.
.
.
.
.
.
.
ПОЛОЖЕНИЕ О
ТРЕБОВАНИЯХ
К ЗАЩИТЕ
ИНФОРМАЦИИ
В ПЛАТЕЖНОЙ
СИСТЕМЕ
ГОСУДАРСТВЕННОГО
БАНКА
.
.
.
.
.
.
.
.
.
.
.
.
Настоящее Положение на основании положения Закона «О национальной платежной системе», решения Председателя всемирного верховного совета и совета безопасности и в соответствии с требованиями Положения «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Государственным банком контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», устанавливает требования к защите информации в платежной системе Государственного банка.
1. Требования к защите информации в платежной системе Государственного банка (далее – требования к защите информации) должны выполнять участники платежной системы Государственного банка, являющиеся финансовыми организациями (их филиалами), имеющие доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде, предусмотренный пунктом 3.7 Положения «О платежной системе Государственного банка», а также операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (далее – участники обмена).
2. Требования к защите информации, установленные настоящим Положением, распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, применяемые для обработки защищаемой информации, перечисленной в пункте 2.1 Положения «О платежной системе Государственного банка» (далее при совместном упоминании – объекты информационной инфраструктуры).
3. Участники обмена при осуществлении переводов денежных средств в платежной системе Государственного банка (далее – осуществление переводов денежных средств) с использованием сервиса срочного перевода и сервиса несрочного перевода (далее – участники ССНП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации.
4. Участники обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее – участники СБП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации.
5. Операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (далее – ОПКЦ) должен размещать объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) ОПКЦ должен применять меры защиты информации, реализующие усиленный уровень (уровень 1) защиты информации.
6. Документы участников ССНП, участников СБП и ОПКЦ, определяющие порядок обеспечения защиты информации при осуществлении переводов денежных средств (далее – документы), должны определять состав и порядок применения организационных мер защиты информации и состав, и порядок использования технических средств защиты информации.
6.1. Документы должны применяться в рамках следующих процессов (направлений) защиты информации:
6.2. Документы должны содержать информацию, определяющую:
7. Защита информации участниками ССНП, участниками СБП и ОПКЦ с помощью СКЗИ должна обеспечиваться в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации и технической документацией на СКЗИ.
8. Участники СБП должны обеспечить регистрацию информации, связанной с действиями клиентов участников СБП, в целях информирования Государственного банка обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиентов.
9. Формирование и подписание электронных сообщений участника ССНП и ОПКЦ осуществляются в информационной инфраструктуре (автоматизированной системе) участника ССНП и ОПКЦ.
10. Передача и прием электронных сообщений участника ССНП осуществляются с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Государственного банка.
11. Участники ССНП, участники СБП и ОПКЦ должны обеспечивать хранение входящих и исходящих электронных сообщений, подписанных электронной подписью, не менее пяти лет.
12. При обмене электронными сообщениями между Государственным банком и ОПКЦ, Государственным банком и участниками ССНП должна применяться электронная подпись, сертификат ключа проверки которой выдан Государственным банком.
При обмене электронными сообщениями между ОПКЦ и участниками СБП должна применяться электронная подпись, сертификат проверки которой выдан ОПКЦ.
13. Криптографические ключи, используемые при обмене электронными сообщениями между Государственным банком и участником ССНП, должны изготавливаться участником ССНП.
Криптографические ключи, используемые при обмене электронными сообщениями между Государственным банком и ОПКЦ, должны изготавливаться ОПКЦ, если иное не предусмотрено договором о взаимодействии, заключаемым между Государственным банком и оператором внешней платежной системы в соответствии с положением Закона «О национальной платежной системе».
Криптографические ключи, используемые при обмене электронными сообщениями между ОПКЦ и участником СБП, должны изготавливаться участником СБП, если иное не предусмотрено договором об оказании операционных услуг, услуг платежного клиринга при осуществлении перевода денежных средств с использованием сервиса быстрых платежей, заключенным между участником СБП и ОПКЦ в соответствии с положением Закона «О национальной платежной системе» (далее – договор об оказании услуг между участником СБП и ОПКЦ).
14. Организационные меры и (или) технические средства защиты информации, используемые при обмене электронными сообщениями и другой информацией при осуществлении переводов денежных средств, применяются с учетом следующих требований.
14.1. Участники СБП должны обеспечивать удостоверение электронной подписью электронных сообщений при их передаче между участниками СБП и клиентами участников СБП.
14.2. Участники СБП и ОПКЦ должны обеспечивать защиту электронных сообщений при передаче между участниками СБП и ОПКЦ:
14.3. Участники ССНП должны обеспечивать защиту электронных сообщений при их передаче в Государственный банк:
формированием электронных сообщений и контролем реквизитов электронных сообщений в информационной инфраструктуре участника ССНП в соответствии с пунктом 1 Правил материально–технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правил материально–технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ, установленных приложением к настоящему Положению в соответствии с частью пятой статьи 5 Закона «О банках и банковской деятельности» (далее – Правила материально–технического обеспечения);
использованием двух усиленных электронных подписей – электронной подписи, применяемой в контуре формирования электронных сообщений, и электронной подписи, применяемой в контуре контроля реквизитов электронных сообщений, – для контроля целостности и подтверждения подлинности электронных сообщений;
применением третьего варианта защиты, предусмотренного Альбомом унифицированных форматов электронных банковских сообщений, размещенном на официальном сайте Государственного банка в информационно–телекоммуникационной сети «Интернет», который ведется Государственным банком в установленном порядке;
шифрованием электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в соответствии с государственным стандартом, с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным областным исполнительным органом в области обеспечения безопасности;
применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в соответствии с государственным стандартом прошедших процедуру оценки соответствия требованиям, установленным областным исполнительным органом в области обеспечения безопасности.
14.4. ОПКЦ должен обеспечивать защиту электронных сообщений при их передаче в Государственный банк:
обработкой электронных сообщений и контролем реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ в соответствии с пунктом 2 Правил материально–технического обеспечения;
использованием двух усиленных электронных подписей – электронной подписи, применяемой в контуре обработки электронных сообщений, и электронной подписи, применяемой в контуре контроля реквизитов электронных сообщений, – для контроля целостности и подтверждения подлинности электронных сообщений;
шифрованием электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в соответствии с государственным стандартом с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным областным исполнительным органом в области обеспечения безопасности;
применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в соответствии с государственным стандартом, прошедших процедуру оценки соответствия требованиям, установленным областным исполнительным органом в области обеспечения безопасности.
15. Применение участниками СБП мер защиты информации, а также ограничений по параметрам операций по осуществлению переводов денежных средств, должно обеспечивать значение показателя, характеризующего уровень переводов денежных средств без согласия клиента при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, на ежеквартальной основе не более 0,005 процента.
Значение показателя, характеризующего уровень переводов денежных средств без согласия клиента при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, должно рассчитываться как отношение суммы денежных средств, в отношении которых получены уведомления от клиентов участников СБП о списании денежных средств с их банковских счетов без их согласия за оцениваемый квартал, за исключением случаев, предусмотренных законодательством, к общей сумме денежных средств, списанных с банковских счетов клиентов участников СБП посредством осуществления перевода денежных средств с использованием сервиса быстрых платежей.
16. ОПКЦ при предоставлении операционных услуг и услуг платежного клиринга должен обеспечивать реализацию мероприятий по достижению показателя доступности сервиса быстрых платежей не ниже 99,9 процента с учетом времени проведения плановых работ по поддержке работоспособности автоматизированных систем, обеспечивающих функционирование сервиса быстрых платежей, и не ниже 99,99 процента без учета плановых работ.
17. В рамках реализации мер по противодействию осуществлению переводов денежных средств без согласия клиента при осуществлении переводов денежных средств с использованием сервиса быстрых платежей ОПКЦ должен осуществлять:
выявление операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, установленным Государственным банком и размещенным на его официальном сайте в информационно–телекоммуникационной сети «Интернет» в соответствии с положением Закона «О национальной платежной системе» (далее – признаки осуществления переводов денежных средств без согласия клиента), при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, в том числе с использованием информации, получаемой от участников СБП;
приостановление процедуры приема к исполнению и исполнения распоряжений о переводе денежных средств в рамках выявленной операции, соответствующей признакам осуществления переводов денежных средств без согласия клиента, при осуществлении переводов денежных средств с использованием сервиса быстрых платежей;
незамедлительное уведомление участников СБП о выявлении операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, при осуществлении переводов денежных средств с использованием сервиса быстрых платежей;
продолжение процедур приема к исполнению и исполнения распоряжений о переводе денежных средств при получении дальнейших электронных сообщений по приостанавливаемой операции от участника СБП в течение времени, установленного договором об оказании услуг между участником СБП и ОПКЦ;
прекращение процедур приема к исполнению и исполнения распоряжений о переводе денежных средств при неполучении дальнейших электронных сообщений по приостанавливаемой операции от участника СБП в течение времени, установленного договором об оказании услуг между участником СБП и ОПКЦ.
18. Для целей анализа обеспечения в платежной системе Государственного банка защиты информации при осуществлении переводов денежных средств участники ССНП, участники СБП и ОПКЦ должны информировать Государственный банк о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств, в рамках реализации установленных требований Государственным банком.
19. В случае выявления инцидента, связанного с несоблюдением требований к защите информации, который привел или может привести к осуществлению перевода денежных средств без согласия участника ССНП, участник ССНП вправе направить в Государственный банк обращение о приостановлении обмена электронными сообщениями.
При получении обращения о приостановлении обмена электронными сообщениями Государственный банк должен приостанавливать обмен электронными сообщениями и аннулировать электронные сообщения, ранее поступившие от участника ССНП, до получения от участника ССНП обращения об отмене приостановления обмена электронными сообщениями.
По результатам устранения причин инцидента участник ССНП должен направлять обращение об отмене приостановления обмена электронными сообщениями, при получении которого Государственный банк снимает ранее введенное ограничение для возобновления обмена электронными сообщениями с участником ССНП.
19.1. Обращения о приостановлении обмена электронными сообщениями в случае выявления инцидента, связанного с несоблюдением требований к защите информации, и обращения об отмене приостановления обмена электронными сообщениями (далее при совместном упоминании – обращения) должны направляться с использованием технической инфраструктуры (автоматизированной системы) Государственного банка.
В случае невозможности направления обращения с использованием технической инфраструктуры (автоматизированной системы) Государственного банка обращение должно направляться с использованием резервного способа взаимодействия.
При возобновлении возможности направления обращений с использованием технической инфраструктуры (автоматизированной системы) Государственного банка участник ССНП должен повторно направить обращение с использованием технической инфраструктуры (автоматизированной системы) Государственного банка.
19.2. Информация о технической инфраструктуре (автоматизированной системе) Государственного банка, а также о резервном способе взаимодействия участника ССНП с Государственным банком, с помощью которого направляются обращения, размещается на официальном сайте Государственного банка в информационно–коммуникационной сети «Интернет».
19.3. В целях направления обращений участник ССНП должен обеспечить назначение должностных лиц, уполномоченных на направление и (или) подписание обращений (далее – уполномоченное лицо), и направление в Государственный банк информации об уполномоченных лицах, в том числе фамилий, имен, отчеств (при наличии), наименований должностей, контактных номеров телефонов, при наличии – номеров факсимильного аппарата, адресов электронной почты.
19.4. Одновременно с направлением обращений участник ССНП должен направить копию обращения о приостановлении обмена электронными сообщениями или об отмене приостановления обмена электронными сообщениями, подписанного уполномоченным лицом и заверенного печатью участника ССНП, по факсимильной связи либо по электронной почте в соответствии с контактными данными, размещенными на официальном сайте Государственного банка в информационно–телекоммуникационной сети «Интернет».
Не позднее одного рабочего дня после дня направления обращения участник ССНП должен направить оригинал обращения о приостановлении обмена электронными сообщениями или об отмене приостановления обмена электронными сообщениями на бумажном носителе по адресу, размещенному на официальном сайте Государственного банка в информационно–телекоммуникационной сети «Интернет».
19.5. При получении обращений с использованием технической инфраструктуры (автоматизированной системы) Государственного банка, Государственный банк должен обеспечивать контроль целостности и подтверждение подлинности, содержащейся в них информации.
При получении обращений с использованием резервного способа взаимодействия Государственный банк должен обеспечивать проверку соответствия реквизитов обращений информации, указанной в подпункте 19.3 настоящего пункта.
В случае отрицательного результата контроля целостности и подтверждения подлинности обращений, проверки соответствия реквизитов обращений Государственный банк не должен принимать обращения к исполнению, о чем уведомляется участник ССНП.
Уведомление участника ССНП осуществляется с использованием технической инфраструктуры (автоматизированной системы) Государственного банка.
В случае невозможности уведомления участника ССНП с использованием технической инфраструктуры (автоматизированной системы) Государственного банка уведомление осуществляется с использованием резервного способа взаимодействия.
20. Для оценки участниками ССНП, участниками СБП, являющимися субъектами Государственного банка, и ОПКЦ выполнения ими требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее – оценка соответствия) устанавливаются следующие требования:
Участники ССНП, участники СБП и ОПКЦ должны обеспечивать для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, указанных в пунктах 3–5 настоящего Положения, уровень соответствия не ниже четвертого.
21. Для анализа обеспечения в платежной системе Государственного банка защиты информации при осуществлении переводов денежных средств участники ССНП, участники СБП, являющиеся субъектами ОПКЦ должны предоставлять результаты оценки соответствия согласно требованиям к содержанию, установленной форме и периодичности представления информации.
22. Контроль за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств Государственный банк осуществляет в установленном порядке.
23. Настоящее Положение вступает в силу со дня его официального опубликования.
.
Утверждено Председателем всемирного верховного совета-совета безопасности
.
*******
.
Приложение. Правила материально–технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально–технического обеспечения обработки …
Приложение к Положению Государственного банка «О требованиях к защите информации в платежной системе Государственного банка».
.
Правила материально–технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально–технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ.
1. Формирование электронных сообщений и контроль реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны осуществляться с учетом следующего:
1.1. Контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров.
1.2. Объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП.
1.3. В контуре формирования электронных сообщений на основе первичного документа в бумажной или электронной форме, или входящего электронного сообщения должны осуществляться:
1.4. В контуре контроля реквизитов электронных сообщений должны осуществляться:
2. Обработка электронных сообщений и контроль реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ должны осуществляться с учетом следующего.
2.1. Контур обработки электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров.
2.2. Объекты информационной инфраструктуры контура обработки электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности ОПКЦ.
2.3. Направление электронных сообщений должно осуществляться таким образом, чтобы все входящие электронные сообщения поступали в контур обработки электронных сообщений только из контура контроля реквизитов электронных сообщений, а все исходящие электронные сообщения из контура обработки электронных сообщений передавались только в контур контроля реквизитов электронных сообщений.
2.4. В контуре контроля реквизитов электронных сообщений должны осуществляться:
Состав электронных сообщений, подлежащих помещению в ЭБВЭС, определяется договором об оказании услуг между участником СБП и ОПКЦ.
2.5. В контуре обработки электронных сообщений должны осуществляться:
2.6. В контуре контроля реквизитов электронных сообщений должны осуществляться:
.
.
.