(1).jpg)
Проект Положения Банка России “О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств” (по состоянию на 13.12.2019)
Настоящее Положение на основании части 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2019, N 31, ст. 4423) (далее - Федеральный закон N 161-ФЗ) устанавливает требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, поставщиками платежных приложений, операторами платежных систем, операторами услуг платежной инфраструктуры, а также устанавливает порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в национальной платежной системе.
Глава 1. Общие положения
1.1. Требования к обеспечению защиты информации при осуществлении переводов денежных средств включают в себя:
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечивается операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры);
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений;
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые в отношении технологии обработки информации, подготавливаемой, обрабатываемой и хранимой на участках идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий в целях осуществления переводов денежных средств; формирования (подготовки), передачи и приема документов, связанных с осуществлением переводов денежных средств, составленных в электронном виде (далее - электронные сообщения); удостоверения права клиентов операторов по переводу денежных средств распоряжаться денежными средствами; осуществления переводов денежных средств; учета результатов осуществления переводов денежных средств; хранения электронных сообщений и информации об осуществленных переводах денежных средств (далее соответственно - защищаемая информация, технологические участки), в том числе к регистрации результатов совершения действий, связанных с осуществлением доступа к защищаемой информации, которая включает регистрацию действий работников, а также регистрацию действий клиентов операторов по переводу денежных средств, выполняемых с использованием автоматизированных систем, программного обеспечения (далее - требования в отношении технологии обработки защищаемой информации);
требования об информировании операторами по переводу денежных средств, операторами услуг платежной инфраструктуры Банка России об инцидентах (событиях), связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - инциденты защиты информации), включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и размещаемый Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее соответственно - сеть "Интернет", перечень типов инцидентов);
требования, реализуемые операторами платежных систем при определении правил платежной системы, выполнении иных обязанностей, предусмотренных Федеральным законом N 161-ФЗ;
требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием средств криптографической защиты информации (далее - СКЗИ).
1.2. В части требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых в отношении объектов информационной инфраструктуры, операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны обеспечивать:
реализацию установленных настоящим Положением уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления переводов денежных средств, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017);
ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры с учетом особенностей, предусмотренных пунктом 3.7 настоящего Положения;
проведение оценки соответствия уровням защиты информации, установленным настоящим Положением (далее - оценка соответствия защиты информации), в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2018) (далее - ГОСТ Р 57580.2-2018).
Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049) (далее соответственно - проверяющая организация, постановление Правительства Российской Федерации N 79).
1.3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны обеспечивать хранение отчета, подготовленного проверяющей организацией по результатам оценки соответствия защиты информации, не менее пяти лет начиная с даты его выдачи проверяющей организацией.
В части требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, операторы по переводу денежных средств, банковские платежные агенты (субагенты), не указанные в абзаце втором пункта 3.4 настоящего Положения, операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, не указанные в абзаце втором пункта 7.5 настоящего Положения, должны обеспечивать сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю в отношении прикладного программного обеспечения автоматизированных систем и приложений, распространяемых клиентам операторов по переводу денежных средств для совершения действий в целях осуществления переводов денежных средств, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием сети "Интернет" на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или обеспечение проведения анализа уязвимостей по требованиям к оценочному уровню доверия (далее - ОУД) не ниже, чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014) (далее - ГОСТ Р ИСО/МЭК15408-3-2013).
Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений операторам по переводу денежных средств, банковским платежным агентам (субагентам), не указанным в абзаце втором пункта 3.4 настоящего Положения, операторам услуг информационного обмена, операторам услуг платежной инфраструктуры, не указанным в абзаце втором пункта 7.5 настоящего Положения, необходимо привлекать организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации N 79.
1.4. В части требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых в отношении технологии обработки защищаемой информации операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры на всех технологических участках должны обеспечивать:
целостность и достоверность защищаемой информации;
регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации;
регистрацию результатов совершения действий, связанных с осуществлением доступа к защищаемой информации.
1.5. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны обеспечивать регистрацию результатов совершения следующих действий, связанных с осуществлением доступа к защищаемой информации:
идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий с целью осуществления переводов денежных средств;
приема электронных сообщений от клиентов операторов по переводу денежных средств;
приема (передачи) электронных сообщений при взаимодействии операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры при осуществлении переводов денежных средств, в том числе для удостоверения права на осуществление переводов денежных средств и учета результатов переводов денежных средств;
реализации мер двойного контроля, применяемых в соответствии с подпунктом 1.9 пункта 1 приложения 1 к настоящему Положению;
осуществления доступа работников к защищаемой информации и осуществления действий клиентов операторов по переводу денежных средств с защищаемой информацией, выполняемых с использованием автоматизированных систем, программного обеспечения.
Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения:
дата (день, месяц, год) и время (часы, минуты, секунды) совершения работником действий с защищаемой информацией;
присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;
код, соответствующий технологическому участку;
результат совершения работником действия с защищаемой информацией (успешная или неуспешная);
информация, используемая для идентификации устройств, с использованием которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью совершения действий с защищаемой информацией.
Регистрации подлежат действия клиентов операторов по переводу денежных средств, выполняемые с использованием автоматизированных систем, программного обеспечения:
дата (день, месяц, год) и время (часы, минуты, секунды) совершения клиентом оператора по переводу денежных средств действий с защищаемой информацией;
присвоенный клиенту оператора по переводу денежных средств идентификатор, позволяющий установить клиента оператора по переводу денежных средств в автоматизированной системе, программном обеспечении;
код, соответствующий технологическому участку;
результат совершения клиентом оператора по переводу денежных средств действия с защищаемой информацией (успешная или неуспешная);
информация, используемая для идентификации устройств, с использованием которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью совершения действий с защищаемой информацией.
1.6. В части требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых в отношении информирования Банка России об инцидентах защиты информации операторы по переводу денежных средств, операторы услуг платежной инфраструктуры должны осуществлять информирование Банка России:
о выявленных инцидентах защиты информации, в том числе включенных в перечень типов инцидентов;
о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на официальных сайтах в сети "Интернет", выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до проведения мероприятия.
Информирование осуществляется в форме предоставления оператором по переводу денежных средств, оператором услуг платежной инфраструктуры в Банк России сведений, указанных в абзацах втором и третьем настоящего пункта. Информация о форме и сроке предоставления указанных сведений подлежит согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации согласно пункту 1 части 2 статьи 9 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736) (далее - Федеральный закон N 187-ФЗ), и размещается на официальном сайте Банка России в сети "Интернет".
1.7. В случае если защищаемая информация содержит персональные данные, операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы платежных систем, операторы услуг платежной инфраструктуры должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3451; 2011, N 31, ст. 4701).
1.8. Обеспечение защиты информации при осуществлении переводов денежных средств с использованием СКЗИ операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами платежных систем, операторами услуг платежной инфраструктуры осуществляется в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2016, N 26, ст. 3889) (далее - Федеральный закон N 63-ФЗ), Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66, зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350 (далее - Положение ПКЗ-2005), и технической документацией на СКЗИ.
Обеспечение защиты персональных данных с помощью СКЗИ осуществляется в соответствии с приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года N 33620.
В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа.
1.9. При взаимодействии операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры должно обеспечиваться подписание электронных сообщений усиленной квалифицированной электронной подписью.
1.10. Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона N 63-ФЗ.
Глава 2. Требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые операторами по переводу денежных средств
2.1. Операторы по переводу денежных средств должны обеспечивать выполнение требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, в соответствии с Положением Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента", зарегистрированным Министерством юстиции Российской Федерации 16 мая 2019 года N 54637 (далее - Положение Банка России от 17 апреля 2019 года N 683-П).
2.2. Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются операторами по переводу денежных средств для обеспечения защиты защищаемой информации, указанной в пункте 1 Положения Банка России от 17 апреля 2019 года N 683-П, а также следующей информации:
информации об остатках денежных средств на банковских счетах клиента;
информации об остатках электронных денежных средств;
информации о конфигурации, определяющей параметры работы объектов информационной инфраструктуры, а также информации о конфигурации, определяющей параметры работы технических средств защиты информации.
2.3. Операторы по переводу денежных средств должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года.
2.4. Операторы по переводу денежных средств должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
2.5. Оператор по переводу денежных средств устанавливает порядок информирования оператора по переводу денежных средств привлекаемыми им банковскими платежными агентами (субагентами), операторами услуг информационного обмена о выявленных инцидентах защиты информации. Оператор по переводу денежных средств по запросу обеспечивает направление в Банк России полученных от привлекаемых им банковских платежных агентов (субагентов), операторов услуг информационного обмена сведений об инцидентах защиты информации.
2.6. Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, должен установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием сети "Интернет", в том числе указанные в пункте 2.8 настоящего Положения.
2.7. При осуществлении переводов денежных средств с использованием сети "Интернет" и размещении программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, оператору по переводу денежных средств необходимо обеспечить реализацию технологических мер и (или) реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемые договором оператора по переводу денежных средств с клиентом, а также обеспечить возможность установления указанных ограничений по инициативе клиента.
2.8. Реализуемые оператором по переводу денежных средств в соответствии с пунктом 2.7 настоящего Положения технологические меры должны обеспечивать реализацию:
механизмов идентификации и аутентификации клиента при формировании (подготовке) клиентом и при подтверждении клиентом электронных сообщений в соответствии с требованиями законодательства Российской Федерации;
механизмов двухфакторной аутентификации клиента при совершении действий с целью осуществления переводов денежных средств;
механизмов и (или) протоколов формирования и обмена электронных сообщений, обеспечивающих защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации, в том числе аутентификации входных электронных сообщений;
взаимной (двухсторонней) аутентификации участников обмена средствами вычислительной техники операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, клиентов операторов по переводу денежных средств;
возможности использования клиентом независимых программных сред для формирования (подготовки) и подтверждения электронных сообщений;
возможности контроля клиентом реквизитов распоряжений о переводе денежных средств при формировании (подготовке) электронных сообщений (пакета электронных сообщений) и их подтверждении;
установления временных ограничений на выполнение клиентом подтверждения электронных сообщений;
функций передаваемого клиенту программного обеспечения, используемого клиентом при осуществлении переводов денежных средств и предназначенного для установки на мобильные устройства клиента, связанных с выявлением модификации мобильного устройства клиента с использованием недекларируемых возможностей, в том числе деактивации (отключения) механизма разграничения доступа (далее - недекларируемая модификация мобильного устройства клиента), а также уведомления клиента о случаях недекларируемой модификации мобильного устройства клиента с указанием рисков использования такого устройства (при наличии технической возможности).
2.9. При реализации ограничений по параметрам операций по осуществлению переводов денежных средств могут применяться следующие ограничения:
на максимальную сумму перевода денежных средств за одну операцию и (или) за определенный период времени;
на перечень возможных получателей денежных средств;
на временной период, в который могут быть совершены переводы денежных средств;
на географическое местоположение устройств, с использованием которых может осуществляться формирование (подготовка) и (или) подтверждение клиентом электронных сообщений;
на перечень идентификаторов устройств, с использованием которых может осуществляться формирование (подготовка) и (или) подтверждение клиентом электронных сообщений;
на перечень предоставляемых услуг, связанных с осуществлением переводов денежных средств.
Оператор по переводу денежных средств может применить иные ограничения по параметрам операций по осуществлению переводов денежных средств.
2.10. Контроль за соблюдением банковскими платежными агентами (субагентами) требований к обеспечению защиты информации при осуществлении переводов денежных средств осуществляется оператором по переводу денежных средств в соответствии с договором между оператором по переводу денежных средств и банковским платежным агентом.
Получение оператором по переводу денежных средств информации о соблюдении оператором услуг информационного обмена, предоставляющим услуги информационного обмена оператору по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств осуществляется в соответствии с договором между оператором по переводу денежных средств и оператором услуг информационного обмена.
2.11. Реализация операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств должна обеспечивать значение показателя, характеризующего уровень переводов денежных средств без согласия клиента, формируемого на ежеквартальной основе, не более 0,005 процента.
Значение показателя, характеризующего уровень переводов денежных средств без согласия клиента, должно рассчитываться как отношение суммы денежных средств, в отношении которых получены уведомления от клиентов о списании денежных средств с их банковских счетов без их согласия за оцениваемый квартал, за исключением случаев, предусмотренных законодательством Российской Федерации, к общей сумме денежных средств, списанных с банковских счетов клиентов посредством осуществления переводов денежных средств.
2.12. При реализации оператором по переводу денежных средств подтверждения осуществления переводов денежных средств с использованием электронной почты, в том числе при предоставлении клиентам справок (выписок) по банковским операциям и банковским счетам, оператор по переводу денежных средств должен реализовывать механизмы подтверждения принадлежности клиенту адреса электронной почты, на который оператором по переводу денежных средств осуществляется направление клиенту уведомлений об осуществленных переводах денежных средств.
Глава 3. Требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые банковскими платежными агентами (субагентами) при их привлечении в целях осуществления переводов денежных средств
3.1. Банковские платежные агенты (субагенты) должны обеспечивать защиту информации при участии в осуществлении переводов денежных средств в отношении следующих операций:
зачисление принятых от физических лиц наличных денежных средств на специальные банковские счета банковских платежных агентов (субагентов), в том числе с применением платежных терминалов и банкоматов, зачисление денежных средств, списанных с других специальных банковских счетов банковского платежного агента (субагента);
выдача физическому лицу наличных денежных средств, в том числе с применением банкоматов;
списание денежных средств в пользу операторов по переводу денежных средств, включая вознаграждение, списание денежных средств на банковские счета.
3.2. Платежные агрегаторы должны обеспечивать защиту информации при формировании (подготовке) электронных сообщений при обеспечении приема электронных средств платежа юридическими лицами, индивидуальными предпринимателями и иными лицами, указанными в части 13 статьи 14.1 Федерального закона N 161-ФЗ, участии в переводе денежных средств в пользу юридических лиц, индивидуальных предпринимателей и иных лиц, указанных в части 13 статьи 14.1 Федерального закона N 161-ФЗ, по операциям с использованием электронных средств платежа.
3.3. К защищаемой информации при осуществлении банковскими платежными агентами (субагентами), в том числе платежными агрегаторами, операций, указанных в пунктах 3.1 и 3.2 настоящего Положения, относится информация в соответствии с пунктами 1 - 23 приложения 2 к настоящему Положению.
3.4. Банковские платежные агенты (субагенты) должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017.
Банковские платежные агенты (субагенты), являющиеся платежными агрегаторами, привлекаемые системно значимыми кредитными организациями, кредитными организациями, значимыми на рынке платежных услуг, должны обеспечить реализацию стандартного уровня защиты информации.
Банковские платежные агенты (субагенты), не указанные в абзаце втором настоящего пункта, должны обеспечить реализацию минимального уровня защиты информации.
3.5. Банковские платежные агенты (субагенты), которые должны реализовывать минимальный уровень защиты информации, ставшие банковскими платежными агентами (субагентами), которые должны реализовывать стандартный уровень защиты информации, должны обеспечить реализацию стандартного уровня защиты информации не позднее восемнадцати месяцев после того, как стали банковскими платежными агентами (субагентами), указанными в абзаце втором пункта 3.4 настоящего Положения.
3.6. Банковские платежные агенты (субагенты), указанные в абзаце втором пункта 3.4 настоящего Положения, должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года.
Банковские платежные агенты (субагенты), не указанные в абзаце втором пункта 3.4 настоящего Положения, должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в три года.
3.7. Банковские платежные агенты (субагенты), указанные в абзаце втором пункта 3.4 настоящего Положения, должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
Банковские платежные агенты (субагенты), не указанные в абзаце втором пункта 3.4 настоящего Положения, должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018.
3.8. Банковские платежные агенты (субагенты), не указанные в абзаце втором пункта 3.4 настоящего Положения, должны самостоятельно определять необходимость ежегодного тестирования на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, сертификации или анализа уязвимостей прикладного программного обеспечения автоматизированных систем и приложений, распространяемых клиентам операторов по переводу денежных средств для совершения действий в целях осуществления переводов денежных средств, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием сети "Интернет", на основе анализа рисков.
3.9. По решению банковских платежных агентов (субагентов), не указанных в абзаце втором пункта 3.4 настоящего Положения, анализ уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации.
3.10. Банковские платежные агенты (субагенты), в том числе платежные агрегаторы, должны обеспечивать при осуществлении операций, указанных в пунктах 3.1, 3.2 настоящего Положения, реализацию технологических мер по обеспечению защиты информации в соответствии с приложением 1 к настоящему Положению.
Глава 4. Требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые операторами услуг информационного обмена при оказании услуг информационного обмена
4.1. Операторы услуг информационного обмена должны обеспечивать защиту информации при участии в осуществлении переводов денежных средств с использованием электронных средств платежа на основании электронных сообщений клиентов операторов по переводу денежных средств, с которыми у операторов услуг информационного обмена заключены договоры услуг информационного обмена.
4.2. К защищаемой информации при осуществлении операторами услуг информационного обмена операции, указанной в пункте 4.1 настоящего Положения, относится информация в соответствии с пунктами 24 - 31 приложения 2 к настоящему Положению.
4.3. Операторы услуг информационного обмена должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017.
Операторы услуг информационного обмена, оказывающие системно значимым кредитным организациям, кредитным организациям, значимым на рынке платежных услуг, на основании договоров услуги обмена информацией при осуществлении операций с использованием электронных средств платежа, должны реализовывать усиленный уровень защиты информации.
Операторы услуг информационного обмена, не относящиеся к указанным в абзаце втором настоящего пункта, должны реализовывать стандартный уровень защиты информации.
4.4. Операторы услуг информационного обмена, которые должны реализовывать стандартный уровень защиты информации, ставшие операторами услуг информационного обмена, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали операторами услуг информационного обмена, указанными в абзаце втором пункта 4.3 настоящего Положения.
4.5. Операторы услуг информационного обмена должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года.
4.6. Операторы услуг информационного обмена должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
4.7. Операторы услуг информационного обмена должны обеспечить при осуществлении операции, указанной в пункте 4.1 настоящего Положения, реализацию технологических мер по обеспечению защиты информации в соответствии с приложением 1 к настоящему Положению.
Глава 5. Требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые поставщиками платежных приложений при предоставлении операторам по переводу денежных средств платежных приложений для их применения клиентами операторов по переводу денежных средств
5.1 Поставщики платежных приложений в части проведения сертификации в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации или проведения анализа уязвимостей платежных приложений должны соблюдать порядок обеспечения защиты информации в платежной системе, разрабатываемый оператором платежных систем в соответствии с требованиями пункта 6.1 настоящего Положения.
Глава 6. Требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые операторами платежных систем при определении правил платежной системы, выполнении иных обязанностей, предусмотренных Федеральным законом N 161-ФЗ
6.1. Оператор платежной системы с целью реализации пункта 11 части 3 статьи 28 Федерального закона N 161-ФЗ в рамках системы управления операционным риском платежной системы определяет порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры в целях управления риском информационной безопасности (далее - порядок обеспечения защиты информации в платежной системе), а также организовывает и осуществляет контроль за его соблюдением.
Под риском информационной безопасности понимается риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе применения технологических мер защиты информации, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствия указанных процессов деятельности операторов по переводу денежных средств, операторов услуг платежной инфраструктуры (далее - риск информационной безопасности).
6.2. Порядком обеспечения защиты информации в платежной системе должны определяться:
требования к реализации процессов установления состава контрольных показателей уровня риска информационной безопасности;
требования к реализации операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств;
требования к реализации оператором платежной системы, операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры механизмов, направленных на соблюдение требований к обеспечению защиты информации при осуществлении переводов денежных средств и контроль за их соблюдением;
требования к реализации операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов выявления и идентификации риска информационной безопасности в отношении объектов информационной инфраструктуры участников платежной системы, операторов услуг платежной инфраструктуры;
требования к реализации операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов выявления и регистрации событий риска информационной безопасности;
требования к реализации операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов реагирования на инциденты защиты информации и восстановлению штатного функционирования объектов информационной инфраструктуры в случае их реализации;
требования к реализации операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры взаимодействия при обмене информацией об инцидентах защиты информации;
требования к реализации операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента, определенных пунктами 2.2, 2.4 Указания Банка России от 8 октября 2018 года N 4926-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента", зарегистрированного Министерством юстиции Российской Федерации 12 декабря 2018 года N 52988;
требования к реализации операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов применения в отношении операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры ограничений в случае выявления факта превышения значений контрольных показателей уровня риска информационной безопасности, в том числе условий снятия таких ограничений.
6.3. Оператор платежной системы должен реализовывать механизмы совершенствования требований в целях снижения риска информационной безопасности в рамках платежной системы, предусматривающие, в том числе накопление и учет практического опыта реагирования на инциденты защиты информации и восстановления после их реализации.
5.4. Операторы по переводу денежных средств, являющиеся участниками платежной системы, операторы услуг платежной инфраструктуры должны обеспечивать выполнение порядка обеспечения защиты информации в платежной системе.
6.5. Оператор платежной системы должен установить требования к содержанию, форме и периодичности представления информации, направляемой операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств.
Оператор по переводу денежных средств и оператор услуг платежной инфраструктуры должны обеспечивать выполнение требований, указанных в абзаце первом настоящего пункта.
Оператор национально значимой платежной системы должен уведомлять федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, об установленных требованиях к содержанию, форме и периодичности представления указанной в абзаце первом настоящего пункта информации в части применения СКЗИ.
6.6. Оператор платежной системы должен обеспечить учет и доступность для операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры, привлекаемых для оказания услуг платежной инфраструктуры в платежной системе, информации:
о выявленных в платежной системе инцидентах защиты информации;
о методиках анализа и реагирования на инциденты защиты информации.
6.7. Оператор значимой платежной системы в соответствии с правилами платежной системы должен обеспечить использование:
в аппаратных модулях безопасности информационной инфраструктуры платежной системы СКЗИ, реализующих криптографические алгоритмы, не определенные национальными стандартами Российской Федерации (далее - иностранные криптографические алгоритмы), имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
в аппаратных модулях безопасности информационной инфраструктуры платежной системы СКЗИ, реализующих иностранные криптографические алгоритмы и криптографические алгоритмы, определенные национальными стандартами Российской Федерации (далее - криптографические алгоритмы Российской Федерации), имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
СКЗИ, реализующих иностранные криптографические алгоритмы и криптографические алгоритмы Российской Федерации, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, в иных технических средствах информационной инфраструктуры платежной системы, используемых при осуществлении переводов денежных средств, типы которых определяются Банком России по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности.
В целях обеспечения надежности и бесперебойности функционирования информационной инфраструктуры платежной системы и ее устойчивости от внешних воздействий оператору национально значимой платежной системы в правилах платежной системы следует определять долю технических средств информационной инфраструктуры национально значимой платежной системы, в которых обеспечивается использование СКЗИ, указанных в абзаце четвертом настоящего пункта, на основании требований, устанавливаемых Указанием Банка России от 25 июля 2014 года N 3342-У "О требованиях к информационным технологиям, используемым операторами услуг платежной информационной инфраструктуры, для целей признания платежной системы национально значимой платежной системой", зарегистрированным Министерством юстиции Российской Федерации 9 октября 2014 года N 34269.
Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры вправе применять для обеспечения защиты информации при осуществлении переводов денежных средств СКЗИ иностранного производства в части, не противоречащей требованиям настоящего пункта.
Разработка и эксплуатация СКЗИ, указанных в абзацах втором - четвертом настоящего пункта, должны проводиться в соответствии с Положением ПКЗ-2005.
6.8. Оператор платежной системы в составе порядка обеспечения защиты информации в платежной системе определяет порядок проведения работ по разработке, сертификации и (или) анализу уязвимостей в отношении программного обеспечения автоматизированных систем и приложений, в том числе платежных приложений, предоставляемых поставщиками платежных приложений клиентам операторов по переводу денежных средств.
Глава 7. Требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые операторами услуг платежной инфраструктуры при осуществлении деятельности операционного центра, платежного клирингового центра и расчетного центра
7.1. Операторы услуг платежной инфраструктуры, осуществляющие деятельность операционного центра (далее - ОЦ) при предоставлении операционных услуг при переводе денежных средств, должны обеспечивать защиту информации при осуществлении обмена электронными сообщениями между операторами по переводу денежных средств и их клиентами, операторами услуг платежной инфраструктуры, осуществляющими деятельность платежного клирингового центра (далее - ПКЦ), операторами услуг платежной инфраструктуры, осуществляющими деятельность расчетного центра (далее - РЦ).
7.2. ПКЦ при предоставлении услуг платежного клиринга при переводе денежных средств, обеспечивают защиту информации при осуществлении следующих операций:
выполнение процедур приема к исполнению электронных сообщений операторов по переводу денежных средств;
определение достаточности денежных средств на банковском счете участника платежной системы для исполнения электронных сообщений операторов по переводу денежных средств;
определение платежных клиринговых позиций для исполнения принятых электронных сообщений операторов по переводу денежных средств.
7.3. РЦ обеспечивают защиту информации при исполнении поступивших от ПКЦ электронных сообщений участников платежной системы (операторов по переводу денежных средств) при списании и зачислении денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств.
7.4. К защищаемой информации при осуществлении операторами услуг платежной инфраструктуры операций, указанных в пунктах 7.1, 7.2 и 7.3 настоящего Положения, относится информация в соответствии с пунктами 32 - 48 приложения 2 к настоящему Положению.
7.5. Операторы услуг платежной инфраструктуры должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017.
Операторы услуг платежной инфраструктуры, оказывающие услуги платежной инфраструктуры в рамках системно значимых платежных систем, должны реализовывать усиленный уровень защиты информации.
Операторы услуг платежной инфраструктуры, не относящиеся к организациям, указанным в абзаце втором настоящего пункта, должны реализовывать стандартный уровень защиты информации.
7.6. Операторы услуг платежной инфраструктуры, которые должны реализовывать стандартный уровень защиты информации, ставшие операторами услуг платежной инфраструктуры, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали операторами услуг платежной инфраструктуры, указанными в абзаце втором пункта 7.5 настоящего Положения.
7.7. Операторы услуг платежной инфраструктуры должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года.
7.8. Операторы услуг платежной инфраструктуры должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
7.9. Операторы услуг платежной инфраструктуры, которые должны реализовывать стандартный уровень защиты информации, вправе самостоятельно определять необходимость сертификации в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или проведения анализа уязвимостей по требованиям к оценочному уровню доверия не ниже, чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 в отношении прикладного программного обеспечения автоматизированных систем и приложений, используемых для осуществления переводов денежных средств.
7.10. Операторы услуг платежной инфраструктуры обеспечивают при осуществлении операций, указанных в пунктах 7.1, 7.2, 7.3 настоящего Положения, реализацию технологических мер по обеспечению защиты информации в соответствии с приложением 1 к настоящему Положению.
Глава 8. Порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств
8.1. При осуществлении контроля за соблюдением операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, поставщиками платежных приложений, операторами платежных систем, операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств Банк России в рамках надзора в национальной платежной системе осуществляет следующие мероприятия.
8.1.1. Анализирует информацию (в том числе данные отчетности) о деятельности операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств в целях контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.
8.1.2. Запрашивает и получает документы и информацию, в том числе содержащие персональные данные:
у операторов платежных систем, операторов услуг платежной инфраструктуры и операторов по переводу денежных средств, являющихся кредитными организациями, - в части выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
у операторов по переводу денежных средств, являющихся кредитными организациями, - в части обеспечения контроля соблюдения банковскими платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств, а также в части соблюдения оператором услуг информационного обмена, предоставляющим услуги информационного обмена оператору по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств.
8.1.3. Проводит проверки операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств, являющихся кредитными организациями, в соответствии с порядком, указанном в части 4 статьи 73 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; N 43, ст. 5973) (далее - Федеральный закон N 86-ФЗ).
Проводит инспекционные проверки операторов платежных систем и операторов услуг платежной инфраструктуры, не являющихся кредитными организациями, в соответствии с порядком, указанном в статье 33 Федерального закона N 161-ФЗ.
8.1.4. Применяет меры к операторам платежных систем, операторам услуг платежной инфраструктуры, и операторам по переводу денежных средств, являющимся кредитными организациями, в соответствии с порядком, указанном в части 10 статьи 74 Федерального закона N 86-ФЗ.
Осуществляет действия и применяет меры принуждения в отношении операторов платежных систем и операторов услуг платежной инфраструктуры, не являющихся кредитными организациями, в соответствии с порядком, указанном в части 4 статьи 32 Федерального закона N 161-ФЗ.
Глава 9. Заключительные положения
Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от _________ N _________) вступает в силу с 1 января 2023 года, за исключением положений, для которых установлены иные сроки вступления их в силу.
Абзацы первый - второй и шестой пункта 6.7 настоящего Положения вступают в силу с 1 января 2024 года.
Абзацы третий - пятый пункта 6.7 настоящего Положения вступают в силу с 1 января 2031 года.
Со дня вступления в силу настоящего Положения признать утратившими силу:
Положение Банка России от 09 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированное Министерством юстиции Российской Федерации 14 июня 2012 г. N 24575;
Указание Банка России от 05 июня 2013 года N 3007-У "О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированное Министерством юстиции Российской Федерации 1 июля 2013 г. N 28930;
Указание Банка России от 14 августа 2014 года N 3361-У "О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированное Министерством юстиции Российской Федерации 10 сентября 2014 г. N 34017;
Указание Банка России от 07 мая 2018 года N 4793-У "О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированное Министерством юстиции Российской Федерации 22 июня 2018 г. N 51411.
|
Председатель Центрального банка Российской Федерации |
Э.С. Набиуллина |
Согласовано:
|
Директор Федеральной службы безопасности Российской Федерации |
А.В. Бортников |
|
Директор Федеральной службы по техническому и экспортному контролю |
В.В. Селин |
Приложение 1
к Положению Банка России
от __ _________ 2020 года N ______
"О требованиях к обеспечению защиты
информации при осуществлении переводов
денежных средств и порядке осуществления
Банком России контроля за соблюдением
требований к обеспечению защиты информации
при осуществлении переводов денежных средств"
Перечень технологических мер к обеспечению защиты информации при осуществлении переводов денежных средств
1. С целью обеспечения защиты информации при осуществлении функций, связанных с осуществлением переводов денежных средств, могут применяться следующие технологические меры.
1.1. Реализация механизма идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий с целью осуществления переводов денежных средств.
1.2. Реализация механизма двухфакторной аутентификации клиентов операторов по переводу денежных средств при совершении действий с целью осуществления переводов денежных средств.
1.3. Применение механизмов и (или) протоколов формирования и обмена электронных сообщений, обеспечивающих защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации, в том числе аутентификацию входных электронных сообщений.
1.4. Взаимная (двухсторонняя) аутентификация участников обмена средствами вычислительной техники операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, клиентов операторов по переводу денежных средств.
1.5. Использование простой или усиленной электронной подписи в соответствии с Федеральным законом N 63-ФЗ.
1.6. Использование усиленной электронной подписи для контроля целостности и подтверждения подлинности электронных сообщений в соответствии с Федеральным законом N 63-ФЗ.
1.7. Получение подтверждения от оператора по переводу денежных средств права клиента оператора по переводу денежных средств на распоряжение денежными средствами.
1.8. Проверка соответствия (сверка) результатов осуществления операций с информацией, содержащейся в электронных сообщениях.
1.9. Реализация двойного контроля (проверка правильности формирования (подготовки) электронных сообщений).
1.10. Обеспечение хранения защищаемой информации, информации о событиях, подлежащих регистрации, информации об инцидентах защиты информации в течение пяти лет с даты формирования информации в неизменном виде.
1.11. Восстановление защищаемой информации в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники.
2. Банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры при осуществлении операций, связанных с переводом денежных средств, должны обеспечивать выполнение технологических мер по защите информации на соответствующих технологических участках.
3. В рамках системы управления операционным риском при невозможности технической реализации отдельных технологических мер к обеспечению защиты информации при осуществлении переводов денежных средств, а также с учетом экономической целесообразности могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности защищаемой информации.
Приложение 2
к Положению Банка России
от __ _________ 2020 года N ______
"О требованиях к обеспечению защиты
информации при осуществлении переводов
денежных средств и порядке осуществления
Банком России контроля за соблюдением
требований к обеспечению защиты информации
при осуществлении переводов денежных средств"
Таблица технологических мер по защите информации на соответствующих технологических участках
| N п/п | Операция | Защищаемая информация | ТУ 1 | Действие | Технологические меры | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | |||||
| Банковские платежные агенты (субагенты) | |||||||||||||||
| 1 | Зачисление принятых от физических лиц наличных денежных средств на специальные банковские счета банковских платежных агентов (субагентов), в том числе с применением платежных терминалов и банкоматов, зачисление денежных средств, списанных с других специальных банковских счетов | Информация, содержащаяся в электронных сообщениях физических лиц; Информация, содержащаяся в электронных сообщениях, передаваемых при взаимодействии банковских платежных агентов (субагентов) и операторов по переводу денежных средств, в том числе электронные сообщения банковских платежных агентов (субагентов) от имени операторов по переводу денежных средств; Информация, содержащаяся в реестрах распоряжений, сформированных на основе электронных сообщений (далее - реестр электронных сообщений) физических лиц; Информация об операциях по переводу денежных средств, в том числе зачислении наличных денежных средств на специальные банковские счета банковских платежных агентов (субагентов); | ФПП | Формирование (подготовка) физическим лицом электронного сообщения на осуществление перевода денежных средств на счет получателя денежных средств | + | + | |||||||||
| 2 | Прием банковским платежным агентом (субагентом) электронных сообщений в целях осуществления перевода денежных средств | + | + | + | |||||||||||
| 3 | Формирование банковским платежным агентом (субагентом) электронных сообщений о переводе денежных средств, передача электронных сообщений в адрес операторов по переводу денежных средств | + | + | + | + | + | |||||||||
| 4 | Формирование банковским платежным агентом (субагентом) реестра электронных сообщений физических лиц | + | + | + | + | ||||||||||
| 5 | ХИ | Хранение банковским платежным агентом (субагентом) электронных сообщений, обмен которыми осуществлялся при взаимодействии с физическим лицом и оператором по переводу денежных средств | + | + | |||||||||||
| 6 | банковского платежного агента (субагента) | Ключевая информация СКЗИ, используемая при обмене электронными сообщениями между банковскими платежными агентами (субагентами) и операторами по переводу денежных средств; Информация об остатках денежных средств на специальных банковских счетах банковских платежных агентов (субагентов). | Хранение банковским платежным агентом (субагентом) информации об осуществленных операциях по зачислению наличных денежных средств | + | |||||||||||
| 7 | Выдача физическому лицу наличных денежных средств, в том числе с применением банкоматов | Информация, используемая для идентификации, аутентификации и авторизации физического лица при осуществлении доступа к системам дистанционного банковского обслуживания; Информация, содержащаяся в электронных сообщениях физических лиц; Информация, содержащаяся в электронных сообщениях, передаваемых при взаимодействии банковских платежных агентов (субагентов) и операторов по переводу денежных средств, в том числе при подтверждении права физических лиц на получение наличных денежных средств и осуществлении операций по переводу денежных средств на специальные банковские счета (со специальных банковских счетов) банковских платежных агентов (субагентов); Информация об осуществленных операциях по выдаче наличных денежных средств физических лиц; Информация об остатках денежных средств на специальных банковских счетах банковских платежных агентов (субагентов); Ключевая информация СКЗИ, используемая при обмене электронными сообщениями между банковскими платежными агентами (субагентами) и операторами по переводу денежных средств. | ИАА | При осуществлении доступа физических лиц к системам дистанционного банковского обслуживания и электронным средствам платежа с целью осуществления выдачи наличных денежных средств на основании запроса физических лиц | + | + | |||||||||
| 8 | ФПП | Формирование (подготовка) физическим лицом электронного сообщения на выдачу наличных денежных средств | + | + | |||||||||||
| 9 | Формирование банковским платежным агентом (субагентом) реестра распоряжений физических лиц | + | + | + | + | ||||||||||
| 10 | Прием банковским платежным агентом (субагентом) электронных сообщений на выдачу наличных денежных средств | + | + | + | |||||||||||
| 11 | Формирование банковским платежным агентом (субагентом) электронных сообщений о выдачи физическому лицу наличных денежных средств и направление электронных сообщений в адрес оператора по переводу денежных средств | + | + | + | + | + | |||||||||
| 12 | УП | Получение банковским платежным агентом (субагентом) от оператора по переводу денежных средств подтверждения права физического лица на получение наличных денежных средств | + | + | + | + | |||||||||
| 13 | ОУ | Выдача физическим лицам наличных денежных средств | + | + | |||||||||||
| 14 | ХИ | Хранение банковским платежным агентом (субагентом) электронных сообщений, обмен которыми осуществлялся в рамках взаимодействия с физическим лицом и оператором по переводу денежных средств | + | + | |||||||||||
| 15 | Хранение банковским платежным агентом (субагентом) информации об осуществленных операциях по выдаче наличных денежных средств | + | |||||||||||||
| 16 | Списание денежных средств в пользу операторов по переводу денежных средств, включая вознаграждение, списание денежных средств на банковские счета | Информация, содержащаяся в электронных сообщениях, передаваемых при взаимодействии банковских платежных агентов (субагентов) и операторов по переводу денежных средств; Информация, содержащаяся в реестрах электронных сообщений физических лиц; Информация об осуществленных операциях по переводу денежных средств со специальных банковских счетов банковских платежных агентов (субагентов); Ключевая информация СКЗИ, используемая при обмене электронными сообщениями между банковскими платежными агентами (субагентами) и | ФПП | Получение от оператора по переводу денежных средств электронных сообщений, содержащих уведомление о выполненных операциях по переводам денежных средств | + | + | + | ||||||||
| 17 | Формирование банковским платежным агентом (субагентом) электронных сообщений на осуществление переводов денежных средств со специальных банковских счетов согласно уведомлению о выполненных операциях по переводам денежных средств и реестру электронных сообщений физических лиц, передача электронных сообщений в адрес оператора по переводу денежных средств | + | + | + | + | + | |||||||||
| 18 | ХИ | Хранение банковским платежным агентом (субагентом) электронных сообщений, обмен которыми осуществлялся в рамках взаимодействия с оператором по переводу денежных средств | + | + | |||||||||||
| 19 | операторами по переводу денежных средств; Информация об остатках денежных средств на специальных банковских счетах банковских платежных агентов (субагентов). | ХИ | Хранение банковским платежным агентом (субагентом) информации об осуществленных операциях по переводам денежных средств со специальных банковских счетов банковского платежного агента (субагента) | + | |||||||||||
| Банковские платежные агенты (субагенты), осуществляющие деятельность платежного агрегатора | |||||||||||||||
| 20 | Формирование электронных сообщений при участии в переводе денежных средств по операциям с использованием электронных средств платежа в пользу юридических лиц и индивидуальных предпринимателей, иных лиц, указанных в части 13 статьи 14.1 Федерального закона N 161-ФЗ, с которыми платежным агрегатором заключены договоры о приеме электронных средств платежа и (или) об участии в переводе | Информация, содержащаяся в электронных сообщениях пользователей услуг, предоставляемых платежными агрегаторами; Информация, содержащаяся в электронных сообщениях о переводе денежных средств, направляемых платежным агрегатором оператору по переводу денежных средств, оператору услуг информационного обмена; Информация, содержащаяся в реестрах электронных сообщений пользователей услуг, предоставляемых платежными агрегаторами; Информация об осуществленных операциях по переводу денежных средств; Ключевая информация СКЗИ, используемая для обмена электронными сообщениями между платежным агрегатором, оператором по переводу денежных средств, оператором услуг информационного обмена. | ФПП | Формирование (подготовка) пользователями сервисов платежного агрегатора электронных сообщений об осуществлении переводов денежных средств на банковские счета юридических лиц и индивидуальных предпринимателей, с которыми у платежного агрегатора заключены договоры о приеме электронных средств платежа, передача и прием платежным агрегатором электронных сообщений, сформированных пользователями сервисов платежного агрегатора | + | + | |||||||||
| 21 | Формирование платежным агрегатором электронных сообщений об осуществлении зачисления денежных средств на банковские счета юридических лиц и индивидуальных предпринимателей или на специальные банковские счета платежного агрегатора, и передача электронных сообщений в адрес операторов по переводу денежных средств | + | + | + | + | + | |||||||||
| 22 | ХИ | Хранение платежным агрегатором электронных сообщений, обмен которыми осуществлялся при взаимодействии с пользователями сервисов платежного агрегатора и операторами по переводу денежных средств | + | + | |||||||||||
| 23 | денежных средств на основе сведений, предоставленных владельцами электронных средств платежа, в том числе данных платежных карт | Хранение платежным агрегатором информации об осуществленных операциях по переводу денежных средств | + | ||||||||||||
| Операторы услуг информационного обмена | |||||||||||||||
| 24 | Осуществление операций, связанных с переводом денежных средств с использованием электронных средств платежа на основании электронных сообщений клиентов операторов по переводу денежных средств с которыми у операторов услуг информационного обмена заключены договоры услуг | Информация, используемая для идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при осуществлении переводов денежных средств; Информация, содержащаяся в электронных сообщениях клиентов операторов по переводу денежных средств; Информация, содержащаяся в электронных сообщениях, обмен которыми осуществляется при взаимодействии операторов услуг информационного обмена с операторами по переводу денежных средств, клиентами операторов по переводу денежных средств; | ИАА | При совершении действий клиентов операторов по переводу денежных средств при осуществлении переводов денежных средств | + | + | |||||||||
| 25 | ФПП | Формирование (подготовка) клиентом оператора по переводу денежных средств электронного сообщения об осуществлении перевода денежных средств, передача и прием оператором услуг информационного обмена электронных сообщений об осуществлении перевода денежных средств | + | + | + | ||||||||||
| 26 | Формирование реестра электронных сообщений клиентов операторов по переводу денежных средств на осуществление перевода денежных средств | + | + | + | |||||||||||
| 27 | УП | Получение оператором услуг информационного обмена подтверждения от оператора по переводу денежных средств права клиентов операторов по переводу денежных средств распоряжаться денежными средствами | + | + | + | + | |||||||||
| 28 | информационного обмена | Ключевая информация СКЗИ, используемая при осуществлении обмена электронными сообщениями между операторами услуг информационного обмена, операторами по переводу денежных средств, клиентами операторов по переводу денежных средств; Информация, содержащаяся в реестрах электронных сообщений клиентов операторов по переводу денежных средств об осуществлении перевода денежных средств; Информация, используемая для удостоверения права клиентов операторов по переводу денежных средств распоряжаться денежными средствами; Информация об осуществленных переводах денежных средств. | ОУ | Осуществление операций, связанных с переводом денежных средств путем обмена электронными сообщениями с оператором по переводу денежных средств, в том числе на основании реестра электронных сообщений клиентов операторов по переводу денежных средств на осуществление перевода денежных средств | + | + | + | + | + | ||||||
| 29 | Получение результатов осуществления перевода денежных средств, в том числе путем обмена электронными сообщениями с оператором по переводу денежных средств | + | + | + | + | ||||||||||
| 30 | ХИ | Хранение оператором услуг информационного обмена электронных сообщений, обмен которыми осуществлялся при взаимодействии с клиентами оператора по переводу денежных средств, оператором по переводу денежных средств | + | + | |||||||||||
| 31 | Хранение оператором услуг информационного обмена результатов осуществления операций по переводам денежных средств | + | |||||||||||||
| Операторы услуг платежной инфраструктуры, осуществляющие деятельность операционного центра | |||||||||||||||
| 32 | Обеспечение обмена электронными сообщениями при взаимодействии с участниками платежной системы (операторами по переводу денежных средств) и их клиентами, ПКЦ, РЦ | Информация, содержащаяся в электронных сообщениях операторов по переводу денежных средств, а также направленных ОЦ или полученных от ПКЦ, РЦ; Ключевая информация СКЗИ, используемая при обмене электронными сообщениями при взаимодействии операторов по переводу денежных средств, ОЦ, ПКЦ, РЦ. | ФПП | Прием и передача электронных сообщений между операторами по переводу денежных средств и их клиентами, операторами услуг платежной инфраструктуры | + | + | + | + | |||||||
| 33 | ХИ | Хранение ОЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии с операторами по переводу денежных средств, их клиентами, операторами услуг платежной инфраструктуры | + | + | |||||||||||
| Операторы услуг платежной инфраструктуры, осуществляющие деятельность платежного клирингового центра | |||||||||||||||
| 34 | Выполнение процедур приема к исполнению электронных сообщений операторов по переводу денежных средств | Информация, содержащаяся в электронных сообщениях операторов по переводу денежных средств, а также направленных ПКЦ или полученных от ОЦ; Ключевая информация СКЗИ, используемая при обмене электронными сообщениями с ОЦ. | ФПП | Прием электронных сообщений операторов по переводу денежных средств | + | + | + | ||||||||
| 35 | Направление в адрес операторов по переводу денежных средств электронных сообщений, содержащих извещения, касающиеся приема к исполнению электронных сообщений операторов по переводу денежных средств | + | + | + | + | + | |||||||||
| 36 | ОУ | Проверка соответствия электронных сообщений операторов по переводу денежных средств установленным требованиям | + | ||||||||||||
| 37 | ХИ | Хранение ПКЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии с операторами услуг платежной инфраструктуры | + | + | |||||||||||
| 38 | Определение достаточности денежных средств на банковском счете участника платежной системы для исполнения электронных сообщений операторов по переводу денежных средств | Информация, содержащаяся в электронных сообщениях операторов по переводу денежных средств, а также направленных ПКЦ или полученных от ОЦ; Ключевая информация СКЗИ, используемая при обмене электронными сообщениями при взаимодействии операторов по переводу денежных средств, ОЦ, ПКЦ. | ОУ | Определение достаточности денежных средств для исполнения электронных сообщений операторов по переводу денежных средств, в том числе путем обмена электронными сообщениями с операторами услуг платежной инфраструктуры | + | + | + | + | + | ||||||
| 39 | ХИ | Хранение ПКЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии с операторами услуг платежной инфраструктуры | + | + | |||||||||||
| 40 | Определение платежных клиринговых позиций для исполнения принятых | Информация, содержащаяся в электронных сообщениях ОЦ, ПКЦ по осуществлению операций по банковским (корреспондентским) счетам участников платежной системы; | ФПП | Формирование ПКЦ электронных сообщений по осуществлению операций по банковским (корреспондентским) счетам операторов по переводу денежных средств, передача электронных сообщений в адрес операторов услуг платежной инфраструктуры | + | + | + | + | + | ||||||
| 41 | электронных сообщений операторов по переводу денежных средств | Информация об осуществленных операциях по переводу денежных средств; Ключевая информация СКЗИ, используемая при обмене электронными сообщениями при взаимодействии ОЦ, ПКЦ; Информация о платежных клиринговых позициях; Информация, содержащаяся в электронных сообщениях операторов по переводу денежных средств, а также направленных ПКЦ или полученных от ОЦ. | Направление в адрес операторов по переводу денежных средств электронных сообщений, содержащих извещения об исполнении принятых электронных сообщений операторов по переводу денежных средств | + | + | + | + | ||||||||
| 42 | ОУ | Определение платежных клиринговых позиций для исполнения принятых электронных сообщений операторов по переводу денежных средств | + | + | |||||||||||
| 43 | ХИ | Хранение ПКЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии с операторами услуг платежной инфраструктуры | + | + | |||||||||||
| Операторы услуг платежной инфраструктуры, осуществляющие деятельность расчетного центра | |||||||||||||||
| 44 | Исполнение поступивших от ПКЦ электронных сообщений участников платежной системы (операторов по переводу денежных средств) при списании и зачислении денежных средств по банковским (корреспондентским ) счетам операторов по переводу денежных средств | Информация, содержащаяся в электронных сообщениях ОЦ, ПКЦ по осуществлению операций по банковским (корреспондентским) счетам операторов по переводу денежных средств; Информация, содержащаяся в электронных сообщениях участников при взаимодействии ОЦ и ПКЦ; Ключевая информация СКЗИ, используемая при обмене электронными сообщениями при взаимодействии ОЦ, РЦ; Информация об осуществленных операциях по переводу денежных средств. | ФПП | Прием поступивших от ПКЦ, ОЦ, электронных сообщений по списанию и зачислению денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств | + | + | + | ||||||||
| 45 | Направление ПКЦ электронных сообщений, содержащих извещения об исполнении поступивших от ПКЦ, электронных сообщений по списанию и зачислению денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств | + | + | + | + | + | |||||||||
| 46 | ОУ | Исполнение поступивших от ПКЦ электронных сообщений по списанию и зачислению денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств | + | + | |||||||||||
| 47 | ХИ | Хранение РЦ информации об осуществленных списаниях и зачислениях денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств | + | + | |||||||||||
| 48 | Хранение РЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии с операторами услуг платежной инфраструктуры | + | |||||||||||||
------------------------------
1 Технологический участок:
ИАА - идентификация, аутентификация и авторизация клиентов операторов по переводу денежных средств при совершении действий в целях осуществления операций по переводу денежных средств;
ФПП - формирование (подготовка), передача и прием электронных сообщений;
УП - удостоверение права клиентов операторов по переводу денежных средств распоряжаться денежными средствами;
ОУ - осуществление операций по переводу денежных средств, учет результатов их осуществления;
ХИ - хранение электронных сообщений и информации об осуществленных переводах денежных средств.
------------------------------
Пояснительная записка
к проекту положения Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"
Банк России разработал проект положения Банка России "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Проект Положения) в целях реализации части 3 статьи 27 Федерального закона от 27.06.2011 года N 161-ФЗ "О национальной платежной системе" (далее - Федеральный закон N 161-ФЗ).
В связи с принятием Федерального закона от 02.08.2019 N 264-ФЗ "О внесении изменений в Федеральный закон "О национальной платежной систем" и Федеральный закон "О Центральном банке Российской Федерации (Банке России)" и Федерального закона от 03.07.2019 N 173-ФЗ "О внесении изменений в Федеральный закон "О национальной платежной системе" и отдельные законодательные акты Российской Федерации" расширен круг субъектов национальной платежной системы. В этой связи в Проекте Положения установлены требования по защите информации при осуществлении переводов денежных средств в отношении введенных субъектов национальной платежной системы, в частности платежного агрегатора, поставщика платежного приложения, оператора услуг информационного обмена.
Вместе с тем одной из целей разработки Проекта Положения является применение единого подхода регулирования в отношении субъектов национальной платежной системы по вопросам защиты информации при осуществлении переводов денежных средств.
Проект Положения устанавливает следующие требования к обеспечению защиты информации при осуществлении переводов денежных средств:
требования, применяемые в отношении объектов информационной инфраструктуры, эксплуатация и использование которых обеспечивается операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры для осуществления переводов денежных средств;
требования, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений;
требования, применяемые в отношении технологии обработки защищаемой информации;
требования об информировании операторами по переводу денежных средств, операторами услуг платежной инфраструктуры Банка России об инцидентах (событиях), связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств;
требования, реализуемые операторами платежных систем при определении правил платежной системы, выполнении иных обязанностей, предусмотренных Федеральным законом N 161-ФЗ;
требования при осуществлении переводов денежных средств с использованием средств криптографической защиты информации.
Проект Положения подготовил Департамент информационной безопасности.
Проект Положения требует согласования с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.
Обзор документа
ЦБ планирует заново установить требования к защите информации при осуществлении денежных переводов и правила контроля соблюдения таких требований. Они заменят требования и правила 2012 г.
Причина - к субъектам национальной платежной системы теперь также относятся платежные агрегаторы, поставщики платежных приложений, операторы услуг информационного обмена.
Требования касаются объектов информационной инфраструктуры, ПО автоматизированных систем и приложений, технологии обработки информации, информирования ЦБ об инцидентах, правил платежной системы, переводов с использованием средств криптографической защиты.
