяемых участниками СБП в соответствии с требованиями Положения Банка России от 9 июня 2012 года N 382-П, требованиями настоящего Положения, а также применяемые ограничения на параметры операций по осуществлению перевода денежных средств должны обеспечивать не превышение значения Показателя 0.005%. Не превышение Показателя достигается в том числе:

обеспечением должной полноты и качества применения организационных и технических мер защиты информации в соответствии с ГОСТ Р 57580.1-2017;

обеспечением идентификации, аутентификации и авторизации клиентов участников СБП при составлении, удостоверении и передаче распоряжений в целях осуществления быстрых платежей;

защитой электронных сообщений от искажения, фальсификации, переадресации, ложной авторизации, в том числе путем сверки выходных электронных сообщений с соответствующими входными и обработанными электронными сообщениями;

контролем (мониторингом) соблюдения установленной технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры;

реализацией технологических мер по использованию раздельных информационно-коммуникационных технологий для подготовки электронных сообщений, содержащих распоряжения клиента на осуществление быстрых платежей, в соответствии с требованиями пунктов 2.10.5, 2.10.6 Положения Банка России от 9 июня 2012 года N 382-П;

выявлением операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, и, при выявлении таких операций, осуществлением действий, предусмотренных частями 5.1 - 5.3 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ;

реализацией мероприятий по противодействию осуществления быстрых платежей без согласия клиента, предусмотренных главой 2 Указания Банка России от 8 октября 2018 года N 4926-У для операторов по переводу денежных средств;

установлением ограничений на параметры операций по осуществлению быстрых платежей в соответствии с требованиями пункта 2.10.7 Положения Банка России от 9 июня 2012 года N 382-П.

17. ОПКЦ внешней платежной системы обеспечивает:

реализацию мероприятий по противодействию осуществления быстрых платежей без согласия клиента, предусмотренных главой 2 Указания Банка России от 8 октября 2018 года N 4926-У для операторов услуг платежной инфраструктуры;

защиту электронных сообщений от искажения, фальсификации, переадресации, ложной авторизации, в том числе путем выделения в информационной инфраструктуре двух независимых контуров - контура обработки электронных сообщений и контура контроля реквизитов электронных сообщений, правила выделения которых определены в приложении 1 к настоящему Положению;

реализацию мероприятий по обеспечению целевого показателя доступности сервиса быстрых платежей не ниже 99.9% с учетом плановых работ и 99.99% без учета плановых работ, при взаимодействии с Банком России в круглосуточном режиме 7 дней в неделю, 365/366 дней в году.

Целевой показатель доступности сервиса быстрых платежей рассчитывается в соответствии с методикой, согласованной с Банком России.

18. В рамках проведения мероприятий по противодействию осуществления быстрых платежей без согласия клиента ОПКЦ внешней платежной системы осуществляет:

использование информации о случаях и попытках осуществления быстрых платежей без согласия клиента, получаемую от Банка России в соответствии с Указанием Банка России от 8 октября 2018 года N 4926-У;

выявление операций, соответствующих признакам осуществления быстрых платежей без согласия клиента;

незамедлительное уведомление участников СБП о выявлении операций, соответствующих признакам осуществления быстрых платежей без согласия клиента;

продолжение проведения операции при получении дальнейших электронных сообщений по операции от участника СБП в течение времени, установленном договором о предоставлении услуг между ОПКЦ внешней платежной системы и участником СБП. При неполучении дальнейших электронных сообщений в течение установленного времени - прекращение исполнения распоряжения по операции.

ОПКЦ внешней платежной системы вправе использовать информацию, получаемую от участников СБП, для выявления операций, соответствующих признакам осуществления быстрых платежей без согласия клиента.

Участник СБП при получении от ОПКЦ внешней платежной системы уведомления о выявлении операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, незамедлительно направляют запрос клиенту в целях подтверждения возможности исполнения распоряжения о совершении операции. При получении такого подтверждения по операции в срок, установленный договором о предоставлении услуг между ОПКЦ внешней платежной системы и участником СБП, продолжает обмен электронными сообщениями с ОПКЦ внешней платежной системы по операции. При неполучении - прекращает исполнение распоряжения по операции.

ОПКЦ внешней платежной системы на основе анализа характера, параметров и объема операций вправе при выявлении множества операций, соответствующих признакам осуществления быстрых платежей без согласия клиента, временно приостановить проведение операций, инициируемых отдельным участником СБП, его клиентом и (или) осуществление быстрых платежей, получателем которых являются отдельные клиенты участника СБП.

19. С целью реализации требований к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагирования на них, установленных пунктом 2.13 Положения Банка России от 9 июня 2012 года N 382-П, настоящее Положение устанавливает следующие требования.

Для целей анализа обеспечения в платежной системе Банка России защиты информации при осуществлении переводов денежных средств участники ССНП, участники СБП и ОПКЦ внешней платежной системы информируют Банк России о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств.

Информирование об инцидентах осуществляется в рамках реализации пункта 2.13.1 Положения Банка России от 9 июня 2012 года N 382-П, в соответствии:

с требованиями к содержанию, форме и периодичности представления информации, установленными Указанием Банка России от 9 июня 2012 года N 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств", зарегистрированного Министерством юстиции Российской Федерации 14 июня 2012 года N 24573, 24 июля 2013 года N 29142, 01 июня 2018 года N 51248 ("Вестник Банка России" от 22 июня 2012 года N 32, от 31 июля 2013 года N 41, от 20 июня 2018 года N 49) (далее - Указание Банка России от 9 июня 2012 г. N 2831-У);

с формой и порядком направления участниками ССНП, участниками СБП и ОПКЦ внешней платежной системы в Банк России информации обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента установленными Указанием Банка России от 8 октября 2018 года N 4926-У.

20. В случае выявления инцидента, связанного с несоблюдением требований к защите информации, установленных настоящим Положением, если нарушение привело или может привести к осуществлению перевода денежных средств без согласия участника ССНП, участник ССНП вправе направить в Банк России обращение о приостановлении обмена электронными сообщениями.

При получении обращения о приостановлении обмена электронными сообщениями Банк России вводит ограничение в виде приостановления обмена электронными сообщениями и аннулирует электронные сообщения, ранее поступившие от участника ССНП, до получения от участника ССНП обращения об отмене приостановления обмена электронными сообщениями.

По результатам решения инцидента (устранения причин приостановления обмена электронными сообщениями), участник ССНП направляет обращение об отмене приостановления обмена электронными сообщениями, при получении которого Банк России снимает ранее введенное ограничение для возобновления обмена электронными сообщениями с участником ССНП.

20.1. Обращение о приостановлении обмена электронными сообщениями или об отмене приостановления обмена электронными сообщениями (далее при совместном упоминании - обращения) направляются с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае невозможности направления обращений с использованием технической инфраструктуры (автоматизированной системы) Банка России обращения направляются с использованием резервного способа взаимодействия.

При возобновлении возможности направления обращений с использованием технической инфраструктуры (автоматизированной системы) Банка России участник ССНП дублирует направление обращений с использованием технической инфраструктуры (автоматизированной системы) Банка России.

20.2. Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участника ССНП с Банком России, с помощью которого направляются обращения, размещается на официальном сайте Банка России в информационно-коммуникационной сети "Интернет".

20.3. При направлении обращений участник ССНП обеспечивает:

формирование запросов в соответствии с формами, размещаемыми Банком России на официальном сайте в информационно-телекоммуникационной сети "Интернет";

назначение должностных лиц, уполномоченных на направление и (или) подписание обращений, организационно-распорядительным актом участника ССНП (далее - уполномоченное лицо) и направление в Банк России информации об уполномоченных лицах, в том числе фамилий, имен, отчеств, наименований должностей, контактных номеров телефонов, номеров факсимильного аппарата, адресов электронной почты;

направление отсканированной копии официального письма, содержащего обращение о приостановлении обмена электронными сообщениями или об отмене приостановления обмена электронными сообщениями, подписанного уполномоченным лицом, и заверенного печатью организации;

дублирование официального письма, содержащего обращение о приостановлении обмена электронными сообщениями или об отмене приостановления обмена электронными сообщениями осуществляется не позднее одного рабочего дня с момента направления обращения в Банк России с использованием федеральной почтовой связи;

подлинность и корректность информации, указанной в обращениях.

20.4. При получении обращений с использованием технической инфраструктуры (автоматизированной системы) Банка России Банк России обеспечивает контроль целостности и подтверждение подлинности, содержащейся в них информации.

При получении обращений с использованием резервного способа взаимодействия Банк России обеспечивает проверку соответствия реквизитов обращений информации, указанной в абзаце третьем подпункта 20.3 пункта 20 настоящего Положения.

В случае отрицательного результата контроля целостности и подтверждения подлинности обращений Банк России не принимает обращения к исполнению и уведомляет участника ССНП.

Уведомление участника ССНП осуществляется с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае невозможности уведомления участника ССНП с использованием технической инфраструктуры (автоматизированной системы) Банка России уведомление осуществляется с использованием резервного способа взаимодействия.

21. С целью реализации требований к оценке выполнения участниками ССНП, участниками СБП и ОПКЦ внешней платежной системы требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных пунктом 2.15 Положения Банка России от 9 июня 2012 года N 382-П, настоящее Положение устанавливает следующие требования.

Для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств участники ССНП, участники СБП и ОПКЦ внешней платежной системы проводят оценку соответствия защиты информации на объектах информационной инфраструктуры, размещенных в отдельных сегментах (группах сегментов) вычислительных сетей, выделенных в соответствии с пунктами 4-6 настоящего Положения. Оценка соответствия проводится в соответствии с положениями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденный приказом Росстандарта от 28 марта 2018 года N 156-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017) (далее - национальный стандарта Российской Федерации ГОСТ Р 57580.2-2018).

Оценка соответствия должна проводиться с привлечением организации, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049).

Оценка соответствия проводится не реже одного раза в два года, а также по требованию Банка России, в рамках оценки соответствия, проводимой в соответствии с пунктом 2.15 Положения Банка России от 9 июня 2012 года N 382-П.

22. С целью реализации требований к доведению участниками ССНП, участниками СБП и ОПКЦ внешней платежной системы до Банка России информации об обеспечении в платежной системе Банка России защиты информации при осуществлении переводов денежных средств, установленных пунктом 2.16 Положения Банка России от 9 июня 2012 года N 382-П, настоящее Положение устанавливает следующие требования.

Участники ССНП, участники СБП и ОПКЦ внешней платежной системы предоставляют результаты оценки соответствия в соответствии с требованиями к содержанию, форме и периодичности представления информации, установленными Указанием Банка России от 9 июня 2012 года N 2831-У.

Участники ССНП, участники СБП и ОПКЦ внешней платежной системы обеспечивают для объектов информационной инфраструктуры, размещенных в отдельных сегментах (группах сегментов) вычислительных сетей, выделенных в соответствии с пунктами 4-6 настоящего Положения, уровень соответствия не ниже четвертого в соответствии с положениями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018.

23. Контроль за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств осуществляется в соответствии с главой 3 Положения Банка России от 9 июня 2012 года N 382-П.

24. Настоящее Положение вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением пункта 4, подпункта 7.1 пункта 7, абзаца четвертого подпункта 15.2, абзаца третьего подпункта 15.3, абзаца третьего подпункта 15.4 пункта 15, пункта 16 настоящего Положения.

Пункт 4, подпункт 7.1 пункта 7, пункт 16 настоящего Положения вступают в силу с 1 января 2021 года.

Абзац четвертый подпункта 15.2, абзац третий подпункта 15.3 пункта 15 вступает в силу с 1 марта 2021 года.

Абзац третий подпункта 15.4 пункта 15 вступает в силу с 1 марта 2020 года.

Со дня вступления в силу настоящего Положения признать утратившим силу Положение Банка России от 24 августа 2016 года N 552-П "О требованиях к защите информации в платежной системе Банка России", зарегистрированного Министерством юстиции Российской Федерации 6 декабря 2016 года N 44582.

Председатель Центрального банка Российской Федерации

Приложение 1
к Положению Банка России
от _________2018 года N ___-П
"О требованиях к защите информации
в платежной системе Банка России"

Правила
выделения контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП и выделения контура обработки электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ внешней платежной системы

1. Выделение контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП и выделение контура обработки электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ внешней платежной системы осуществляются с целью обеспечения защиты электронных сообщений от искажения, фальсификации, переадресации, ложной авторизации.

2. Правила выделения контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП.

2.1. Контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть разделены по персоналу, реализованы с использованием разных рабочих мест и разных криптографических ключей. Объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП.

2.2. В контуре формирования электронных сообщений на основе первичного документа в бумажной или электронной форме, или входящего электронного сообщения осуществляется:

формирование исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;

первичный контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;

подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре формирования электронных сообщений, при положительном результате первичного контроля реквизитов;

передача исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов электронных сообщений.

2.3. В контуре контроля реквизитов электронных сообщений осуществляется:

последующий контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России на соответствие реквизитов первичного документа в бумажной или электронной форме, или входящего электронного сообщения;

контроль на отсутствие дублирования исходящих электронных сообщений;

подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений, при положительном результате последующего контроля реквизитов.

3. Правила выделения контура обработки электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ внешней платежной системы.

3.1. Контур обработки электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ внешней платежной системы должны быть разделены по персоналу, реализованы с использованием разных рабочих мест и разных криптографических ключей. Объекты информационной инфраструктуры контура обработки электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ внешней платежной системы должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности ОПКЦ внешней платежной системы.

3.2. Маршрутизация электронных сообщений должна осуществляться таким образом, чтобы все входящие электронные сообщения поступали в контур обработки электронных сообщений только из контура контроля реквизитов электронных сообщений, а все исходящие электронные сообщения из контура обработки электронных сообщений передавались только в контур контроля реквизитов электронных сообщений.

3.3. В контуре контроля реквизитов электронных сообщений осуществляется:

первичный контроль входящего электронного сообщения.

проверка электронной подписи входящего электронного сообщения;

структурный и логический контроль входящего электронного сообщения, в том числе проверка соответствия реквизитов (данных) входящего электронного сообщения;

контроль на отсутствие дублирования входящих электронных сообщений;

помещение в эталонную базу входящих электронных сообщений (далее - ЭБВС) входящих электронных сообщений, без снятия электронной подписи, с целью осуществления контроля результатов обработки защищаемой информации в рамках процедуры выходного контроля;

состав электронных сообщений, подлежащих помещению в ЭБВС, определяется регламентом взаимодействия ОПКЦ внешней платежной системы и Банка России.

3.4. В контуре обработки электронных сообщений осуществляется:

последующий контроль входящего электронного сообщения;

проверка электронной подписи входящего электронного сообщения;

структурный и логический контроль входящего электронного сообщения, в том числе проверка соответствия реквизитов (данных) входящего электронного сообщения;

проверка входящего электронного сообщения на возможность исполнения;

обработка информации, содержащейся во входящем электронном сообщении, и формирование на основе этой обработки исходящего электронного сообщения;

подписание исходящего электронного сообщения электронной подписью, применяемой в контуре обработки электронных сообщений;

направление исходящего электронного сообщения, подписанного электронной подписью, применяемой в контуре обработки электронных сообщений, в контур контроля реквизитов электронных сообщений.

3.5. В контуре контроля реквизитов электронных сообщений осуществляется:

проверка в исходящем электронном сообщении электронной подписи, применяемой в контуре обработки электронных сообщений;

проверка электронной подписи в электронных сообщениях, находящихся в ЭБВС, на основании которых было сформировано исходящее электронное сообщение;

полный пореквизитный контроль на совпадение исходящего электронного сообщения с электронными сообщениями, находящимися в ЭБВС, на основании которых был сформировано исходящее электронное сообщение;

контроль на отсутствие дублирования исходящих электронных сообщений;

установка в исходящем электронном сообщении электронной подписи, применяемой в контуре контроля реквизитов электронных сообщений (не снимая электронную подпись, применяемую в контуре обработки).

Пояснительная записка
к проекту Положения Банка России "О требованиях к защите информации в платежной системе Банка России"

Банк России разработал проект Положения в целях установления требований к обеспечению защиты информации при осуществлении переводов денежных средств с использованием сервиса быстрых платежей платежной системы Банка России.

Также целью документа является реализация норм, установленных Федеральным законом от 27 июня 2018 года N 167-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия хищению денежных средств" в платежной системе Банка России, направленных на предотвращение хищения денежных средств.

Кроме того, Проектом Положения предусматривается установление обязательности применения национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", в соответствии с Планом мероприятий ("дорожная карта") по реализации мер, направленных на предотвращение хищений денежных средств на финансовом рынке Российской Федерации от 06 мая 2016 года N ПМ-01-23/3, утвержденным Председателем Банка России Э.С. Набиуллиной.

Данный проект является частью правил платежной системы Банка России.

Требования к обеспечению защиты информации, устанавливаемые проектом, распространяются на участников платежной системы Банка России, имеющих доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде сервиса срочного перевода, сервиса несрочного перевода и сервиса быстрых платежей и на операционный центр и клиринговый центр внешней платежной системы, и применяются ими совместно с Положением Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".

Планируемый срок вступления в силу проекта положения - IV квартал 2018 года.