Приложение 1

к Положению Банка России

от 17 августа 2023 года N 821-П

"О требованиях к обеспечению

защиты информации при осуществлении

переводов денежных средств

и о порядке осуществления Банком

России контроля за соблюдением

требований к обеспечению защиты

информации при осуществлении

переводов денежных средств"

ТЕХНОЛОГИЧЕСКИЕ МЕРЫ

ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ

ДЕНЕЖНЫХ СРЕДСТВ

1. В целях обеспечения защиты информации при совершении операций, связанных с осуществлением переводов денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры, операторами электронных платформ должны применяться следующие технологические меры:

1.1. Реализация механизма идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении ими действий в целях осуществления переводов денежных средств.

1.2. Реализация механизма двухфакторной аутентификации клиентов операторов по переводу денежных средств при совершении ими действий в целях осуществления переводов денежных средств.

1.3. Применение механизмов и (или) протоколов формирования и обмена электронными сообщениями, обеспечивающих защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации, в том числе аутентификацию входящих электронных сообщений.

1.4. Взаимная (двухсторонняя) аутентификация участников обмена средствами вычислительной техники операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, клиентов операторов по переводу денежных средств.

1.5. Использование электронной подписи в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ.

1.6. Использование усиленной электронной подписи в целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом.

1.7. Получение подтверждения от оператора по переводу денежных средств права клиента оператора по переводу денежных средств распоряжаться денежными средствами.

1.8. Проверка соответствия (сверка) результатов осуществления операций, связанных с переводом денежных средств, с информацией, содержащейся в электронных сообщениях.

1.9. Реализация мер, направленных на проверку правильности формирования (подготовки) электронных сообщений (двойной контроль).

1.10. Обеспечение хранения защищаемой информации, информации о событиях, подлежащих регистрации, информации об инцидентах защиты информации в течение пяти лет с даты формирования информации в неизменном виде.

1.11. Восстановление защищаемой информации в случае умышленного или случайного разрушения либо выхода из строя средств вычислительной техники.

2. Банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ при совершении операций, связанных с осуществлением переводов денежных средств, должны обеспечивать выполнение технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств на соответствующих технологических участках.

3. В рамках системы управления операционным риском при невозможности технической реализации отдельных технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств, а также с учетом экономической целесообразности банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры, операторами электронных платформ могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию угроз безопасности защищаемой информации актуальных при осуществлении переводов денежных средств.