Глава 2. Меры по защите информации при осуществлении переводов денежных средств в платежной системе Банка России

2.1. Клиенты, являющиеся кредитными организациями (их филиалами), имеющие доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде (за исключением централизованных филиалов) обеспечивают выполнение требований подпунктов 2.3.4 - 2.3.6 пункта 2.3 и приложения 6 к настоящим Условиям.

2.2. Клиенты, являющиеся участниками СБП с доступом к ТПСБП, обеспечивают включение в договор с косвенными участниками с доступом к ТПСБП следующих требований к защите информации.

2.2.1. Косвенные участники с доступом к ТПСБП обеспечивают выполнение требований к защите информации в соответствии с требованиями законодательства иностранного государства по вопросам защиты информации и иных правовых актов, принятых в соответствии с ним.

2.2.2. В целях противодействия осуществлению переводов денежных средств без согласия клиента с использованием ТПСБП и обеспечения защиты информации при осуществлении переводов денежных средств с использованием ТПСБП косвенный участник с доступом к ТПСБП осуществляет формирование индикатора уровня риска операции в рамках реализуемой им системы управления рисками, применяемой для выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, и его направление в ЭС участнику СБП, имеющему доступ к ТПСБП.

В рамках реализации мер по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры участника СБП, имеющего доступ к ТПСБП, и (или) его клиентов, а также предотвращению случаев и (или) попыток осуществления переводов денежных средств без согласия клиента, косвенный участник с доступом к ТПСБП осуществляет:

выявление информации о компьютерных атаках, проводимых с использованием идентификаторов клиента косвенного участника с доступом к ТПСБП, направленных на получение информации о клиентах участника СБП, имеющего доступ к ТПСБП, из формирующихся распоряжений о переводе денежных средств клиента косвенного участника с доступом к ТПСБП (далее - переборы идентификаторов клиентов);

блокировку идентификатора клиента косвенного участника с доступом к ТПСБП, используемого для осуществления переборов идентификаторов клиентов участника СБП, имеющего доступ к ТПСБП;

уведомление участника СБП, имеющего доступ к ТПСБП, о блокировке идентификатора клиента косвенного участника с доступом к ТПСБП;

проверку информации о переборах идентификаторов клиентов участника СБП, имеющего доступ к ТПСБП, в том числе при получении уведомления о блокировке идентификатора клиента косвенного участника с доступом к ТПСБП;

доведение до участника СБП, имеющего доступ к ТПСБП, информации о результатах проведенной проверки.

2.3. Клиенты, не указанные в пунктах 2.1, 2.2 настоящих Условий, в части требований к защите информации при обмене ЭС обеспечивают выполнение следующих требований.

2.3.1. Клиенты должны размещать объекты информационной инфраструктуры, используемые при обмене ЭС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Размещение в сегментах (группах сегментов) вычислительных сетей, в которых расположены объекты информационной инфраструктуры, используемые при обмене ЭС, иных объектов информационной инфраструктуры не допускается.

АРМ обмена должно быть реализовано в выделенном (отдельном) сегменте (группах сегментов) вычислительных сетей с использованием отдельного рабочего места.

Контур формирования ЭС и контур контроля реквизитов ЭС в информационной инфраструктуре Клиента должны быть реализованы с привлечением отдельных работников для выполнения функций операторов, администраторов и администраторов информационной безопасности в каждом из контуров.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Клиенты должны применять меры защиты информации, реализующие минимальный уровень (уровень 3) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).

2.3.2. Документы Клиентов, определяющие порядок обеспечения защиты информации при обмене ЭС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.

Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами;

защита среды виртуализации;

защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

Документы должны содержать информацию, определяющую:

технологии подготовки, обработки, передачи и хранения ЭС и защищаемой информации на объектах информационной инфраструктуры;

состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ЭС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения СКЗИ и управления ключевой информацией СКЗИ;

план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ЭС;

лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС;

уполномоченных лиц.

2.3.3. Клиенты при обмене ЭС в платежной системе Банка России с использованием СКЗИ должны обеспечивать выполнение требований, указанных в приложении 6 к настоящим Условиям.

2.3.4. Передача и прием ЭС осуществляются Клиентом с использованием автоматизированного рабочего места обмена ЭС с платежной системой Банка России. Автоматизированное рабочее место обмена должно быть реализовано с использованием программного комплекса, предоставляемого Банком России в соответствии с Условиями передачи программного обеспечения Клиенту Банка России, размещенными на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://www.cbr.ru/development/mcirabis/.

2.3.5. Клиенты должны обеспечивать хранение входящих и исходящих ЭС, подписанных электронной подписью, не менее пяти лет.

2.3.6. При обмене ЭС при переводе денежных средств в рамках платежной системы Банка России Клиентом должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.

Банк России и Клиент признают, что:

внесение изменений в ЭС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи;

формирование подлинной электронной подписи возможно только при использовании ключа электронной подписи владельца.

2.3.7. Клиенты при обмене ЭС между Клиентом и Банком России должны руководствоваться Условиями управления криптографическими ключами, указанными в приложении 3 к настоящим Условиям.

2.3.8. Организационные меры и (или) технические средства защиты информации, используемые при обмене ЭС, применяются с учетом следующих требований.

Клиенты должны обеспечивать защиту ЭС, подлежащих передаче (направлению) в платежную систему Банка России:

формированием ЭС и контролем реквизитов ЭС в информационной инфраструктуре Клиента в соответствии с приложением 7 к настоящим Условиям, а также использованием двух усиленных электронных подписей для контроля целостности и подтверждения подлинности ЭС;

применением третьего варианта защиты, предусмотренного Альбомом электронных сообщений, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://www.cbr.ru/development/Formats/ (далее - Альбом ЭС);

шифрованием ЭС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в государственном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", утвержденном постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 (М., ИПК Издательство стандартов, 1999) (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности <3>.

--------------------------------

<3> Абзац 6 подпункта 2.3.8 пункта 2.3 настоящих Условий для клиентов полевых учреждений Банка России, которые не подключены к Транспортному шлюзу Банка России для обмена платежными и финансовыми сообщениями с Клиентами Банка России, и/или Клиентов Банка России, не являющихся кредитными организациями, вступает в силу с 01.01.2025.

2.3.9. Клиенты должны информировать Банк России об инцидентах.

Информация об инцидентах должна направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России информация должна направляться с использованием резервных способов взаимодействия <4>.

--------------------------------

<4> Клиенты полевых учреждений Банка России могут направлять информацию в Банк России через обслуживающее полевое учреждение Банка России.

Клиенты должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен ЭС с использованием отчуждаемых машинных носителей информации при невозможности осуществлять обмен ЭС по каналам связи.

Клиенты должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен документами на бумажном носителе при невозможности осуществлять обмен ЭС по каналам связи и на отчуждаемых машинных носителях информации.

При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Клиент должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России.

Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервных способах взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://www.cbr.ru/information_security/fincert/.

2.4. В случае выявления инцидента Клиент вправе направить в Банк России обращение о приостановлении обмена ЭС в порядке, указанном в приложении 4 к настоящим Условиям.

2.5. Выполнение требований к защите информации подтверждается документами Клиента, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Клиента подписываются руководителем Клиента либо уполномоченным лицом и представляются по запросу Банка России <5> при проведении проверки выполнения требований к защите информации.

--------------------------------

<5> Способ представления информации указывается в запросе Банка России.

Клиент предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте о готовности Клиента к обмену ЭС с Банком России, в том числе в подразделении Клиента.

Клиент обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.

Клиент обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, одним из указанных ниже способов, доступных Клиенту (в случае если способ направления не указан в акте проверки):

с использованием личного кабинета;

через систему межведомственного электронного документооборота (далее - система МЭДО);

письмом на бумажном носителе, подписанным руководителем Клиента либо уполномоченным лицом (при отсутствии возможности направления способами, указанными выше).

До начала обмена ЭС Клиент представляет в подразделение Банка России, обслуживающее счет Клиента, акт о готовности Клиента к обмену ЭС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, одним из указанных ниже способов, доступных Клиенту (в случае если способ направления не определен в Договоре):

с использованием личного кабинета;

через систему МЭДО;

письмом на бумажном носителе, подписанным руководителем Клиента либо уполномоченным лицом (при отсутствии возможности направления способами, указанными выше).

В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности Клиента к обмену ЭС с Банком России, Клиент обязан представить в подразделение Банка России, обслуживающее счет Клиента, актуальную информацию не позднее следующего рабочего дня после внесения изменений одним из указанных ниже способов, доступных Клиенту (в случае если способ направления не определен в Договоре):

с использованием личного кабинета;

через систему МЭДО;

письмом на бумажном носителе, подписанным руководителем Клиента либо уполномоченным лицом (при отсутствии возможности направления способами, указанными выше).

2.6. Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации, указанных в подпунктах 2.3.1 - 2.3.8 пункта 2.3 настоящих Условий.

2.7. Клиент должен обеспечить получение подтверждения от косвенного участника с доступом к ТПСБП о выполнении требований к защите информации, указанных в пункте 2.2 настоящих Условий.

2.8. Косвенные участники Клиента до начала обмена ЭС сообщают Клиенту о готовности к обмену ЭС с Банком России.

Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации и информирует Банк России о готовности косвенного участника к обмену ЭС с Банком России с использованием федеральной почтовой связи или личного кабинета.

2.9. Клиент должен обеспечить получение Клиентом от косвенного участника Клиента информации о нарушениях требований к обеспечению защиты информации при обмене ЭС, в том числе которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств.

При поступлении указанной информации от косвенных участников Клиента Клиент должен информировать Банк России в соответствии с требованиями подпункта 2.3.9 пункта 2.3 настоящих Условий.