Artiks Артикс - 1с, Консультант плюс, журналы, обслуживание
Консультант Плюс. Системы КонсультантПлюс 1С: Франчайзи Электронная отчётность
Раздел Консультант Плюс. Все о системах КонсультантПлюс Отдел Консультант Плюс. Системы КонсультантПлюс

Справочные правовые системы
"Консультант Плюс"



Справочно правовые системы Консультант плюс Правовые системы
Консультант Плюс
Журналы Главная книга и Главная Книга: Конференц-Зал Журналы "Главная книга"
Новое в законодательстве - недельные обзоры документов законодательства России. Подготовлены специалистами КонсультантПлюс Новое в законодательстве
Документ недели - каждую неделю выбирается самый важный документ из вновь появившихся и подробно комментируется. Оригинал рассматриваемого документа можно бесплатно скачать Документ недели
Спецпроект - Тематические подборки документов Спецпроект
Ответы специалиста на Ваши вопросы Консультации
Для клиентов - информация для пользователей систем Консультант Для клиентов
Форма заказа на покупку или демонстрацию справочно правовых систем консультант плюс Заказ на покупку / демонстрацию
Заказ документа - форма заказа нормативных документов Заказ документа
Антивирусы - прейскурант на антивирусные программы. Антивирус Касперского, Доктор Вэб, Norton Antivirus. Описание антивирусов. Форма заказа Антивирусы
Полезные советы по работе с правовыми системами консультант Полезные советы


Контактная информация

тел: (495) 721-35-86
e-mail: написать письмо

Документ недели

[24.05.2022-30.05.2022]

Условия по защите информации (утв. Банком России)

Скачать (36 kb, rar-архив)


Содержание :

Обновлены требования по защите информации при обмене электронными сообщениями в платежной системе Банка России

   Обновлены требования по защите информации при обмене электронными сообщениями в платежной системе Банка России (..)

   Утвержденные Условия применяются для целей договора, заключаемого с клиентом (пользователем) и предусматривающего участие в обмене электронных сообщений (ЭС) в платежной системе Банка России или в системе передачи финансовых сообщений (СПФС).

   Сведения о реализованных мерах и средствах защиты информации не подлежат передаче третьим лицам, за исключением случаев, установленных законодательством РФ или договором, заключенным Банком России, клиентом, косвенным участником клиента, пользователем и третьим лицом.

   Банк России вправе проверять выполнение клиентом, косвенным участником клиента, пользователем требований к защите информации на соответствие сведениям, изложенным в акте о готовности к обмену ЭС (ФС) с Банком России.

   Условия по защите информации (утв. Банком России) (..)

     Глава 1. Общие положения

     1.1. Клиент для участия в обмене электронными сообщениями (далее - ЭС) в платежной системе Банка России или Пользователь для участия в обмене финансовыми сообщениями (далее - ФС) в системе передачи финансовых сообщений (далее - СПФС) выполняет требования по защите информации в соответствии с настоящими Условиями.

   1.2. Настоящие Условия применяются для целей договора, заключаемого с Клиентом (Пользователем) и предусматривающего участие в обмене ЭС в платежной системе Банка России или в СПФС (далее - Договор).

   1.3. Термины, используемые в настоящих Условиях, понимаются в значениях, определенных Федеральным законом от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (далее - Федеральный закон N 161-ФЗ), установленных правилами платежной системы Банка России.

   1.4. Кроме того, в настоящих Условиях используются следующие термины и сокращения: администратор информационной безопасности (далее - АИБ) - лицо, назначенное Клиентом (Пользователем) и выполняющее обязанности по администрированию средств защиты и механизмов защиты, реализующих требования по обеспечению информационной безопасности; администратор ключевой системы (далее - АКС) - лицо, назначенное владельцем криптографического ключа ответственным за управление криптографическими ключами, в том числе за формирование криптографических ключей и обеспечение безопасности криптографических ключей; владелец ключа электронной подписи, ключа шифрования (владелец криптографического ключа) - Банк России, Клиент, Пользователь или косвенный участник платежной системы Банка России, являющийся клиентом участника обмена - Клиента (далее - косвенный участник Клиента); инцидент - нарушение требований к обеспечению защиты информации при обмене ЭС или ФС, в том числе нарушение, которое привело или может привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств; клиент косвенного участника с доступом к ТПСБП - лицо, заключившее с косвенным участником, имеющим доступ к услугам по трансграничному переводу денежных средств с использованием сервиса быстрых платежей платежной системы Банка России (далее - ТПСБП), договор, предусматривающий оказание услуг по переводу денежных средств; клиент участника СБП, имеющего доступ к ТПСБП - лицо, заключившее договор с участником СБП, имеющим доступ к ТПСБП, предусматривающий оказание услуг по переводу денежных средств; ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи с использованием средств криптографической защиты информации; ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи; ключ шифрования - уникальная последовательность символов, используемая при зашифровании и расшифровании ЭС и ФС; ключевой носитель - отчуждаемый машинный носитель информации, содержащий криптографический ключ; криптографический ключ - ключ электронной подписи и (или) ключ шифрования; компрометация криптографического ключа - событие, определяемое владельцем криптографического ключа как ознакомление неуполномоченным лицом (лицами) с его криптографическим ключом; косвенный участник Клиента - организация, соответствующая критериям, определенным для косвенных участников Клиента платежной системы Банка России нормативным актом Банка России на основании части 9 статьи 20 Федерального закона N 161-ФЗ; косвенный участник Клиента с доступом к ТПСБП - иностранный банк (иностранная кредитная организация), иностранный центральный (национальный) банк, которому доступ к ТП СБП предоставляется через участника СБП с доступом к ТП СБП - кредитную организацию (ее филиал), международную финансовую организацию, клиентом которой он является, в соответствии с договором счета, заключенным указанным участником СБП с Банком России. объекты информационной инфраструктуры - автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация и использование которых обеспечиваются кредитной организацией для осуществления банковских операций; ОПКЦ СБП - операционный центр, платежный клиринговый центр внешней платежной системы, предоставляющий операционные услуги, услуги платежного клиринга при осуществлении перевода денежных средств с использованием сервиса быстрых платежей платежной системы Банка России; пользователь ключа электронной подписи, ключа шифрования (далее - пользователь криптографического ключа) - лицо, назначенное владельцем криптографического ключа и уполномоченное им использовать криптографический ключ от имени владельца криптографического ключа; регистрационная карточка сертификата ключа проверки электронной подписи (далее - регистрационная карточка сертификата ключа) - документ, содержащий распечатку сертификата ключа проверки электронной подписи (включая распечатку в шестнадцатеричной системе счисления ключа проверки электронной подписи, наименование и иные реквизиты, идентифицирующие владельца ключа электронной подписи, подпись руководителя (лица, его замещающего) владельца ключа электронной подписи или лица из числа работников владельца ключа электронной подписи, уполномоченного на подписание регистрационной карточки сертификата ключа) от имени владельца ключа электронной подписи, а также оттиск печати (при ее наличии); регистрационный центр - подразделение Банка России, выполняющее функции регистрации и сертификации ключей электронной подписи, а также управления ключами проверки электронной подписи Клиента, косвенного участника Клиента, Пользователя и ключами шифрования, применяемыми при обмене ЭС и ФС; СБП - сервис быстрых платежей платежной системы Банка России; сертификат ключа проверки электронной подписи - документ в электронном виде, выданный регистрационным центром и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа; средства криптографической защиты информации (далее - СКЗИ) - аппаратные и (или) программные средства, обеспечивающие создание и проверку электронной подписи, создание ключей электронной подписи, а также реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при обмене ЭС по каналам связи либо с использованием отчуждаемых машинных носителей информации; уполномоченное лицо - лицо, уполномоченное на подписание от имени Клиента, косвенного участника Клиента, Пользователя регистрационных карточек сертификатов ключей проверки электронной подписи, запросов на выпуск сертификатов ключей проверки электронной подписи, а также на направление и (или) подписание обращений (заявлений) о приостановлении (отмене приостановления) обмена ЭС или о приостановлении (возобновлении) оказания услуг по передаче ФС в случае выявления инцидента, связанного с несоблюдением Клиентом, Пользователем требований к защите информации, который привел или может привести к осуществлению перевода денежных средств без согласия клиента; электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.

   1.5. Сведения о реализованных мерах и средствах защиты информации, в том числе сведения о ключевой информации, а также сведения, передаваемые Банком России и Клиентом, косвенным участником Клиента, Пользователем друг другу в ходе исполнения настоящих Условий, не подлежат передаче третьим лицам, за исключением случаев, установленных законодательством Российской Федерации или договором, заключенным Банком России, Клиентом, косвенным участником Клиента, Пользователем и третьим лицом.

   1.6. Сведения, содержащиеся в ЭС Клиента (ФС Пользователя), и в ЭС, направленных Клиенту (ФС, направленных Пользователю) в ходе исполнения настоящих Условий, не подлежат передаче Банком России третьим лицам, за исключением случаев, установленных законодательством Российской Федерации и Договором.

   1.7. При обмене в электронном виде сведениями о реализованных мерах и средствах защиты информации, а также материалами работы Согласительной комиссии, созданной в соответствии с приложением 4 к настоящим Условиям, применяются организационные и технические меры защиты информации, в том числе предназначенные для предотвращения несанкционированного доступа к содержанию защищаемой информации при передаче по открытым каналам связи, а также с использованием информационно-телекоммуникационной сети "Интернет". Клиент должен выполнять и обеспечивать выполнение косвенным участником Клиента требований, определенных настоящими Условиями, при обмене ЭС, осуществлять эксплуатацию и функционирование автоматизированного рабочего места обмена ЭС с платежной системой Банка России и (или) автоматизированного рабочего места обмена ФС с использованием системы СПФС (далее - АРМ обмена) в соответствии с требованиями эксплуатационной документации на АРМ обмена, полученной в соответствии с Условиями передачи программного обеспечения Клиенту Банка России.

   1.8. Банк России вправе проверять выполнение Клиентом, косвенным участником Клиента, Пользователем требований к защите информации на соответствие сведениям, изложенным в акте о готовности к обмену ЭС (ФС) с Банком России.

   1.9. Банк России уведомляет Клиента о приостановлении (отмене приостановления) обмена ЭС с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае технической невозможности направления информации с использованием технической инфраструктуры (автоматизированной системы) Банка России информация направляется с использованием резервного способа взаимодействия.

     Глава 2. Меры по защите информации при осуществлении переводов денежных средств в платежной системе Банка России

     2.1. Клиенты, являющиеся кредитными организациями (их филиалами), имеющие доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде (за исключением централизованных филиалов) и осуществлению обмена ЭС с прямым участником - клиентом Банка России, заключившим с Банком России договор об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России, обеспечивают выполнение требований подпунктов 2.3.4 - 2.3.6 пункта 2.3 и приложения 5 к настоящим Условиям.

   2.2. Клиенты, являющиеся участниками СБП с доступом к ТПСБП, обеспечивают включение в договор с косвенными участниками с доступом к ТПСБП следующих требований к защите информации.

   2.2.1. Косвенные участники с доступом к ТПСБП обеспечивают выполнение требований к защите информации в соответствии с требованиями законодательства иностранного государства по вопросам защиты информации и иных правовых актов, принятых в соответствии с ним.

   2.2.2. В целях противодействия осуществлению переводов денежных средств без согласия клиента с использованием ТПСБП и обеспечения защиты информации при осуществлении переводов денежных средств с использованием ТПСБП косвенный участник с доступом к ТПСБП осуществляет формирование индикатора уровня риска операции в рамках реализуемой им системы управления рисками, применяемой для выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, и его направление в электронном сообщении участнику СБП, имеющему доступ к ТПСБП. В рамках реализации мер по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры участника СБП, имеющего доступ к ТПСБП, и (или) его клиентов, а также предотвращению случаев и (или) попыток осуществления переводов денежных средств без согласия клиента, косвенный участник с доступом к ТПСБП осуществляет: выявление информации о компьютерных атаках, проводимых с использованием идентификаторов клиента косвенного участника с доступом к ТПСБП, направленных на получение информации о клиентах участника СБП, имеющего доступ к ТПСБП, из формирующихся распоряжений о переводе денежных средств клиента косвенного участника с доступом к ТПСБП (далее - переборы идентификаторов клиентов); блокировку идентификатора клиента косвенного участника с доступом к ТПСБП, используемого для осуществления переборов идентификаторов клиентов участника СБП, имеющего доступ к ТПСБП; уведомление участника СБП, имеющего доступ к ТПСБП, о блокировке идентификатора клиента косвенного участника с доступом к ТПСБП; проверку информации о переборах идентификаторов клиентов участника СБП, имеющего доступ к ТПСБП, в том числе при получении уведомления о блокировке идентификатора клиента косвенного участника с доступ к ТПСБП; доведение до участника СБП, имеющего доступ к ТПСБП, информации о результатах проведенной проверки.

   2.3. Клиенты, не указанные в пункте 2.1, 2.2 настоящих Условий, в части требований к защите информации при обмене ЭС обеспечивают выполнение следующих требований.

   2.3.1. Клиенты должны размещать объекты информационной инфраструктуры, используемые при обмене ЭС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Клиенты должны применять меры защиты информации, реализующие минимальный уровень (уровень 3) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).

   2.3.2. Документы Клиентов, определяющие порядок обеспечения защиты информации при обмене ЭС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации. Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017: обеспечение защиты информации при управлении доступом; обеспечение защиты вычислительных сетей; контроль целостности и защищенности информационной инфраструктуры; защита от вредоносного кода; предотвращение утечек информации; управление инцидентами; защита среды виртуализации; защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств. Документы должны содержать информацию, определяющую: технологии подготовки, обработки, передачи и хранения ЭС и защищаемой информации на объектах информационной инфраструктуры; состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ЭС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения СКЗИ и управления ключевой информацией СКЗИ; план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ЭС; лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС; уполномоченных лиц.

   2.3.3. Клиенты при обмене ЭС в платежной системе Банка России с использованием СКЗИ должны обеспечивать выполнение требований, указанных в приложении 5 к настоящим Условиям.

   2.3.4. Передача и прием ЭС осуществляются Клиентом с использованием автоматизированного рабочего места обмена ЭС с платежной системой Банка России. Автоматизированное рабочее место обмена должно быть реализовано с использованием программного комплекса, предоставляемого Банком России в соответствии с Условиями передачи программного обеспечения Клиенту Банка России, размещенными на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу www.cbr.ru/development/mcirabis/.

   2.3.5. Клиенты должны обеспечивать хранение входящих и исходящих ЭС, подписанных электронной подписью, не менее пяти лет.

   2.3.6. При обмене ЭС при переводе денежных средств в рамках платежной системы Банка России Клиентом должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.

   Банк России и Клиент признают, что: внесение изменений в ЭС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи; формирование подлинной электронной подписи возможно только при использовании ключа электронной подписи владельца.

   2.3.7. Клиенты при обмене ЭС между Клиентом и Банком России должны руководствоваться Условиями управления криптографическими ключами, указанными в приложении 2 к настоящим Условиям.

   2.3.8. Организационные меры и (или) технические средства защиты информации, используемые при обмене ЭС, применяются с учетом следующих требований. Клиенты должны обеспечивать защиту ЭС, подлежащих передаче (направлению) в платежную систему Банка России: формированием ЭС и контролем реквизитов ЭС в информационной инфраструктуре Клиента в соответствии с приложением 6 к настоящим Условиям, а также использованием двух усиленных электронных подписей для контроля целостности и подтверждения подлинности ЭС; применением третьего варианта защиты, предусмотренного Альбомом электронных сообщений, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу www.cbr.ru/development/Formats/ (далее - Альбом ЭС); шифрованием ЭС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в государственном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", утвержденном постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 (М., ИПК Издательство стандартов, 1999) (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности; применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности <1>.

   <1> Абзац 6 подпункта 2.3.8 пункта 2.3 настоящих Условий вступает в силу с 1 июля 2021 года, для клиентов полевых учреждений Банка России, которые не подключены к транспортному шлюзу клиента Банка России, вступает в силу с 01 января 2025 года.

     2.3.9. Клиенты должны информировать Банк России об инцидентах.

   Информация об инцидентах должна направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае технической невозможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России информация должна направляться с использованием резервного способа взаимодействия. Клиенты должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен ЭС с использованием отчуждаемых машинных носителей информации при невозможности осуществлять обмен ЭС по каналам связи. Клиенты должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен документами на бумажном носителе при невозможности осуществлять обмен ЭС по каналам связи и на отчуждаемых машинных носителях информации. При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Клиент должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России. Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

   2.4. В случае выявления инцидента Клиент вправе направить в Банк России обращение о приостановлении обмена ЭС в порядке, указанном в приложении 3 к настоящим Условиям.

   2.5. Выполнение требований к защите информации подтверждается документами Клиента, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Клиента подписываются руководителем Клиента либо уполномоченным лицом и представляются по запросу Банка России <2> при проведении проверки выполнения требований к защите информации.

   <2> Способ представления информации указывается в запросе Банка России.

     Клиент предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте готовности, в том числе в подразделении Клиента. Клиент обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России. Клиент обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, на адрес электронной почты, указанный Банком в акте проверки, с досылкой акта проверки на бумажном носителе не позднее рабочего дня, следующего за днем его направления по электронной почте. До начала обмена ЭС Клиент представляет в электронном виде акт о готовности к обмену ЭС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, с досылкой акта о готовности к обмену ЭС с Банком России на бумажном носителе не позднее рабочего дня, следующего за днем его представления в электронном виде. В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности, Клиент обязан представить в Банк России актуальную информацию не позднее следующего рабочего дня после внесения изменений с использованием федеральной почтовой связи или личного кабинета (для Клиентов, указанных в пункте 2.1) в порядке, установленном Банком России на основании статьи 731 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", статьи 351 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (далее - личный кабинет).

   2.6. Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации, указанных в пунктах 2.3.1 - 2.3.8 настоящих Условий.

   2.7. Клиент должен обеспечить получение подтверждения от косвенного участника с доступом к ТПСБП о выполнении требований к защите информации, указанных в пункте 2.2 настоящих Условий.

   2.8. Косвенные участники Клиента до начала обмена ЭС сообщают Клиенту о готовности к обмену ЭС с Банком России. Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации и информирует Банк России о готовности косвенного участника к обмену ЭС с Банком России с использованием федеральной почтовой связи или личного кабинета.

   2.9. Клиент должен обеспечить получение Клиентом от косвенного участника Клиента информации о нарушениях требований к обеспечению защиты информации при обмене ЭС, в том числе которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств. При поступлении указанной информации от косвенных участников Клиента Клиент должен информировать Банк России в соответствии с требованиями подпункта 2.3.9 пункта 2.3 настоящих Условий.

     Глава 3. Меры по защите информации при оказании услуг по передаче финансовых сообщений с использованием СПФС

     3.1. Пользователь в части требований по защите информации при обмене ФС с использованием СПФС обеспечивает выполнение следующих требований.

   3.1.1. Пользователи должны размещать объекты информационной инфраструктуры, используемые при обмене ФС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

   Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Пользователи должны применять меры защиты информации, реализующие следующие уровни защиты информации, определенные национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017). Пользователи, являющиеся системно значимыми кредитными организациями, кредитными организациями, выполняющими функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитными организациями, являющимися значимыми на рынке платежных услуг, должны реализовывать усиленный уровень (уровень 1) защиты информации. Пользователи, являющиеся кредитными организациями, не относящимися к кредитным организациям, указанным в абзаце третьем настоящего подпункта, должны реализовывать стандартный уровень (уровень 2) защиты информации. Пользователи, являющиеся кредитными организациями, которые должны реализовывать стандартный уровень защиты информации, ставшие кредитными организациями, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце третьем настоящего подпункта. Пользователи, не являющиеся кредитными организациями, должны реализовывать минимальный уровень (уровень 3) защиты информации.

   3.1.2. Документы Пользователей, определяющие порядок обеспечения защиты информации при обмене ФС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации и состав, и порядок использования технических средств защиты информации. Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017: обеспечение защиты информации при управлении доступом; обеспечение защиты вычислительных сетей; контроль целостности и защищенности информационной инфраструктуры; защита от вредоносного кода; предотвращение утечек информации; управление инцидентами; защита среды виртуализации; защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств. Документы должны содержать информацию, определяющую: технологии подготовки, обработки, передачи и хранения ФС и защищаемой информации на объектах информационной инфраструктуры; состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ФС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств СКЗИ и управления ключевой информацией СКЗИ; план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ФС; лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС; уполномоченных лиц.

   3.1.3. Защита информации Пользователями с помощью СКЗИ при обмене ФС должна обеспечиваться в соответствии с требованиями, указанными в приложении 5 к настоящим Условиям.

   3.1.4. Передача и прием ФС Пользователя осуществляются с использованием автоматизированного рабочего места клиента Банка России - пользователя СПФС. Автоматизированное рабочее место обмена ФС должно быть реализовано с помощью программного обеспечения, предоставляемого Банком России, - программного комплекса "Автоматизированное рабочее место клиента Банка России - пользователя системы передачи финансовых сообщений".

   3.1.5. Пользователи должны обеспечивать защиту ФС при их передаче в Банк России применением первого варианта защиты, предусмотренного Альбомом ЭС.

   3.1.6. Пользователи должны обеспечивать хранение входящих и исходящих ФС, подписанных электронной подписью, не менее пяти лет.

   3.1.7. При обмене ФС между Пользователем и Банком России должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России. Банк России и Пользователь признают, что: внесение изменений в ФС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи; формирование подлинной электронной подписи возможно только при использовании ключа электронной подписи владельца.

   3.1.8. Криптографические ключи, используемые при обмене ФС между Клиентом и Банком России, должны изготавливаться Клиентом в соответствии с Условиями управления криптографическими ключами, указанными в приложении 2 к настоящим Условиям.

   3.2. В случае реализации подписания ФС в информационной инфраструктуре (автоматизированной системе) Пользователя Пользователи должны обеспечивать защиту ФС при их передаче в Банк России посредством формирования ФС и контроля реквизитов ФС в информационной инфраструктуре с учетом следующего:

   3.2.1. Контур формирования ФС и контур контроля реквизитов ФС в информационной инфраструктуре Пользователя должны быть реализованы с использованием разных рабочих мест и с привлечением отдельных работников для каждого из контуров.

   3.2.2. Объекты информационной инфраструктуры контура формирования ФС и контура контроля реквизитов ФС в информационной инфраструктуре Пользователя должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально.

   3.2.3. В контуре формирования ФС на основе первичного документа в бумажной или электронной форме, или входящего ФС должны осуществляться: формирование исходящего ФС, предназначенного для направления в СПФС; контроль реквизитов исходящего ФС, предназначенного для направления в СПФС; подписание исходящего ФС, предназначенного для направления в СПФС, электронной подписью, применяемой в контуре формирования ФС, при положительном результате контроля реквизитов; направление исходящего ФС, предназначенного для направления в СПФС Банка России, в контур контроля реквизитов ФС.

   3.2.4. В контуре контроля реквизитов ФС должны осуществляться: контроль реквизитов исходящего ФС на соответствие реквизитам первичного документа в бумажной или электронной форме, или входящего ФС; контроль на отсутствие дублирования исходящих ФС; передача исходящего ФС, при положительном результате контроля реквизитов, на автоматизированное рабочее место обмена ФС с СПФС с последующим шифрованием ФС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

   3.3. Пользователи должны информировать Банк России о нарушениях требований к обеспечению защиты информации при обмене ФС.

   Информация об инцидентах должна направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае технической невозможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России информация должна направляться с использованием резервного способа взаимодействия. При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Пользователь должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России. Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

   3.4. В случае выявления Пользователем несоблюдения им требований к защите информации приостановление оказания услуг по передаче ФС Пользователю осуществляется путем приостановления обмена через СПФС на основании заявления Пользователя о приостановлении оказания услуг по передаче ФС, содержащего сведения о несоблюдении Пользователем требований к защите информации, направленного в порядке, указанном в приложении 3 к настоящим Условиям.

   3.5. Выполнение требований к защите информации при обмене ФС подтверждается документами Пользователя, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Пользователя подписываются руководителем Пользователя либо уполномоченным лицом и представляются по запросу Банка России <3> при проведении проверки выполнения требований к защите информации.

   <3> Способ предоставления информации указывается в запросе Банка России.

     Пользователь предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте о готовности, в том числе в подразделении Пользователя. Пользователь обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.

   Пользователь обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, на адрес электронной почты, указанный в акте поверки, с досылкой акта об устранении нарушений на бумажном носителе не позднее рабочего дня, следующего за днем его направления по электронной почте.

   До начала обмена ФС Пользователь представляет в электронном виде акт о готовности к обмену ФС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, с досылкой сообщения на бумажном носителе не позднее рабочего дня, следующего за днем его представления в электронном виде.

   В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности, Пользователь обязан представить в Банк России актуальную информацию не позднее следующего рабочего дня после внесения изменений с использованием федеральной почтовой связи или личного кабинета.

   Полный текст документа, являющегося героем текущего обзора (плюс форму для заполнения) - Условия по защите информации (утв. Банком России), можно скачать, кликнув на выделенную часть текста (скачать).

   Инструкция по разархивации находится здесь.

Обсудить в форуме.

(По материалам аналитических обзоров, подготовленного компанией Консультант Плюс )

Артикс




Заказать документ




Архив: 28.06 20.06 13.06 06.06 30.05






Copyright © 2002-22 Artiks
Телефон: +7 495 721-35-86
Дизайн -
студия "Неоновый Жук"