Глава 2. Меры по защите информации при осуществлении переводов денежных средств в платежной системе Банка России

2.1. Клиенты, являющиеся кредитными организациями (их филиалами), имеющие доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде (за исключением централизованных филиалов) и осуществлению обмена ЭС с прямым участником - клиентом Банка России, заключившим с Банком России договор об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России, обеспечивают выполнение требований подпунктов 2.2.4 - 2.2.6 пункта 2.2 и приложения 5 к настоящим Условиям.

2.2. Клиенты, не указанные в пункте 2.1 настоящих Условий, в части требований к защите информации при обмене ЭС обеспечивают выполнение следующих требований.

2.2.1. Клиенты должны размещать объекты информационной инфраструктуры, используемые при обмене ЭС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Клиенты должны применять меры защиты информации, реализующие минимальный уровень (уровень 3) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017) <1>.

--------------------------------

<1> Подпункт 2.2.1 пункта 2.2 настоящих Условий вступает в силу с 1 июля 2021 года.

2.2.2. Документы Клиентов, определяющие порядок обеспечения защиты информации при обмене ЭС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.

Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017 <2>:

--------------------------------

<2> Абзац второй подпункта 2.2.2 пункта 2.2 настоящих Условий вступает в силу с 1 июля 2021 года.

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами;

защита среды виртуализации;

защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

Документы должны содержать информацию, определяющую:

технологии подготовки, обработки, передачи и хранения ЭС и защищаемой информации на объектах информационной инфраструктуры;

состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ЭС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения СКЗИ и управления ключевой информацией СКЗИ;

план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ЭС;

лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС;

уполномоченных лиц.

2.2.3. Клиенты при обмене ЭС в платежной системе Банка России с использованием СКЗИ должны обеспечивать выполнение требований, указанных в приложении 5 к настоящим Условиям.

2.2.4. Передача и прием ЭС осуществляются Клиентом с использованием автоматизированного рабочего места обмена ЭС с платежной системой Банка России. Автоматизированное рабочее место обмена должно быть реализовано с использованием программного комплекса, предоставляемого Банком России в соответствии с Условиями передачи программного обеспечения Клиенту Банка России, размещенными на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу www.cbr.ru/development/mcirabis/.

2.2.5. Клиенты должны обеспечивать хранение входящих и исходящих ЭС, подписанных электронной подписью, не менее пяти лет.

2.2.6. При обмене ЭС при переводе денежных средств в рамках платежной системы Банка России Клиентом должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.

Банк России и Клиент признают, что:

внесение изменений в ЭС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи;

формирование подлинной электронной подписи возможно только при использовании ключа электронной подписи владельца.

2.2.7. Клиенты при обмене ЭС между Клиентом и Банком России должны руководствоваться Условиями управления криптографическими ключами, указанными в приложении 2 к настоящим Условиям.

2.2.8. Организационные меры и (или) технические средства защиты информации, используемые при обмене ЭС, применяются с учетом следующих требований.

Клиенты должны обеспечивать защиту ЭС, подлежащих передаче (направлению) в платежную систему Банка России:

формированием ЭС и контролем реквизитов ЭС в информационной инфраструктуре Клиента в соответствии с приложением 6 к настоящим Условиям, а также использованием двух усиленных электронных подписей для контроля целостности и подтверждения подлинности ЭС;

применением третьего варианта защиты, предусмотренного Альбомом унифицированных форматов электронных банковских сообщений, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу www.cbr.ru/development/Formats/ (далее - Альбом УФЭБС);

шифрованием ЭС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в государственном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", утвержденном постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 (М., ИПК Издательство стандартов, 1999) (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности <3>.

--------------------------------

<3> Абзац 6 подпункта 2.2.8 пункта 2.2 настоящих Условий вступает в силу с 1 июля 2021 года, для клиентов полевых учреждений Банка России, которые не подключены к транспортному шлюзу клиента Банка России, вступает в силу с 1 января 2025 года.

2.2.9. Клиенты должны информировать Банк России об инцидентах.

Информация об инцидентах должна направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России информация должна направляться с использованием резервного способа взаимодействия.

Клиенты должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен ЭС с использованием отчуждаемых машинных носителей информации при невозможности осуществлять обмен ЭС по каналам связи.

Клиенты должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен документами на бумажном носителе при невозможности осуществлять обмен ЭС по каналам связи и на отчуждаемых машинных носителях информации.

При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Клиент должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России.

Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

2.3. В случае выявления инцидента Клиент вправе направить в Банк России обращение о приостановлении (возобновлении) обмена ЭС в порядке, указанном в приложении 3 к настоящим Условиям.

2.4. Выполнение требований к защите информации подтверждается документами Клиента, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Клиента подписываются руководителем Клиента либо уполномоченным лицом и представляются по запросу Банка России <4> при проведении проверки выполнения требований к защите информации.

--------------------------------

<4> Способ представления информации указывается в запросе Банка России.

Клиент предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте готовности, в том числе в подразделении Клиента.

Клиент обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.

Клиент обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, на адрес электронной почты, указанный Банком в акте проверки, с досылкой акта проверки на бумажном носителе не позднее рабочего дня, следующего за днем его направления по электронной почте.

До начала обмена ЭС Клиент представляет в электронном виде акт о готовности к обмену ЭС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, с досылкой акта о готовности к обмену ЭС с Банком России на бумажном носителе не позднее рабочего дня, следующего за днем его представления в электронном виде.

В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности, Клиент обязан представить в Банк России актуальную информацию не позднее следующего рабочего дня после внесения изменений с использованием федеральной почтовой связи или личного кабинета (для Клиентов, указанных в пункте 2.1) в соответствии с Указанием Банка России от 03.11.2017 N 4600-У "О порядке взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и другими участниками информационного обмена при использовании ими информационных ресурсов Банка России, в том числе личного кабинета" (далее - личный кабинет).

2.5. Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации, указанных в пунктах 2.2.1 - 2.2.8 настоящих Условий.

2.6. Косвенные участники Клиента до начала обмена ЭС сообщают Клиенту о готовности к обмену ЭС с Банком России.

Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации и информирует Банк России о готовности косвенного участника к обмену ЭС с Банком России с использованием федеральной почтовой связи или личного кабинета.

2.7. Клиент должен обеспечить получение Клиентом от косвенного участника Клиента информации о нарушениях требований к обеспечению защиты информации при обмене ЭС, в том числе которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств.

При поступлении указанной информации от косвенных участников Клиента Клиент должен информировать Банк России в соответствии с требованиями подпункта 2.2.9 пункта 2.2 настоящих Условий.