На основании части 3 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» и части 5 статьи 11 Федерального закона от 8 августа 2024 года № 275-ФЗ «О внесении изменений в Федеральный закон «О банках и банковской деятельности» и отдельные законодательные акты Российской Федерации»:

1. Внести в Положение Банка России от 17 августа 2023 года № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»1 следующие изменения:

------------------------------

1 Зарегистрировано Минюстом России 6 декабря 2023 года, регистрационный № 76286.

------------------------------

1.1. В пункте 1.1:

абзац первый после слов «при осуществлении переводов денежных средств» дополнить словами:

«, включая осуществление переводов денежных средств с использованием биометрических персональных данных клиентов операторов по переводу денежных средств, в том числе прием и передачу информации об идентификаторе электронного средства платежа клиентов операторов по переводу денежных средств в целях осуществления переводов денежных средств с использованием биометрических персональных данных клиентов операторов по переводу денежных средств»;

дополнить абзацем седьмым следующего содержания:

«Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, совмещающие деятельность с деятельностью кредитной организации, иностранного банка, осуществляющего деятельность на территории Российской Федерации через свой филиал (далее - филиал иностранного банка), некредитной финансовой организации и формирующие в отношении объектов информационной инфраструктуры один контур безопасности в соответствии с пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация наиболее высокого уровня защиты информации, установленного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017, из предусмотренных настоящим пунктом и нормативными актами Банка России, устанавливающими на основании статей 57.4, 76.4-1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (далее - Федеральный закон от 10 июля 2002 года № 86-ФЗ) требования к обеспечению защиты информации для кредитной организации, филиала иностранного банка, некредитной финансовой организации.»;

главу 1 дополнить пунктом 1.11 следующего содержания:

«1.11. Операторы по переводу денежных средств, операторы услуг платежной инфраструктуры, операторы электронных платформ, указанные в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года № 757-П «Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее - Положение Банка России от 20 апреля 2021 года № 757-П), должны проводить оценку выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, операторов электронных платформ, в том числе в соответствии с пунктами 2.3, 6.7 и 7.7 настоящего Положения.».

1.2. В пункте 1.2:

в абзаце первом слова ««Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций» (далее - Положение Банка России от 20 апреля 2021 года № 757-П)» исключить;

абзац пятый изложить в следующей редакции:

«программное обеспечение, используемое для приема и (или) передачи информации об идентификаторе электронного средства платежа клиентов операторов по переводу денежных средств в целях осуществления переводов денежных средств с использованием биометрических персональных данных клиентов операторов по переводу денежных средств.»;

дополнить абзацами шестым - восьмым следующего содержания:

«По решению операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, операторов электронных платформ, указанных в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года № 757-П, оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации.

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, указанные в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года № 757-П, должны обеспечивать проведение сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения при внесении изменений в исходный текст программного обеспечения и приложений, реализующий технологию обработки информации в соответствии с пунктом 1.3 настоящего Положения, а также технологические меры в соответствии с пунктами 2.9, 3.11, 4.7, 6.11 и 7.6 настоящего Положения.

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, указанные в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года № 757-П, вправе не проводить сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения (за исключением прикладного программного обеспечения, взаимодействующего с СКЗИ) в отношении разрабатываемого ими программного обеспечения и приложений, если прошли сертификацию процессов безопасной разработки программного обеспечения ФСТЭК России на соответствие требованиям в части реализации безопасного жизненного цикла разработки программного обеспечения и приложений, указанным в национальном стандарте Российской Федерации ГОСТ Р 56939-2024 «Защита информации Разработка безопасного программного обеспечения. Общие требования», утвержденном приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2024 года № 1504-ст.».

1.3. Абзац первый пункта 1.3 изложить в следующей редакции:

«1.3.Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ должны выполнять требования к обеспечению защиты информации, применяемые в отношении технологии обработки информации, подготавливаемой, обрабатываемой и хранимой на участках идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий в целях осуществления переводов денежных средств; формирования (подготовки), передачи и приема электронных сообщений, включая информацию в электронном виде, содержащую сведения об идентификации и (или) аутентификации с использованием биометрических персональных данных клиентов операторов по переводу денежных средств и результата проведения идентификации и (или) аутентификации и (или) информацию, предназначенную для получения информации об идентификаторе электронного средства платежа клиентов операторов по переводу денежных средств в целях осуществления переводов денежных средств с использованием биометрических персональных данных клиентов операторов по переводу денежных средств (далее - информация, связанная с идентификацией и (или) аутентификацией с использованием биометрических персональных данных); удостоверения права клиентов операторов по переводу денежных средств распоряжаться денежными средствами; осуществления переводов денежных средств; учета результатов осуществления переводов денежных средств; хранения электронных сообщений и информации об осуществленных переводах денежных средств, включая информацию, связанную с идентификацией и (или) аутентификацией с использованием биометрических персональных данных (далее соответственно - защищаемая информация, технологические участки).».

1.4. В пункте 1.4:

абзац четвертый после слов «приема (передачи) электронных сообщений» дополнить словами «, включая информацию, связанную с идентификацией и (или) аутентификацией с использованием биометрических персональных данных,»;

дополнить абзацами восьмым - четырнадцатым следующего содержания:

«В целях осуществления регистрации результатов совершения действий, связанных с осуществлением доступа к защищаемой информации, операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ при эксплуатации объектов информационной инфраструктуры должны обеспечить:

использование информации о точном значении московского времени и календарной дате и (или) эталонных сигналов времени с использованием глобальной навигационной спутниковой системы ГЛОНАСС и спутниковых систем связи, распространяемых Государственной службой времени, частоты и определения параметров вращения Земли в соответствии с частью 1 статьи 6 Федерального закона от 3 июня 2011 года № 107-ФЗ «Об исчислении времени»;

синхронизацию времени не реже одного раза в 24 часа на объектах информационной инфраструктуры;

резервирование объектов информационной инфраструктуры, используемых для получения информации о точном значении московского времени и календарной дате и (или) эталонных сигналов времени с использованием глобальной навигационной спутниковой системы ГЛОНАСС и спутниковых систем связи;

применение мер защиты информации, посредством выполнения которых обеспечивается реализация уровней защиты информации для объектов информационной инфраструктуры, используемых для получения информации о точном значении московского времени и календарной дате и (или) эталонных сигналов времени с использованием глобальной навигационной спутниковой системы ГЛОНАСС и спутниковых систем связи, установленных пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017;

регистрацию случаев отклонения времени на объектах информационной инфраструктуры, возникновения отказов и (или) нарушений синхронизации времени на объектах информационной инфраструктуры с указанием результата реагирования на указанные случаи;

непревышение допустимого расхождения времени на объектах информационной инфраструктуры, эксплуатируемых на технологических участках идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий в целях осуществления переводов денежных средств; формирования (подготовки), передачи и приема электронных сообщений; удостоверения права клиентов операторов по переводу денежных средств распоряжаться денежными средствами; осуществления переводов денежных средств - не более 3 секунд, для иных объектов информационной инфраструктуры - не более 5 секунд.»;

Подпункт 1.4.2 пункта 1.4 дополнить абзацами седьмым - одиннадцатым следующего содержания:

«Регистрации подлежат данные о действиях клиентов операторов по переводу денежных средств, выполняемых на технологическом участке идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий в целях осуществления переводов денежных средств с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) начала соединения и окончания соединения сессии на транспортном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 государственного стандарта Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель.

Часть 1. Базовая модель»1, при авторизации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью совершения действий с защищаемой информацией;

------------------------------

1 Принят постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года № 78 и введен в действие 1 января 2000 года (М., ИПК «Издательство стандартов», 1999).

------------------------------

идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью совершения действий с защищаемой информацией (адрес на сетевом уровне и адрес на транспортном уровне (порт) компьютера и (или) коммуникационного устройства (маршрутизатора) предусмотренные разделом 11 государственного стандарта Российской Федерации ГОСТ Р ИСО 7498-3-97 «Информационная технология. Взаимосвязь открытых систем базовая эталонная модель. Часть 3. Присвоение имен и адресация»2 (далее - ГОСТ Р ИСО 7498-3-97);

------------------------------

2 Принят постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 19 августа 1997 года № 286 и введен в действие 1 июля 1998 года (М., ИПК «Издательство стандартов», 1997).

------------------------------

идентификационная информация, используемая для адресации автоматизированной системы, программного обеспечения, к которым осуществлен доступ с целью совершения действий с защищаемой информацией (адрес на сетевом уровне и адрес на транспортном уровне (порт) автоматизированной системы, используемой оператором по переводу денежных средств, предусмотренные разделом 11 ГОСТ Р ИСО 7498-3-97);

географическое местоположение устройства, при помощи которого осуществлен доступ к автоматизированной системе, программному обеспечению оператора по переводу денежных средств в целях совершения клиентом оператора по переводу денежных средств действий с защищаемой информацией (при наличии).».

1.5. В пункте 1.5:

в абзаце четвертом слова «и сроке» исключить;

дополнить абзацем пятым следующего содержания:

«Предоставление информации, указанной в абзаце втором настоящего пункта, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры в Банк России осуществляется в сроки, установленные приложением 3 к настоящему Положению.».

1.6. В пункте 1.7:

абзац первый дополнить словами:

«, включая требования к проведению оценки влияния аппаратных, программно-аппаратных и программных средств сети (систем) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований.»;

абзац второй после слов «данных для каждого из уровней защищенности»1» дополнить словами:

«(далее - Состав и содержание организационных и технических мер)»;

дополнить абзацами четвертым, пятым следующего содержания:

«Обеспечение защиты информации, предназначенной для получения информации об идентификаторе электронного средства платежа в целях осуществления переводов денежных средств с использованием биометрических персональных данных клиентов операторов по переводу денежных средств осуществляется на прикладном и транспортном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99 с использованием СКЗИ не ниже класса КС1, предусмотренного пунктом 10 Состава и содержания организационных и технических мер.

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, а также операторы электронных платформ, указанные в абзаце первом настоящего пункта, должны обеспечивать оценку надлежащего функционирования программного обеспечения, используемого для приема и (или) передачи информации об идентификаторе электронного средства платежа клиентов операторов по переводу денежных средств в целях осуществления переводов денежных средств с использованием биометрических персональных данных клиентов операторов по переводу денежных средств в рамках проведения оценки влияния аппаратных, программно-аппаратных и программных средств сети (систем) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ.».

1.7. Пункт 1.8 изложить в следующей редакции:

«1.8. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ при взаимодействии с операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры, операторами электронных платформ в целях обеспечения контроля целостности электронных сообщений, включая информацию, связанную с идентификацией и (или) аутентификацией с использованием биометрических персональных данных, и подтверждения составления электронных сообщений уполномоченным на это лицом должны использовать усиленную электронную подпись в соответствии с требованиями Федерального закона от 6 апреля 2011 года № 63-ФЗ, созданную с использованием средств электронной подписи и средств удостоверяющего центра, имеющих сертификат соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.

При осуществлении трансграничных переводов денежных средств обеспечение защиты информации и применение средств защиты информации, в том числе СКЗИ, осуществляется на основании международного договора Российской Федерации или соглашения между операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры, операторами электронных платформ и центральными банками и (или) иными органами надзора иностранных государств, в функции которых входит банковский надзор и (или) надзор и наблюдение в национальных платежных системах иностранных государств, и (или) иными регуляторами финансовых рынков, а также участниками иностранных финансовых рынков, иными субъектами национальных платежных систем иностранных государств. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ доводят копию соглашения до Банка России с использованием личного кабинета в соответствии с порядком взаимодействия, определенным Банком России на основании статьи 35.1 Федерального закона от 27 июня 2011 года № 161-ФЗ, не позднее 10 рабочих дней со дня заключения соглашения.».

1.8. В пункте 1.9 после слов «Признание электронных сообщений» дополнить словами:

«информации, связанной с идентификацией и (или) аутентификацией с использованием биометрических персональных данных,».

1.9. Главу 1 дополнить пунктом 1.10 следующего содержания:

«1.10. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, указанные в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года № 757-П, должны осуществлять планирование применения, применение, контроль применения и совершенствование применения мер, направленных на реализацию требований к обеспечению защиты информации, установленных пунктами 1.2, 1.3, 2.9, 3.11, 4.7, 6.11 и 7.6 настоящего Положения.».

1.10. В пункте 2.1:

слова «от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»1 (далее - Положение Банка России от 17 апреля 2019 года № 683-П)» заменить словами «от 30 января 2025 года № 851-П «Об установлении обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента». (далее - Положение Банка России от 30 января 2025 года № 851-П)»;

сноску 1 изложить в следующей редакции:

«Зарегистрировано Минюстом России 6 марта 2025 года, регистрационный № 81462.».

1.11. В пункте 2.2:

абзац второй изложить в следующей редакции:

«указанной в пункте 1 Положения Банка России от 30 января 2025 года № 851-П;»;

дополнить абзацем шестым в следующей редакции:

«об идентификации и (или) аутентификации с использованием биометрических персональных данных».

1.12. В пункте 2.3:

после слов «оценки соответствия защиты информации» дополнить словами «и оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений»;

дополнить абзацем вторым следующего содержания:

«Операторы по переводу денежных средств при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в пунктах 4.3 и 5.3 порядка составления и представления отчетности по форме 0409071 «Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации», установленного Указанием Банка России от 10 апреля 2023 года № 6406-У «О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)» (далее - Указание Банка России от 10 апреля 2023 года № 6406-У).»;

дополнить сноской 1 следующего содержания:

«1 Зарегистрировано Минюстом России 16 августа 2023 года, регистрационный № 74823, с изменениями, внесенными Указанием Банка России от 08.12.2023 № 6621-У (зарегистрировано Минюстом России 22 января 2024 регистрационный № 76927), Указанием Банка России от 10 июля 2024 года № 6800-У (зарегистрировано Минюстом России 25 октября 2024, регистрационный № 79916), Указанием Банка России от 12 марта 2024 года № 6688-У (зарегистрировано Минюстом России 29 мая 2024 года, регистрационный № 78345), Указанием Банка России от 4 сентября 2024 года № 6840-У (зарегистрировано Минюстом России 10 октября 2024 года, регистрационный № 79758), Указанием Банка России от 16 декабря 2024 года № 6961-У (зарегистрировано Минюстом России 19 декабря 2024 года, регистрационный № 80633).;».

1.13. Пункт 2.5 дополнить абзацем следующего содержания:

«Операторы по переводу денежных средств, указанные в абзаце втором настоящего пункта, ставшие операторами по переводу денежных средств, указанными в абзаце первом настоящего пункта, должны обеспечить сертификацию программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года № 76 не позднее восемнадцати месяцев после того, как стали операторами по переводу денежных средств, указанными в абзаце первом настоящего подпункта.».

1.14. Пункт 3.2 главы 3 изложить в следующей редакции:

«3.2. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны обеспечивать защиту информации в отношении следующих процессов (в случае их реализации):

обеспечение приема электронных средств платежа юридическими лицами, индивидуальными предпринимателями и иными лицами, указанными в части 13 статьи 141 Федерального закона от 27 июня 2011 года № 161-ФЗ;

формирование (подготовка) электронных сообщений при участии в переводе денежных средств в пользу юридических лиц, индивидуальных предпринимателей и иных лиц, указанных в части 13 статьи 141 Федерального закона от 27 июня 2011 года № 161-ФЗ, по операциям с использованием электронных средств платежа.».

1.15. В пункте 3.4 слова «строки 3» заменить словами «строк 3, 31».

1.16. В пункте 5.1:

абзац второй после слов «платежной системы» дополнить словами «, под которым понимается риск реализации угроз безопасности информации, которые обусловлены недостатками процессов обеспечения информационной безопасности, в том числе проведения технологических и других мероприятий, недостатками прикладного программного обеспечения автоматизированных систем и приложений, а также несоответствием указанных процессов деятельности участника платежной системы»;

в абзаце седьмом слова «без согласия клиента, определенных пунктами 3.2 и 3.4 Указания Банка России от 9 января 2023 года № 6354-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, форме и порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента» заменить словами «без добровольного согласия клиента, определенных пунктами 4.3 и 4.5 Указания Банка России от 19 августа 2024 года № 6828-У «О порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без добровольного согласия клиента, форме и порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без добровольного согласия клиента, порядке запроса и получения Банком России у них информации о переводах денежных средств, связанных с переводами денежных средств без добровольного согласия клиента, в отношении которых от федерального органа исполнительной власти в сфере внутренних дел получены сведения о совершенных противоправных действиях в соответствии с частью 8 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», а также о порядке реализации ими мероприятий по противодействию осуществлению переводов денежных средств без добровольного согласия клиента»1»;

сноску 1 изложить в следующей редакции:

«Зарегистрировано Минюстом России 4 октября 2024 года,

регистрационный № 79704.».

1.17. Абзац шестой пункта 5.6 после слов «для обеспечения защиты информации» дополнить словами «, за исключением информации, связанной с идентификацией и (или) аутентификацией с использованием биометрических персональных данных,».

1.18. Пункт 6.1 после слов «при обмене электронными сообщениями» дополнить словами «, информацией, связанной с идентификацией и (или) аутентификацией с использованием биометрических персональных данных,».

1.19. В пункте 6.7:

после слов «оценку соответствия защиты информации» дополнить словами «и оценку выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений».

дополнить абзацами вторым, третьим следующего содержания:

«Операторы услуг платежной инфраструктуры, являющиеся кредитными организациями, при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в пунктах 4.3 и 5.3 порядка составления и представления отчетности по форме 0409071 «Сведения об

оценке выполнения кредитными организациями требований к обеспечению защиты информации», установленного Указанием Банка России от 10 апреля 2023 года № 6406-У.

Операторы услуг платежной инфраструктуры, не являющиеся кредитными организациями, при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в пунктах 2.2 и 3.2 методики составления отчетности по форме 0403202 «Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра», установленной Указанием Банка России от 27 июня 2023 года № 6470-У «О формах, методиках составления, порядке и сроках представления отчетности оператора платежной системы, оператора услуг платежной инфраструктуры, оператора по переводу денежных средств в Центральный банк Российской Федерации»1.»;

дополнить сноской 1 в следующей редакции:

«1 Зарегистрировано Минюстом России 27 сентября 2023 года, регистрационный № 75347, с изменениями, внесенными Указанием Банка России от 4 июня 2024 года № 6741-У (зарегистрировано Минюстом России 21 августа 2024 года, регистрационный № 79227).».

1.20. Главу 7 дополнить пунктом 7.7 следующего содержания:

«7.7. Операторы электронных платформ, являющиеся некредитными финансовыми организациями, указанными в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года № 757-П, должны

обеспечивать проведение оценки соответствия защиты информации и оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений в соответствии со сроками, установленными подпунктом 1.5.3 пункта 1.5 Положения Банка России от 20 апреля 2021 года № 757-П.

Операторы электронных платформ, указанные в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года № 757-П, при проведении оценки выполнения требований к обеспечению защиты информации, применяемых с использованием технологических мер защиты информации и применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в пунктах 3 и 4 порядка составления отчетности (отчета) по форме 0420722 «Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов», установленного Указанием Банка России от 10 июля 2024 года № 6798-У «О порядке и сроках составления и представления в Банк России отчетов операторов инвестиционных платформ, отчетности операторов финансовых платформ, операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и операторов обмена цифровых финансовых активов, форме отчетов операторов инвестиционных платформ и составе включаемых в них сведений, составе и формах отчетности операторов финансовых платформ, а также о порядке сообщения операторами инвестиционных платформ, операторами финансовых платформ, операторами

информационных систем, в которых осуществляется выпуск цифровых финансовых активов, операторами обмена цифровых финансовых активов Банку России информации о лицах, которым поручено проведение идентификации, упрощенной идентификации, обновление информации о клиентах, представителях клиентов, выгодоприобретателях и бенефициарных владельцах»1»;

дополнить сноской 1 следующего содержания:

«1 Зарегистрировано Минюстом России 2 ноября 2024 года, регистрационный № 80008.».

1.21. В пункте 8.1, подпункте 8.1.1 пункта 8.1, абзацах втором, третьем, пятом, шестом подпункта 8.1.2 пункта 8.1, подпункте 8.1.3, абзаце первом пункта 8.2 после слов «являющихся кредитными организациями» добавить слова «, филиалами иностранных банков».

1.22. Абзац первый пункта 8.2 изложить в следующей редакции:

«8.2. Банк России проводит проверки являющихся кредитными организациями или филиалами иностранных банков операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств, операторов электронных платформ в порядке, установленном в соответствии с частью четвертой статьи 73 Федерального закона от 10 июля 2002 года № 86-ФЗ.».

1.23. Пункт 8.3 дополнить абзацем четвертым следующего содержания:

«Банк России применяет меры к являющимся филиалами иностранных банков операторам по переводу денежных средств в порядке, установленном в соответствии с частью пятой статьи 742 Федерального закона от 10 июля 2002 года № 86-ФЗ.».

1.24. Подпункт 1.3 пункта 1 приложения 1 изложить в следующей редакции:

«1.3. Применение механизмов и (или) протоколов формирования и обмена электронными сообщениями, информацией, связанной с идентификацией и (или) аутентификацией с использованием биометрических

персональных данных, обеспечивающих защиту электронных сообщений, информации, связанной с идентификацией и (или) аутентификацией с использованием биометрических персональных данных, от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации, в том числе аутентификацию входящих электронных сообщений».

1.25. Подпункт 1.5 пункта 1 приложения 1 дополнить абзацем следующего содержания:

«В целях обеспечения целостности электронных сообщений необходимо обеспечивать реализацию мер по использованию любого вида усиленной электронной подписи, предусмотренной частью 1 статьи 5 Федерального закона от 6 апреля 2011 года № 63-ФЗ), или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.».

1.26. Подпункт 1.6 пункта 1 приложения 1 изложить в следующей редакции:

«1.6. Использование усиленной электронной подписи в целях обеспечения целостности электронных сообщений, информации, связанной с идентификацией и (или) аутентификацией с использованием биометрических персональных данных и подтверждения составления электронных сообщений уполномоченным на это лицом.»

1.27. В приложении 2 строку 3 таблицы технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств на технологических участках изложить в следующей редакции:

1.28. В приложении 2 таблицу технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств на технологических участках дополнить строкой 31 в следующей редакции:

1.29. В приложении 2 строку 6 таблицы технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств на технологических участках изложить в следующей редакции:

1.30. Дополнить приложением 3 в редакции приложения 1 к настоящему Указанию.

2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ________ года № ПСД-______) вступает в силу с 1 октября 2026 года за исключением отдельных положений.

Абзацы восьмой - девятый подпункта 1.2 пункта 1 вступают в силу с 1 октября 2027 года.

Приложение 1
к Указанию Банка России
от __.__________.2024 № _____
«О внесении изменений в
Положение Банка России от 17
августа 2023 года
№ 821-П»

«Приложение 3
к Положению Банка России
от 17 августа 2023 № 821-П
«О требованиях к обеспечению
защиты информации при
осуществлении переводов
денежных средств и о порядке
осуществления Банком России
контроля за соблюдением
требований
к обеспечению защиты информации
при осуществлении переводов
денежных средств»

Сроки предоставления операторами по переводу денежных средств, операторами услуг платежной инфраструктуры Банку России сведений о выявленных инцидентах защиты информации, о принятых мерах и проведенных мероприятиях
по реагированию на выявленный операторами по переводу денежных средств, операторами услуг платежной инфраструктуры или Банком России инцидент защиты информации

Пояснительная записка к проекту указания Банка России «О внесении изменений в Положение Банка России от 17 августа 2023 года № 821-П»

Банк России разработал проект указания Банка России «О внесении изменений в Положение Банка России от 17 августа 2023 года № 821-П» (далее - проект).

Полномочия Банка России по разработке проекта и принятию акта установлены частью 3 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе».

Проект разработан в целях гармонизации требований Положения Банка России от 17 августа 2023 года № 821-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее - Положение Банка России № 821-П), а также установления дополнительных требований по защите информации для субъектов национальной платежной системы (далее - НПС), а именно:

- установления обязанности реализовывать наиболее высокий из требуемых нормативными актами Банка России уровень защиты информации, в случае если в отношении объектов информационной инфраструктуры субъекта НПС действуют требования, установленные на основании статьи 57.4 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)», части 3 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе», и субъект НПС применяет единый контур безопасности в соответствии с пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»;

- установления сроков предоставления сведений об инцидентах операторами по переводу денежных средств, операторами услуг платежной инфраструктуры в Банк России;

- установления требований к расчету значений показателей оценки выполнения требований к мерам защиты информации в отношении технологии безопасной обработки защищаемой информации и оценки выполнения требований к мерам защиты информации в отношении прикладного программного обеспечения автоматизированных систем и приложений;

- установления требования об осуществлении деятельности по планированию, реализации, контролю и совершенствованию мер и мероприятий, направленных на реализацию требований, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений и в отношении технологии обработки защищаемой информации;

- определения права субъекта НПС на реализацию процессов разработки программного обеспечения и приложений, включающих меры обеспечения безопасного жизненного цикла разработки программного обеспечения и приложений;

- расширения перечня сведений о действиях клиентов участников национальной платежной системы, осуществляемых в рамках переводов денежных средств, подлежащих регистрации и хранению;

- установления требования по защите информации при осуществлении переводов денежных средств с использованием биометрических персональных данных клиентов операторов по переводу денежных средств.

Предложения и замечания по проекту в рамках его публичного обсуждения в целях оценки регулирующего воздействия принимаются до 22 июля 2025 года по адресам:  nikitinavl@cbr.ru,  belyaevea@cbr.ru,  erokhingi@cbr.ru.