Глава 6. Требования к обеспечению операторами услуг платежной инфраструктуры (при осуществлении деятельности операционного центра, платежного клирингового центра и расчетного центра) защиты информации при осуществлении переводов денежных средств

6.1. Операторы услуг платежной инфраструктуры, осуществляющие деятельность операционных центров (далее - ОЦ), при предоставлении операционных услуг должны обеспечивать защиту информации при обмене электронными сообщениями между операторами по переводу денежных средств, между операторами по переводу денежных средств и их клиентами, операторами услуг платежной инфраструктуры, осуществляющими деятельность платежных клиринговых центров (далее - ПКЦ), операторами услуг платежной инфраструктуры, осуществляющими деятельность расчетных центров (далее - РЦ), между ПКЦ и РЦ.

6.2. ПКЦ при предоставлении услуг платежного клиринга должен обеспечивать защиту информации при осуществлении следующих операций:

выполнение процедур приема к исполнению электронных сообщений операторов по переводу денежных средств, включая проверку соответствия электронных сообщений операторов по переводу денежных средств, определение достаточности денежных средств для исполнения электронных сообщений операторов по переводу денежных средств и определение платежных клиринговых позиций;

передача РЦ для исполнения электронных сообщений ПКЦ, принятых электронных сообщений операторов по переводу денежных средств;

направление операторам по переводу денежных средств извещений (подтверждений), касающихся приема к исполнению электронных сообщений операторов по переводу денежных средств, а также передача извещений (подтверждений), касающихся исполнения электронных сообщений операторов по переводу денежных средств.

6.3. РЦ должен обеспечивать защиту информации при исполнении поступивших от ПКЦ электронных сообщений ПКЦ, операторов по переводу денежных средств посредством списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств.

6.4. Операторы услуг платежной инфраструктуры при осуществлении операций, указанных в пунктах 6.1 - 6.3 настоящего Положения, в целях реализации требований к обеспечению защиты информации должны обеспечить защиту защищаемой информации, указанной в графе 3 строк 6 - 10 приложения 2 к настоящему Положению.

6.5. Операторы услуг платежной инфраструктуры в целях реализации требований к обеспечению защиты информации должны принять меры защиты информации, посредством выполнения которых обеспечивается реализация следующих уровней защиты информации для объектов информационной инфраструктуры, предусмотренных пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017:

операторы услуг платежной инфраструктуры, оказывающие услуги платежной инфраструктуры в рамках системно значимых платежных систем, - усиленный уровень защиты информации;

операторы услуг платежной инфраструктуры, не указанные в абзаце втором настоящего пункта, - стандартный уровень защиты информации.

6.6. Операторы услуг платежной инфраструктуры, указанные в абзаце третьем пункта 6.5 настоящего Положения, ставшие операторами услуг платежной инфраструктуры, указанными в абзаце втором пункта 6.5 настоящего Положения, не позднее восемнадцати месяцев после того, как стали операторами услуг платежной инфраструктуры, указанными в абзаце втором пункта 6.5 настоящего Положения, должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация усиленного уровня защиты информации.

6.7. Операторы услуг платежной инфраструктуры должны проводить оценку соответствия защиты информации не реже одного раза в два года.

6.8. Операторы услуг платежной инфраструктуры должны реализовать уровень соответствия защиты информации не ниже четвертого, предусмотренного подпунктом "д" пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018.

6.9. Операторы услуг платежной инфраструктуры, указанные в абзаце третьем пункта 6.5 настоящего Положения, должны самостоятельно определять необходимость сертификации или проведения оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения по требованиям к ОУД не ниже чем ОУД 4, предусмотренного пунктом 7.6 раздела 7 ГОСТ Р ИСО/МЭК 15408-3-2013.

6.10. В случае принятия решения о необходимости проведении сертификации прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения операторы услуг платежной инфраструктуры, указанные в абзаце втором пункта 6.5 настоящего Положения, должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76.

В случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения операторы услуг платежной инфраструктуры, указанные в абзаце третьем пункта 6.5 настоящего Положения, должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения не ниже 5 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76.

6.11. Операторы услуг платежной инфраструктуры при осуществлении операций, указанных в пунктах 6.1 - 6.3 настоящего Положения, должны реализовать технологические меры по обеспечению защиты информации в соответствии с приложениями 1 и 2 к настоящему Положению.