Банком России усилены требования к обеспечению защиты информации при осуществлении операторами переводов денежных средств

В частности:

предусмотрено, что к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, необходимо относить события, которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента, неоказанию услуг по переводу денежных средств, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети Интернет;

операторам по переводу денежных средств, услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры предписано обеспечить в том числе использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации ФСТЭК России на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством РФ или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013, и ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Кроме того, установлено, что при осуществлении переводов денежных средств с использованием сети Интернет и размещении программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, оператору по переводу денежных средств необходимо обеспечить реализацию технологических мер по использованию раздельных информационно-коммуникационных технологий для подготовки электронных сообщений, содержащих распоряжения клиента на перевод денежных средств, и передачи клиентами подтверждений об исполнении распоряжений на перевод денежных средств (технологические меры по использованию раздельных технологий) или реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемые договором оператора по переводу денежных средств с клиентом, а также обеспечить возможность установления указанных ограничений по инициативе клиента.

Предусмотрены требования к реализуемым оператором по переводу денежных средств технологическим мерам по использованию раздельных технологий, перечень ограничений, которые могут применяться при операциях по осуществлению переводов денежных средств.

Установлено также, что оператор по переводу денежных средств, оператор услуг платежной инфраструктуры должны осуществлять информирование Банка России, в том числе о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе включенных в перечень типов инцидентов.

Указание вступает в силу с 1 июля 2018 года, за исключением отдельных положений, для которых установлены иные сроки вступления их в силу.