Глава 3. Меры по защите информации при оказании услуг по передаче финансовых сообщений с использованием СПФС

3.1. Пользователь в части требований по защите информации при обмене ФС с использованием СПФС обеспечивает выполнение следующих требований.

3.1.1. Пользователи должны размещать объекты информационной инфраструктуры, используемые при обмене ФС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Пользователи должны применять меры защиты информации, реализующие следующие уровни защиты информации, определенные национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).

Пользователи, являющиеся системно значимыми кредитными организациями, кредитными организациями, выполняющими функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитными организациями, являющимися значимыми на рынке платежных услуг, должны реализовывать усиленный уровень (уровень 1) защиты информации.

Пользователи, являющиеся кредитными организациями, не относящимися к кредитным организациям, указанным в абзаце третьем настоящего подпункта, должны реализовывать стандартный уровень (уровень 2) защиты информации.

Пользователи, являющиеся кредитными организациями, которые должны реализовывать стандартный уровень защиты информации, ставшие кредитными организациями, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце третьем настоящего подпункта.

Пользователи, не являющиеся кредитными организациями, должны реализовывать минимальный уровень (уровень 3) защиты информации.

3.1.2. Документы Пользователей, определяющие порядок обеспечения защиты информации при обмене ФС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации и состав, и порядок использования технических средств защиты информации.

Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами;

защита среды виртуализации;

защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

Документы должны содержать информацию, определяющую:

технологии подготовки, обработки, передачи и хранения ФС и защищаемой информации на объектах информационной инфраструктуры;

состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ФС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств СКЗИ и управления ключевой информацией СКЗИ;

план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ФС;

лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС;

уполномоченных лиц.

3.1.3. Защита информации Пользователями с помощью СКЗИ при обмене ФС должна обеспечиваться в соответствии с требованиями, указанными в приложении 5 к настоящим Условиям.

3.1.4. Передача и прием ФС Пользователя осуществляются с использованием автоматизированного рабочего места клиента Банка России - пользователя СПФС.

Автоматизированное рабочее место обмена ФС должно быть реализовано с помощью программного обеспечения, предоставляемого Банком России, - программного комплекса "Автоматизированное рабочее место клиента Банка России - пользователя системы передачи финансовых сообщений".

3.1.5. Пользователи должны обеспечивать защиту ФС при их передаче в Банк России применением первого варианта защиты, предусмотренного Альбомом ЭС.

3.1.6. Пользователи должны обеспечивать хранение входящих и исходящих ФС, подписанных электронной подписью, не менее пяти лет.

3.1.7. При обмене ФС между Пользователем и Банком России должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.

Банк России и Пользователь признают, что:

внесение изменений в ФС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи;

формирование подлинной электронной подписи возможно только при использовании ключа электронной подписи владельца.

3.1.8. Криптографические ключи, используемые при обмене ФС между Клиентом и Банком России, должны изготавливаться Клиентом в соответствии с Условиями управления криптографическими ключами, указанными в приложении 2 к настоящим Условиям.

3.2. В случае реализации подписания ФС в информационной инфраструктуре (автоматизированной системе) Пользователя Пользователи должны обеспечивать защиту ФС при их передаче в Банк России посредством формирования ФС и контроля реквизитов ФС в информационной инфраструктуре с учетом следующего:

3.2.1. Контур формирования ФС и контур контроля реквизитов ФС в информационной инфраструктуре Пользователя должны быть реализованы с использованием разных рабочих мест и с привлечением отдельных работников для каждого из контуров.

3.2.2. Объекты информационной инфраструктуры контура формирования ФС и контура контроля реквизитов ФС в информационной инфраструктуре Пользователя должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально.

3.2.3. В контуре формирования ФС на основе первичного документа в бумажной или электронной форме, или входящего ФС должны осуществляться:

формирование исходящего ФС, предназначенного для направления в СПФС;

контроль реквизитов исходящего ФС, предназначенного для направления в СПФС;

подписание исходящего ФС, предназначенного для направления в СПФС, электронной подписью, применяемой в контуре формирования ФС, при положительном результате контроля реквизитов;

направление исходящего ФС, предназначенного для направления в СПФС Банка России, в контур контроля реквизитов ФС.

3.2.4. В контуре контроля реквизитов ФС должны осуществляться:

контроль реквизитов исходящего ФС на соответствие реквизитам первичного документа в бумажной или электронной форме, или входящего ФС;

контроль на отсутствие дублирования исходящих ФС;

передача исходящего ФС, при положительном результате контроля реквизитов, на автоматизированное рабочее место обмена ФС с СПФС с последующим шифрованием ФС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

3.3. Пользователи должны информировать Банк России о нарушениях требований к обеспечению защиты информации при обмене ФС.

Информация об инцидентах должна направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России информация должна направляться с использованием резервного способа взаимодействия.

При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Пользователь должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России.

Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

3.4. В случае выявления Пользователем несоблюдения им требований к защите информации приостановление оказания услуг по передаче ФС Пользователю осуществляется путем приостановления обмена через СПФС на основании заявления Пользователя о приостановлении оказания услуг по передаче ФС, содержащего сведения о несоблюдении Пользователем требований к защите информации, направленного в порядке, указанном в приложении 3 к настоящим Условиям.

3.5. Выполнение требований к защите информации при обмене ФС подтверждается документами Пользователя, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Пользователя подписываются руководителем Пользователя либо уполномоченным лицом и представляются по запросу Банка России <3> при проведении проверки выполнения требований к защите информации.

--------------------------------

<3> Способ предоставления информации указывается в запросе Банка России.

Пользователь предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте о готовности, в том числе в подразделении Пользователя.

Пользователь обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.

Пользователь обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, на адрес электронной почты, указанный в акте поверки, с досылкой акта об устранении нарушений на бумажном носителе не позднее рабочего дня, следующего за днем его направления по электронной почте.

До начала обмена ФС Пользователь представляет в электронном виде акт о готовности к обмену ФС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, с досылкой сообщения на бумажном носителе не позднее рабочего дня, следующего за днем его представления в электронном виде.

В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности, Пользователь обязан представить в Банк России актуальную информацию не позднее следующего рабочего дня после внесения изменений с использованием федеральной почтовой связи или личного кабинета.