Глава 2. Меры по защите информации при осуществлении переводов денежных средств в платежной системе Банка России

2.1. Клиенты, являющиеся кредитными организациями (их филиалами), имеющие доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде (за исключением централизованных филиалов) и осуществлению обмена ЭС с прямым участником - клиентом Банка России, заключившим с Банком России договор об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России, обеспечивают выполнение требований подпунктов 2.3.4 - 2.3.6 пункта 2.3 и приложения 5 к настоящим Условиям.

2.2. Клиенты, являющиеся участниками СБП с доступом к ТПСБП, обеспечивают включение в договор с косвенными участниками с доступом к ТПСБП следующих требований к защите информации.

2.2.1. Косвенные участники с доступом к ТПСБП обеспечивают выполнение требований к защите информации в соответствии с требованиями законодательства иностранного государства по вопросам защиты информации и иных правовых актов, принятых в соответствии с ним.

2.2.2. В целях противодействия осуществлению переводов денежных средств без согласия клиента с использованием ТПСБП и обеспечения защиты информации при осуществлении переводов денежных средств с использованием ТПСБП косвенный участник с доступом к ТПСБП осуществляет формирование индикатора уровня риска операции в рамках реализуемой им системы управления рисками, применяемой для выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, и его направление в электронном сообщении участнику СБП, имеющему доступ к ТПСБП.

В рамках реализации мер по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры участника СБП, имеющего доступ к ТПСБП, и (или) его клиентов, а также предотвращению случаев и (или) попыток осуществления переводов денежных средств без согласия клиента, косвенный участник с доступом к ТПСБП осуществляет:

выявление информации о компьютерных атаках, проводимых с использованием идентификаторов клиента косвенного участника с доступом к ТПСБП, направленных на получение информации о клиентах участника СБП, имеющего доступ к ТПСБП, из формирующихся распоряжений о переводе денежных средств клиента косвенного участника с доступом к ТПСБП (далее - переборы идентификаторов клиентов);

блокировку идентификатора клиента косвенного участника с доступом к ТПСБП, используемого для осуществления переборов идентификаторов клиентов участника СБП, имеющего доступ к ТПСБП;

уведомление участника СБП, имеющего доступ к ТПСБП, о блокировке идентификатора клиента косвенного участника с доступом к ТПСБП;

проверку информации о переборах идентификаторов клиентов участника СБП, имеющего доступ к ТПСБП, в том числе при получении уведомления о блокировке идентификатора клиента косвенного участника с доступ к ТПСБП;

доведение до участника СБП, имеющего доступ к ТПСБП, информации о результатах проведенной проверки.

2.3. Клиенты, не указанные в пункте 2.1, 2.2 настоящих Условий, в части требований к защите информации при обмене ЭС обеспечивают выполнение следующих требований.

2.3.1. Клиенты должны размещать объекты информационной инфраструктуры, используемые при обмене ЭС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Клиенты должны применять меры защиты информации, реализующие минимальный уровень (уровень 3) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).

2.3.2. Документы Клиентов, определяющие порядок обеспечения защиты информации при обмене ЭС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.

Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами;

защита среды виртуализации;

защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

Документы должны содержать информацию, определяющую:

технологии подготовки, обработки, передачи и хранения ЭС и защищаемой информации на объектах информационной инфраструктуры;

состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ЭС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения СКЗИ и управления ключевой информацией СКЗИ;

план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ЭС;

лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС;

уполномоченных лиц.

2.3.3. Клиенты при обмене ЭС в платежной системе Банка России с использованием СКЗИ должны обеспечивать выполнение требований, указанных в приложении 5 к настоящим Условиям.

2.3.4. Передача и прием ЭС осуществляются Клиентом с использованием автоматизированного рабочего места обмена ЭС с платежной системой Банка России. Автоматизированное рабочее место обмена должно быть реализовано с использованием программного комплекса, предоставляемого Банком России в соответствии с Условиями передачи программного обеспечения Клиенту Банка России, размещенными на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу www.cbr.ru/development/mcirabis/.

2.3.5. Клиенты должны обеспечивать хранение входящих и исходящих ЭС, подписанных электронной подписью, не менее пяти лет.

2.3.6. При обмене ЭС при переводе денежных средств в рамках платежной системы Банка России Клиентом должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.

Банк России и Клиент признают, что:

внесение изменений в ЭС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи;

формирование подлинной электронной подписи возможно только при использовании ключа электронной подписи владельца.

2.3.7. Клиенты при обмене ЭС между Клиентом и Банком России должны руководствоваться Условиями управления криптографическими ключами, указанными в приложении 2 к настоящим Условиям.

2.3.8. Организационные меры и (или) технические средства защиты информации, используемые при обмене ЭС, применяются с учетом следующих требований.

Клиенты должны обеспечивать защиту ЭС, подлежащих передаче (направлению) в платежную систему Банка России:

формированием ЭС и контролем реквизитов ЭС в информационной инфраструктуре Клиента в соответствии с приложением 6 к настоящим Условиям, а также использованием двух усиленных электронных подписей для контроля целостности и подтверждения подлинности ЭС;

применением третьего варианта защиты, предусмотренного Альбомом электронных сообщений, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу www.cbr.ru/development/Formats/ (далее - Альбом ЭС);

шифрованием ЭС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в государственном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", утвержденном постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 (М., ИПК Издательство стандартов, 1999) (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности <1>.

--------------------------------

<1> Абзац 6 подпункта 2.3.8 пункта 2.3 настоящих Условий вступает в силу с 1 июля 2021 года, для клиентов полевых учреждений Банка России, которые не подключены к транспортному шлюзу клиента Банка России, вступает в силу с 01 января 2025 года.

2.3.9. Клиенты должны информировать Банк России об инцидентах.

Информация об инцидентах должна направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России информация должна направляться с использованием резервного способа взаимодействия.

Клиенты должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен ЭС с использованием отчуждаемых машинных носителей информации при невозможности осуществлять обмен ЭС по каналам связи.

Клиенты должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен документами на бумажном носителе при невозможности осуществлять обмен ЭС по каналам связи и на отчуждаемых машинных носителях информации.

При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Клиент должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России.

Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

2.4. В случае выявления инцидента Клиент вправе направить в Банк России обращение о приостановлении обмена ЭС в порядке, указанном в приложении 3 к настоящим Условиям.

2.5. Выполнение требований к защите информации подтверждается документами Клиента, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Клиента подписываются руководителем Клиента либо уполномоченным лицом и представляются по запросу Банка России <2> при проведении проверки выполнения требований к защите информации.

--------------------------------

<2> Способ представления информации указывается в запросе Банка России.

Клиент предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте готовности, в том числе в подразделении Клиента.

Клиент обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.

Клиент обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, на адрес электронной почты, указанный Банком в акте проверки, с досылкой акта проверки на бумажном носителе не позднее рабочего дня, следующего за днем его направления по электронной почте.

До начала обмена ЭС Клиент представляет в электронном виде акт о готовности к обмену ЭС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, с досылкой акта о готовности к обмену ЭС с Банком России на бумажном носителе не позднее рабочего дня, следующего за днем его представления в электронном виде.

В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности, Клиент обязан представить в Банк России актуальную информацию не позднее следующего рабочего дня после внесения изменений с использованием федеральной почтовой связи или личного кабинета (для Клиентов, указанных в пункте 2.1) в порядке, установленном Банком России на основании статьи 731 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", статьи 351 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (далее - личный кабинет).

2.6. Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации, указанных в пунктах 2.3.1 - 2.3.8 настоящих Условий.

2.7.

Клиент должен обеспечить получение подтверждения от косвенного участника с доступом к ТПСБП о выполнении требований к защите информации, указанных в пункте 2.2 настоящих Условий.

2.8. Косвенные участники Клиента до начала обмена ЭС сообщают Клиенту о готовности к обмену ЭС с Банком России.

Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации и информирует Банк России о готовности косвенного участника к обмену ЭС с Банком России с использованием федеральной почтовой связи или личного кабинета.

2.9. Клиент должен обеспечить получение Клиентом от косвенного участника Клиента информации о нарушениях требований к обеспечению защиты информации при обмене ЭС, в том числе которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств.

При поступлении указанной информации от косвенных участников Клиента Клиент должен информировать Банк России в соответствии с требованиями подпункта 2.3.9 пункта 2.3 настоящих Условий.