Проект Указания Банка России “О внесении изменений в Положение Банка России от 9 января 2019 года N 672-П "О требованиях к защите информации в платежной системе Банка России" (по состоянию на 17.07.2020)

На основании статьи 7 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2018, N 11, ст. 1588):

1. Внести в Положение Банка России от 9 января 2019 года N 672-П "О требованиях к защите информации в платежной системе Банка России" следующие изменения.

1.1. Пункт 1 изложить в следующей редакции:

"1. Требования к защите информации в платежной системе Банка России (далее - требования к защите информации) должны выполнять участники платежной системы Банка России, являющиеся кредитными организациями (их филиалами), имеющие доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде, предусмотренный пунктом 3.7 Положения Банка России от 6 июля 2017 года N 595-П "О платежной системе Банка России", зарегистрированного Министерством юстиции Российской Федерации 6 октября 2017 года N 48458, 5 декабря 2018 года N 52892 (далее - Положение Банка России от 6 июля 2017 года N 595-П) (далее - участники обмена), а также операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (далее - ОПКЦ), оператор услуг информационного обмена при предоставлении участникам СБП услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее - ОУИО СБП)".

1.2. Пункт 4 дополнить следующим абзацем:

"Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей ОУИО СБП при предоставлении участникам СБП услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей должен применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 5780.1-2017.".

1.3. В пункте 5 слова "Операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (далее - ОПКЦ)" заменить словом "ОПКЦ".

1.4. Пункт 5 дополнить подпунктом 5.1. следующего содержания:

"5.1. ОУИО СБП должен обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями к обеспечению защиты информации при осуществлении переводов денежных средств, установленными Банком России в соответствии с частью 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ.".

1.5. В пунктах 6 и 11 слова "СБП и ОПКЦ" заменить словами "СБП, ОПКЦ и ОУИО СБП".

1.6. Пункт 6 дополнить подпунктом 6.3. следующего содержания:

"6.3. Документы ОПКЦ и ОУИО СБП должны определять состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности информационных сообщений, содержащих реквизиты и иную информацию, необходимую для последующего формирования электронного сообщения, при осуществлении перевода денежных средств с использованием сервиса быстрых платежей (далее - информационные сообщения) на этапах формирования (подготовки), обработки, передачи и хранения информационных сообщений (при их наличии).".

1.7. Дополнить пунктом 6.1 следующего содержания:

"6.1. ОПКЦ и ОУИО СБП должны обеспечивать применение технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений и информационных сообщений (при их наличии) на этапах их формирования (подготовки), обработки, передачи и хранения.».

1.8. Пункт 10 дополнить абзацем следующего содержания:

"Автоматизированное рабочее место обмена электронными сообщениями должно быть реализовано с использованием программного обеспечения, предусмотренного договором, заключенным между Банком России и участником ССНП".

1.9. Пункт 12 изложить в следующей редакции:

"12. При обмене электронными сообщениями между Банком России и ОПКЦ, Банком России и участниками ССНП должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.

При обмене электронными сообщениями между ОПКЦ, участниками СБП и ОУИО СБП должна применяться электронная подпись, сертификат проверки которой выдан ОПКЦ участнику СБП, в том числе при обмене электронными сообщениями между ОПКЦ и ОУИО СБП, ОУИО СБП, оказывающим участнику СБП услуги по обеспечению подписания исходящих электронных сообщений и (или) зашифрования на прикладном уровне электронных сообщений, проверки электронной подписи во входящих электронных сообщениях и (или) расшифрования на прикладном уровне входящих электронных сообщений.

Хранение и использование криптографических ключей участника СБП в информационной инфраструктуре ОУИО СБП должны осуществляться в аппаратных модулях безопасности, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

Доступ к криптографическим ключам должен быть обеспечен только для участника СБП как владельца сертификата ключа электронной подписи.

Криптографические ключи, используемые при обмене электронными сообщениями между ОПКЦ и ОУИО СБП, самостоятельно изготавливаются участником СБП в аппаратных модулях безопасности. Запрос на сертификат ключа проверки электронной подписи с последующим формированием ключа проверки электронной подписи осуществляется самостоятельно участником СБП.".

1.10. Абзац второй пункта 13 после слов "Федерального закона 27 июня 2011 года N 161-ФЗ" дополнить словами "(далее - договор о взаимодействии между Банком России и ОПКЦ)".

1.11. Подпункт 14.2 пункта 14 изложить в следующей редакции:

"14.2. Участники СБП, ОПКЦ и ОУИО СБП должны обеспечивать защиту электронных сообщений при передаче между ОПКЦ и участниками СБП, ОУИО СБП:

использованием усиленной электронной подписи для контроля целостности и подтверждения подлинности электронных сообщений, состав которых определен договором об оказании услуг между участником СБП и ОПКЦ;

шифрованием электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в государственном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", утвержденном постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 (М., ИПК Издательство стандартов, 1999) (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, при осуществлении регулирования в соответствии с пунктом "ш" статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности" (Собрание законодательства Российской Федерации, 1995, N 15, ст. 1269; 2000, N 1, ст. 9; N 46, ст. 4537; 2002, N 19, ст. 1794; N 30, ст. 3033; 2003, N 2, ст. 156; N 27, ст. 2700; 2004, N 35, ст. 3607; 2005, N 10, ст. 763; 2006, N 17, ст. 1779; N 31, ст. 3452; 2007, N 28, ст. 3348; N 31, ст. 4008; N 50, ст. 6241; 2008, N 52, ст. 6235; 2010, N 31, ст. 4207; N 42, ст. 5297; 2011, N 1, ст. 32; N 29, ст. 4282; 2011, N 30, ст. 4589; N 50, ст. 7366; 2013, N 19, ст. 2324; N 27, ст. 3477; N 48, ст. 6165; N 51, ст. 6689; 2014, N 19, ст. 2335; N 26, ст. 3365; N 26, ст. 3384; N 52, ст. 7557; 2016, N 1, ст. 88; N 27, ст. 4160, ст. 4238; N 28, ст. 4558; 2017, N 1, ст. 46; N 25, ст. 3596; 2018, N 11, ст. 1591) (далее - требования, установленные федеральным органом исполнительной власти в области обеспечения безопасности);

применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне представления или ниже, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

На каждом участке передачи электронного сообщения между участниками СБП и ОПКЦ должно обеспечиваться выполнение требований, установленных настоящим подпунктом.".

1.12. Пункт 17 изложить в следующей редакции:

"17. В рамках реализации мер по противодействию осуществлению переводов денежных средств без согласия клиента при осуществлении переводов денежных средств с использованием сервиса быстрых платежей участник СБП, являющийся банком плательщика (далее - участник СБП - банк плательщика), участник СБП, являющийся банком получателя (далее - участник СБП - банк получателя), ОПКЦ, ОУИО СБП должны обеспечивать выполнение следующих требований.

Участник СБП - банк плательщика должен осуществлять:

выявление операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, установленным Банком России и размещенным на его официальном сайте в информационно-телекоммуникационной сети "Интернет" в соответствии с частью 5.1 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ (далее - признаки осуществления переводов денежных средств без согласия клиента), в рамках реализуемой им системы управления рисками при осуществлении переводов денежных средств с использованием сервиса быстрых платежей;

приостановление исполнения распоряжения о переводе денежных средств в рамках выявленной операции, соответствующей признакам осуществления переводов денежных средств без согласия клиента, в том числе на основании электронных сообщений о степени риска операций без согласия клиента (далее - индикатор о степени риска операции), полученных от участника СБП - банка получателя и ОПКЦ, в порядке, установленном частью 5.1 статьи 8 Федерального закона от 27 июня 2011 года № 161-ФЗ;

в случае невыявления признаков осуществления перевода денежных средств без согласия клиента формирование индикатора о степени риска операции на основе оценки рисков операций в рамках реализуемой им системы управления рисками и его направление в информационном сообщении в ОПКЦ в формате, установленном договором об оказании услуг между участником СБП и ОПКЦ.

Участник СБП - банк получателя должен осуществлять формирование индикатора о степени риска операции в рамках реализуемой им системы управления рисками, применяемой для выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, и его направление в информационном сообщении в ОПКЦ в формате, установленном договором об оказании услуг между участником СБП и ОПКЦ.

ОПКЦ должен осуществлять:

выявление операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основании моделей оценки риска операций по переводу денежных средств, установленных Банком России (далее - модель оценки риска операций Банка России), полученных от участников СБП индикаторов о степени риска операции при осуществлении переводов денежных средств с использованием сервиса быстрых платежей;

приостановление процедуры приема к исполнению и исполнения распоряжений о переводе денежных средств в рамках выявленной операции, соответствующей признакам осуществления переводов денежных средств без согласия клиента, при осуществлении переводов денежных средств с использованием сервиса быстрых платежей в соответствии с порядком, установленным договором об оказании услуг между участником СБП и ОПКЦ;

незамедлительное уведомление участников СБП о выявлении операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, в соответствии с порядком, установленным договором об оказании услуг между участником СБП и ОПКЦ;

уведомление Банка России о выявлении операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, в соответствии с порядком, установленным договором о взаимодействии между Банком России и ОПКЦ;

приостановление последующих процедур приема к исполнению и исполнения распоряжений о переводе денежных средств в рамках выявленных операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, в соответствии с порядком, установленным договором об оказании услуг между участником СБП и ОПКЦ;

в случае невыявления признаков осуществления перевода денежных средств без согласия клиента формирование индикатора о степени риска операции на основе модели оценки риска операций Банка России и направление участнику СБП - банку плательщика сформированных ОПКЦ и участником СБП - банком получателя индикаторов о степени риска операций в информационном сообщении в формате, установленном договором об оказании услуг между участником СБП и ОПКЦ.

ОУИО СБП при предоставлении услуг информационного обмена участнику СБП - банку плательщика должен выполнять требования, установленные для участника СБП - банка плательщика настоящим Положением, а при предоставлении услуг информационного обмена участнику СБП - банку получателя должен выполнять требования, установленные для участника СБП - банка получателя настоящим Положением.

Процедура принятия решения участником СБП на основании индикатора о степени риска операции, поступившего в электронном сообщении от участников обмена при осуществлении операции по переводу денежных средств с использованием сервиса быстрых платежей, устанавливается участником СБП в рамках реализуемой им системы управления рисками в соответствии с частью 5.1 статьи 8 Федерального закона от 27 июня 2011 года N 161-ФЗ.

Формат, порядок заполнения и передачи информационного сообщения, содержащего индикаторы о степени риска операции, определяются в соответствии с порядком, установленным договором об оказании услуг между участником СБП и ОПКЦ.

17.1. В рамках реализации мер по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры участников обмена и (или) их клиентов, и дальнейшему предотвращению случаев и (или) попыток осуществления переводов денежных средств без согласия клиента участник СБП, ОПКЦ должны обеспечить выполнение следующих требований.

Участник СБП - банк плательщика при выявлении информации о компьютерных атаках, проводимых с использованием идентификаторов клиентов участника СБП, направленных на получение информации о клиентах участника СБП из формирующихся распоряжений клиента участника СБП о переводе денежных средств (далее - переборы идентификаторов клиентов участника СБП), при осуществлении переводов денежных средств с использованием сервиса быстрых платежей осуществляет блокировку идентификатора клиента участника СБП и незамедлительно уведомляет Банк России и ОПКЦ о блокировке идентификатора клиента участника СБП.

ОПКЦ осуществляет выявление компьютерных атак, связанных с переборами идентификаторов клиентов участника СБП на стороне участников СБП, блокировку идентификатора клиента участника СБП на срок, установленный договором об оказании услуг между участником СБП и ОПКЦ, и направление уведомлений участнику СБП и Банку России о причине блокировки идентификатора клиента участника СБП.

В случае несвоевременного информирования Банка России и ОПКЦ со стороны участника СБП о переборе идентификаторов клиента участника СБП или при повторном получении распоряжения о переводе денежных средств клиента участника СБП с ранее выявленного идентификатора клиента участника СБП ОПКЦ осуществляет блокировку идентификатора клиента участника СБП, используемого для осуществления переборов идентификаторов клиентов участника СБП, на срок, установленный договором об оказании услуг между участником СБП и ОПКЦ.

При получении участником СБП - банком плательщика уведомления о блокировке идентификатора клиента участника СБП при осуществлении переводов денежных средств с использованием сервиса быстрых платежей от ОПКЦ участник СБП обязан осуществлять проверку полученной информации в соответствии с порядком, установленным договором между клиентом участника СБП и участником СБП, о результатах которой уведомить Банк России в соответствии с пунктом 2.131 Положения Банка России от 9 июня 2012 года N 382-П.

При получении Банком России уведомления о блокировке идентификатора клиента участника СБП при осуществлении переводов денежных средств с использованием сервиса быстрых платежей от участника СБП или ОПКЦ Банк России осуществляет информирование о переборах идентификаторов клиентов участника СБП на стороне участников СБП и идентификаторе клиента участника СБП, применяемом для осуществления переборов идентификаторов клиентов участника СБП, путем направления уведомления участникам СБП и ОПКЦ.".

1.13. Дополнить пунктом 17.1 следующего содержания:

"Участник СБП при наличии сведений о смене идентификационной информации клиента, используемой для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств с использованием сервиса быстрых платежей, которой в зависимости от технической возможности являются IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и(или) иной идентификатор устройства (далее - идентификатор устройства), обязан уведомить ОПКЦ в соответствии с порядком, установленным договором об оказании услуг между участником СБП и ОПКЦ.

ОПКЦ при получении сведений о смене идентификатора устройства должен осуществить оценку риска операции на основании моделей оценки риска Банка России, формирование индикатора о степени риска операции с последующим уведомлением Банка России в соответствии с пунктом 2.13.1 Положения Банка России от 9 июня 2012 года N 382-П.".

1.14. Пункт 18 дополнить следующим абзацем:

"ОУИО СБП обязан информировать участника СБП о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе о тех, которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств в соответствии с договором между участником СБП и ОУИО СБП.".

1.15. Абзац первый пункта 20 после слов "участниками СБП," дополнить словами "ОУИО СБП".

1.16. В абзаце пятом пункта 20 слова "участники СБП и ОПКЦ" заменить словами "участники СБП, ОПКЦ, ОУИО СБП".

1.17. В абзаце четвертом подпункта 14.3 пункта 14 после слов", размещенном на официальном сайте Банка России в сети "Интернет"" дополнить словами" (далее - сеть"Интернет")".

1.18. В абзаце третьем пункта 17, подпункте 19.2 пункта 19, абзацах первом и втором подпункта 19.4 пункта 19 слова "в информационно-телекоммуникационной сети "Интернет" заменить словами "в сети "Интернет".

2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от __ _______ 2020 года N __) вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых настоящим пунктом установлены иные сроки вступления их в силу.

Подпункт 1.2 настоящего Указания вступает в силу с 1 января 2022 года.

Пояснительная записка
к проекту Указания Банка России "О внесении изменений в Положение Банка России от 9 января 2019 года N 672-П "О требованиях к защите информации в платежной системе Банка России"
(далее - проект Указания)

Проект Указания устанавливает требования к защите информации в сфере противодействия осуществлению переводов денежных средств без согласия клиента с использованием сервиса быстрых платежей (далее - СБП).

Одной из целей проекта Указания является установление требований к защите информации для оператора услуг информационного обмена при его взаимодействии с участниками платежной системы Банка России при осуществлении переводов денежных средств с использованием СБП.

В том числе для участников платежной системы Банка России устанавливается дополнительный порядок реализации мер по противодействию осуществлению переводов денежных средств без согласия клиента с использованием СБП, вызванных компьютерными атаками, направленными на объекты информационной инфраструктуры операционного центра, платежного клирингового центра другой платежной системы при переводе денежных средств с использованием сервиса быстрых платежей со стороны участников СБП и их клиентов (перебор идентификаторов клиентов участника СБП).

Кроме того проектом Указания вносятся изменения в части определения порядка в рамках реализации мер по противодействию осуществлению переводов денежных средств без согласия клиента с использованием СБП между участниками платежной системы Банка России, при выявлении операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента (формирование и обмен индикаторами о степени риска).

Требования к обеспечению защиты информации, устанавливаемые проектом Указания, распространяются на участников платежной системы Банка России, имеющих доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде сервиса срочного перевода, сервиса несрочного перевода и сервиса быстрых платежей, на операционный центр и клиринговый центр внешней платежной системы и оператора услуг информационного обмена и применяются ими совместно с требованиями Положения Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств".