ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОЛОЖЕНИЕ

от 17 августа 2023 года N 821-П

О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

Настоящее Положение на основании части 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" устанавливает требования к обеспечению операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, поставщиками платежных приложений, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ защиты информации при осуществлении переводов денежных средств, а также порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в национальной платежной системе.

Глава 1. Общие положения

1.1. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ в целях реализации требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации), применяемых в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечивается при осуществлении переводов денежных средств операторами по переводу денежных средств (далее - объекты информационной инфраструктуры), должны:

применять меры защиты информации, посредством выполнения которых обеспечивается реализация уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения информации, указанной в абзаце первом пункта 1.3 настоящего Положения, в целях осуществления переводов денежных средств, установленных пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст (далее - ГОСТ Р 57580.1-2017);

_______________

М., ФГУП "Стандартинформ", 2017.

проводить ежегодное тестирование на предмет наличия возможности проникновения в информационную инфраструктуру и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, в том числе в соответствии с пунктами 3.8 и 3.9 настоящего Положения;

проводить оценку соответствия уровням защиты информации (далее - оценка соответствия защиты информации) в соответствии с положениями раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года N 156-ст (далее - ГОСТ Р 57580.2-2018), и пунктами 2.3, 2.4, 3.6-3.9, 4.4, 4.5, 6.7 и 6.8 настоящего Положения.

_______________

М., ФГУП "Стандартинформ", 2018.

Оценка соответствия защиты информации должна осуществляться с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации для проведения работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 (далее - проверяющая организация).

В целях обеспечения защиты информации операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ должны хранить результат оценки соответствия защиты информации, подготовленный проверяющей организацией в виде отчета, не менее пяти лет начиная с даты его выдачи проверяющей организацией.

1.2. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, указанные в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций" (далее - Положение Банка России от 20 апреля 2021 года N 757-П), должны выполнять требования к обеспечению защиты информации, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений, в том числе в соответствии с пунктами 2.5, 3.8-3.10, 4.6, 6.9 и 6.10 настоящего Положения.

_______________

Зарегистрировано Минюстом России 15 июня 2021 года, регистрационный N 63880.

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, а также операторы электронных платформ, указанные в абзаце первом настоящего пункта, должны использовать прошедшие сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю в соответствии с порядком, установленным постановлением Правительства Российской Федерации от 26 июня 1995 года N 608 "О сертификации средств защиты информации" (далее - сертификация), или прошедшие оценку соответствия по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4, предусмотренного пунктом 7.6 раздела 7 национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст (далее соответственно - оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения, ГОСТ Р ИСО/МЭК 15408-3-2013), и обрабатывающие информацию, указанную в абзаце первом пункта 1.3 настоящего Положения:

_______________

М., ФГУП "Стандартинформ", 2014.

прикладное программное обеспечение автоматизированных систем и приложений, распространяемых клиентам операторов по переводу денежных средств для совершения действий, непосредственно связанных с осуществлением переводов денежных средств;

программное обеспечение, эксплуатируемое на участках, используемых для приема документов, связанных с осуществлением переводов денежных средств, составленных в электронном виде (далее - электронные сообщения), к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет").

По решению операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, операторов электронных платформ, указанных в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П, оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации.

1.3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ должны выполнять требования к обеспечению защиты информации, применяемые в отношении технологии обработки информации, подготавливаемой, обрабатываемой и хранимой на участках идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий в целях осуществления переводов денежных средств; формирования (подготовки), передачи и приема электронных сообщений; удостоверения права клиентов операторов по переводу денежных средств распоряжаться денежными средствами; осуществления переводов денежных средств; учета результатов осуществления переводов денежных средств; хранения электронных сообщений и информации об осуществленных переводах денежных средств (далее соответственно - защищаемая информация, технологические участки).

Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ в целях реализации требований к обеспечению защиты защищаемой информации на технологических участках должны обеспечивать:

конфиденциальность, целостность, доступность и достоверность защищаемой информации;

регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации;

регистрацию результатов совершения действий, связанных с осуществлением доступа к защищаемой информации.

1.4. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ должны регистрировать результаты совершения следующих действий, связанных с осуществлением доступа к защищаемой информации:

идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий в целях осуществления переводов денежных средств;

приема электронных сообщений от клиентов операторов по переводу денежных средств;

приема (передачи) электронных сообщений при взаимодействии операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, операторов электронных платформ при осуществлении переводов денежных средств, в том числе для удостоверения права клиентов операторов по переводу денежных средств распоряжаться денежными средствами и для учета результатов переводов денежных средств;

реализации мер, установленных подпунктом 1.9 пункта 1 приложения 1 к настоящему Положению;

осуществления доступа работников к защищаемой информации, выполняемого с использованием автоматизированных систем, программного обеспечения;

осуществления действий клиентов операторов по переводу денежных средств с защищаемой информацией, выполняемых с использованием автоматизированных систем, программного обеспечения.

1.4.1. Регистрации подлежат следующие данные о действиях, выполняемых работниками с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) совершения работником действий с защищаемой информацией;

присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;

код, соответствующий технологическому участку;

результат совершения работником действия с защищаемой информацией (успешно или неуспешно);

информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения работником действий с защищаемой информацией.

1.4.2. Регистрации подлежат следующие данные о действиях, выполняемых клиентами операторов по переводу денежных средств с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) совершения клиентом оператора по переводу денежных средств действий с защищаемой информацией;

присвоенный клиенту оператора по переводу денежных средств идентификатор, позволяющий установить клиента оператора по переводу денежных средств в автоматизированной системе, программном обеспечении;

код, соответствующий технологическому участку;

результат совершения клиентом оператора по переводу денежных средств действия с защищаемой информацией (успешно или неуспешно);

информация, используемая для идентификации устройств, при помощи которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению в целях совершения клиентом оператора по переводу денежных средств действий с защищаемой информацией.

1.5. Операторы по переводу денежных средств, операторы услуг платежной инфраструктуры в целях реализации требований к обеспечению защиты информации, применяемых в отношении информирования Банка России об инцидентах (событиях), связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе включенных в перечень типов инцидентов, согласованный федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации в соответствии с пунктом 5 части 4 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (далее - Федеральный закон от 26 июля 2017 года N 187-ФЗ), и размещаемый Банком России на официальном сайте Банка России в сети "Интернет" (далее соответственно - инциденты защиты информации, перечень типов инцидентов), должны осуществлять информирование Банка России:

о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, принятых мерах и проведенных мероприятиях по реагированию на выявленные оператором по переводу денежных средств, оператором услуг платежной инфраструктуры или Банком России инциденты защиты информации, включенные в перечень типов инцидентов, а также о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на официальных сайтах в сети "Интернет", выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до дня проведения такого мероприятия;

о сайтах в сети "Интернет", которые используются операторами по переводу денежных средств, операторами услуг платежной инфраструктуры для осуществления их деятельности, принадлежащих им и (или) принадлежащих иной организации, но администрируемых в интересах операторов по переводу денежных средств, операторов услуг платежной инфраструктуры на основании договора возмездного оказания услуг.

Информирование операторами по переводу денежных средств, операторами услуг платежной инфраструктуры осуществляется посредством представления в Банк России сведений, указанных в абзацах втором и третьем настоящего пункта. Информация о форме и сроке представления указанных сведений подлежит согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, согласно пункту 6 части 4 статьи 6 Федерального закона от 26 июля 2017 года N 187-ФЗ и размещается на официальном сайте Банка России в сети "Интернет".

1.6. В случае если защищаемая информация содержит персональные данные, операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон от 27 июля 2006 года N 152-ФЗ).