ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 5 июня 2013 г. N 3007-У
О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В ПОЛОЖЕНИЕ БАНКА РОССИИ ОТ 9 ИЮНЯ 2012 ГОДА
N 382-П "О ТРЕБОВАНИЯХ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ И О ПОРЯДКЕ
ОСУЩЕСТВЛЕНИЯ БАНКОМ РОССИИ КОНТРОЛЯ ЗА СОБЛЮДЕНИЕМ
ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ"
1. Внести в Положение Банка России
от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированное Министерством юстиции Российской Федерации 14 июня 2012 года N 24575 ("Вестник Банка России"
от 22 июня 2012 года N 32), следующие изменения.
1.1. В абзаце девятом пункта 2.1 слова "технических средств по защите информации" заменить словами "технических средств защиты информации".
1.2. Пункт 2.2 дополнить абзацами следующего содержания:
"Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, относят события, которые возникли вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств и (или) условий осуществления (требований к осуществлению) перевода денежных средств, связанных с обеспечением защиты информации при осуществлении переводов денежных средств, которые установлены оператором по переводу денежных средств и доведены им до клиента, и которые:
привели к несвоевременности (к нарушению сроков, установленных законодательством Российской Федерации, правилами платежных систем и (или) договорами, заключаемыми клиентами, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры, операторами платежных систем, банковскими платежными агентами (субагентами), участниками платежных систем) осуществления переводов денежных средств;
привели или могут привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
привели к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях участников платежной системы, распоряжениях клирингового центра.".
1.3. Подпункт 2.6.3 пункта 2.6 изложить в следующей редакции:
"2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:
выполнение процедур идентификации, аутентификации, авторизации своих работников при осуществлении доступа к защищаемой информации;
идентификацию, аутентификацию, авторизацию участников платежной системы при осуществлении переводов денежных средств;
определение порядка использования информации, необходимой для выполнения аутентификации;
регистрацию действий при осуществлении доступа своих работников к защищаемой информации;
регистрацию действий, связанных с назначением и распределением прав доступа к защищаемой информации.
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:
выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;
выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;
регистрацию действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления переводов денежных средств (далее - автоматизированные системы), и программном обеспечении, входящем в состав объектов информационной инфраструктуры и используемом для осуществления переводов денежных средств (далее - программное обеспечение);
регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.
Регистрации в соответствии с абзацем одиннадцатым настоящего подпункта подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:
дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;
набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении (далее - идентификатор клиента);
код, соответствующий выполняемому действию;
идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства).
Банковский платежный агент (субагент) обеспечивает регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, при наличии технической возможности с учетом выполняемого перечня операций и используемых автоматизированных систем, программного обеспечения, эксплуатация которых обеспечивается банковским платежным агентом (субагентом).
Оператор по переводу денежных средств обеспечивает хранение информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта, не менее пяти лет, начиная с даты осуществления клиентом действия, выполняемого с использованием автоматизированной системы, программного обеспечения.
Оператор по переводу денежных средств определяет во внутренних документах:
порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;
перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;
подлежащий регистрации идентификатор устройства;
порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта.
Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами).
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов.".
1.4. Пункт 2.13 дополнить подпунктом 2.13.4 следующего содержания:
"2.13.4. Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают регистрацию самостоятельно выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств.
Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных клиентами данного оператора по переводу денежных средств.
Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных банковскими платежными агентами (субагентами).
Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры определяют во внутренних документах порядок регистрации и хранения сведений об инцидентах, указанных в абзацах первом - третьем настоящего подпункта".
1.5. В пункте 2.15:
подпункт 2.15.2 дополнить абзацем следующего содержания:
"Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.";
подпункт 2.15.3 дополнить абзацами следующего содержания:
"Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры по результатам оценки соответствия в целях ее документального подтверждения формируют отчет, который утверждается исполнительными органами управления и хранится в порядке, установленном соответствующим оператором. Отчет включает сведения о проведении оценки соответствия, в том числе:
заполненную форму 1, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
заполненную форму 2, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
сроки проведения оценки соответствия;
сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры для проведения оценки соответствия.".
1.6. В приложении 2:
строку П.28 изложить в следующей редакции:
"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.28 │ 2.6.3 │При осуществлении доступа к защищаемой│ Требование │
│ │ │информации, находящейся на объектах│ категории │
│ │ │информационной инфраструктуры, указанных│ проверки 1 │
│ │ │в подпункте 2.6.1 пункта 2.6 настоящего│ │
│ │ │Положения, оператор по переводу денежных│ │
│ │ │средств, банковский платежный агент│ │
│ │ │(субагент) обеспечивают регистрацию│ │
│ │ │действий, связанных с назначением и│ │
│ │ │распределением прав клиентов,│ │
│ │ │предоставленных им в автоматизированных│ │
│ │ │системах и программном обеспечении │ │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
";
строку П.29 изложить в следующей редакции:
"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.29 │ 2.6.3 │При осуществлении доступа к защищаемой│ Требование │
│ │ │информации, находящейся на объектах│ категории │
│ │ │информационной инфраструктуры, указанных│ проверки 1 │
│ │ │в подпункте 2.6.1 пункта 2.6 настоящего│ │
│ │ │Положения, оператор по переводу денежных│ │
│ │ │средств, банковский платежный агент│ │
│ │ │(субагент) обеспечивают регистрацию│ │
│ │ │действий клиентов, выполняемых с│ │
│ │ │использованием автоматизированных систем,│ │
│ │ │программного обеспечения. │ │
│ │ │Банковским платежным агентом (субагентом)│ │
│ │ │обеспечивается регистрация действий│ │
│ │ │клиентов, выполняемых с использованием│ │
│ │ │автоматизированных систем, программного│ │
│ │ │обеспечения, при наличии технической│ │
│ │ │возможности с учетом выполняемого перечня│ │
│ │ │операций и используемых│ │
│ │ │автоматизированных систем, программного│ │
│ │ │обеспечения, эксплуатация которых│ │
│ │ │обеспечивается банковским платежным│ │
│ │ │агентом (субагентом) │ │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
";
после строки П.29 дополнить строками П.29.1, П.29.2, П.29.3, П.29.4 следующего содержания:
"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.29.1│ 2.6.3 │При осуществлении доступа к защищаемой│ Требование │
│ │ │информации, находящейся на объектах│ категории │
│ │ │информационной инфраструктуры, указанных│ проверки 1 │
│ │ │в подпункте 2.6.1 пункта 2.6 настоящего│ │
│ │ │Положения, оператор по переводу денежных│ │
│ │ │средств, банковский платежный агент│ │
│ │ │(субагент) обеспечивают регистрацию│ │
│ │ │следующей информации о действиях│ │
│ │ │клиентов, выполняемых с использованием│ │
│ │ │автоматизированной системы, программного│ │
│ │ │обеспечения: │ │
│ │ │ дата (день, месяц, год) и время│ │
│ │ │(часы, минуты, секунды) осуществления│ │
│ │ │действия клиента; │ │
│ │ │ идентификатор клиента; │ │
│ │ │ код, соответствующий выполняемому│ │
│ │ │действию; │ │
│ │ │ идентификатор устройства │ │
├──────┼──────────┼─────────────────────────────────────────┼─────────────┤
│П.29.2│ 2.6.3 │Оператор по переводу денежных средств│ Требование │
│ │ │обеспечивает хранение информации,│ категории │
│ │ │указанной в абзацах тринадцатом -│ проверки 3 │
│ │ │шестнадцатом подпункта 2.6.3 пункта 2.6│ │
│ │ │настоящего Положения, не менее пяти лет,│ │
│ │ │начиная с даты осуществления клиентом│ │
│ │ │действия, выполняемого с использованием│ │
│ │ │автоматизированной системы, программного│ │
│ │ │обеспечения │ │
├──────┼──────────┼─────────────────────────────────────────┼─────────────┤
│П.29.3│ 2.6.3 │Оператор по переводу денежных средств│ Требование │
│ │ │определяет во внутренних документах: │ категории │
│ │ │ порядок формирования уникального│ проверки 2 │
│ │ │идентификатора клиента в│ │
│ │ │автоматизированной системе, программном│ │
│ │ │обеспечении; │ │
│ │ │ перечень кодов действий клиентов,│ │
│ │ │выполняемых при осуществлении переводов│ │
│ │ │денежных средств с использованием│ │
│ │ │автоматизированной системы, программного│ │
│ │ │обеспечения; │ │
│ │ │ подлежащий регистрации идентификатор│ │
│ │ │устройства; │ │
│ │ │ порядок регистрации и хранения│ │
│ │ │информации, указанной в абзацах│ │
│ │ │тринадцатом - шестнадцатом подпункта│ │
│ │ │2.6.3 пункта 2.6 настоящего Положения │ │
├──────┼──────────┼─────────────────────────────────────────┼─────────────┤
│П.29.4│ 2.6.3 │Оператор по переводу денежных средств│ Требование │
│ │ │определяет требования к порядку, форме и│ категории │
│ │ │срокам передачи ему информации о│ проверки 2 │
│ │ │действиях клиентов, выполняемых с│ │
│ │ │использованием автоматизированных│ │
│ │ │систем, программного обеспечения,│ │
│ │ │регистрируемой банковскими платежными│ │
│ │ │агентами (субагентами) │ │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
";
строку П.59 изложить в следующей редакции:
"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.59 │ 2.9.1 │В случае если оператор по переводу│ Требование │
│ │ │денежных средств, банковский платежный│ категории │
│ │ │агент (субагент), оператор услуг│ проверки 3 │
│ │ │платежной инфраструктуры применяют СКЗИ│ │
│ │ │российского производителя, указанные│ │
│ │ │СКЗИ должны иметь сертификаты│ │
│ │ │уполномоченного государственного органа │ │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
";
после строки П.106 дополнить строками П.106.1, П.106.2 следующего содержания:
"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.106.│ 2.13.4 │Оператор по переводу денежных средств,│ Требование │
│1 │ │оператор услуг платежной инфраструктуры│ категории │
│ │ │обеспечивают регистрацию самостоятельно│ проверки 3 │
│ │ │выявленных инцидентов, связанных с│ │
│ │ │нарушением требований к обеспечению│ │
│ │ │защиты информации при осуществлении│ │
│ │ │переводов денежных средств. │ │
│ │ │Оператор по переводу денежных средств│ │
│ │ │обеспечивает регистрацию ставших ему│ │
│ │ │известными инцидентов, связанных с│ │
│ │ │нарушением требований к обеспечению│ │
│ │ │защиты информации при осуществлении│ │
│ │ │переводов денежных средств, выявленных│ │
│ │ │клиентами данного оператора по переводу│ │
│ │ │денежных средств. │ │
│ │ │Оператор по переводу денежных средств│ │
│ │ │обеспечивает регистрацию ставших ему│ │
│ │ │известными инцидентов, связанных с│ │
│ │ │нарушением требований к обеспечению│ │
│ │ │защиты информации при осуществлении│ │
│ │ │переводов денежных средств, выявленных│ │
│ │ │банковскими платежными агентами│ │
│ │ │(субагентами) │ │
├──────┼──────────┼─────────────────────────────────────────┼─────────────┤
│П.106.│ 2.13.4 │Оператор по переводу денежных средств,│ Требование │
│2 │ │оператор услуг платежной инфраструктуры│ категории │
│ │ │определяют во внутренних документах│ проверки 2 │
│ │ │порядок регистрации и хранения сведений│ │
│ │ │об инцидентах, указанных в абзацах первом│ │
│ │ │- третьем подпункта 2.13.4 пункта 2.13│ │
│ │ │настоящего Положения │ │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
";
строку П.109 изложить в следующей редакции:
"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.109 │ 2.14.3 │Оператор по переводу денежных средств,│ Требование │
│ │ │оператор услуг платежной инфраструктуры│ категории │
│ │ │обеспечивают выполнение порядка│ проверки 3 │
│ │ │обеспечения защиты информации при│ │
│ │ │осуществлении переводов денежных средств │ │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
";
после строки П.113 дополнить строками П.113.1, П.113.2 следующего содержания:
"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.113.│ 2.15.2 │Организация, ставшая оператором по│ Требование │
│1 │ │переводу денежных средств, оператором│ категории │
│ │ │платежной системы, оператором услуг│ проверки 3 │
│ │ │платежной инфраструктуры, должна│ │
│ │ │провести первую оценку соответствия в│ │
│ │ │течение шести месяцев после получения│ │
│ │ │соответствующего статуса │ │
├──────┼──────────┼─────────────────────────────────────────┼─────────────┤
│П.113.│ 2.15.3 │Оператор по переводу денежных средств,│ Требование │
│2 │ │оператор платежной системы, оператор│ категории │
│ │ │услуг платежной инфраструктуры по│ проверки 2 │
│ │ │результатам оценки соответствия в целях│ │
│ │ │ее документального подтверждения│ │
│ │ │формируют отчет, который утверждается│ │
│ │ │исполнительными органами управления и│ │
│ │ │хранится в порядке, установленном│ │
│ │ │соответствующим оператором. Отчет│ │
│ │ │включает сведения о проведении оценки│ │
│ │ │соответствия, в том числе: │ │
│ │ │ заполненную форму 1, установленную│ │
│ │ │приложением 1 к настоящему Положению и│ │
│ │ │содержащую оценки выполнения требований│ │
│ │ │к обеспечению защиты информации при│ │
│ │ │осуществлении переводов денежных│ │
│ │ │средств; │ │
│ │ │ заполненную форму 2, установленную│ │
│ │ │приложением 1 к настоящему Положению и│ │
│ │ │содержащую оценки выполнения требований│ │
│ │ │к обеспечению защиты информации при│ │
│ │ │осуществлении переводов денежных│ │
│ │ │средств; │ │
│ │ │ сроки проведения оценки соответствия;│ │
│ │ │ сведения о сторонней организации│ │
│ │ │(наименование и местонахождение) в│ │
│ │ │случае ее привлечения оператором по│ │
│ │ │переводу денежных средств, оператором│ │
│ │ │платежной системы, оператором услуг│ │
│ │ │платежной инфраструктуры для проведения│ │
│ │ │оценки соответствия │ │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
".
2. Настоящее Указание в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 24 апреля 2013 года N 8) вступает в силу со дня его официального опубликования в "Вестнике Банка России", за исключением подпункта 1.3 и абзацев второго, третьего и четвертого подпункта 1.6 пункта 1 настоящего Указания.
Подпункт 1.3 и абзацы второй, третий и четвертый подпункта 1.6 пункта 1 настоящего Указания вступают в силу по истечении 180 дней после дня его официального опубликования в "Вестнике Банка России".
3. Организация, являющаяся на день вступления в силу настоящего Указания оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев со дня вступления в силу настоящего Указания.
Председатель Центрального банка
Российской Федерации
С.М.ИГНАТЬЕВ
