Положение об установлении обязательных требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента

Пользователю

Положение об установлении обязательных требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента

ПОЛОЖЕНИЕ ОБ

УСТАНОВЛЕНИИ

ОБЯЗАТЕЛЬНЫХ

ДЛЯ ФИНАНСОВЫХ

ОРГАНИЗАЦИЙ

ТРЕБОВАНИЙ К

ОБЕСПЕЧЕНИЮ

ЗАЩИТЫ

ИНФОРМАЦИИ ПРИ

ОСУЩЕСТВЛЕНИИ

БАНКОВСКОЙ

ДЕЯТЕЛЬНОСТИ

В ЦЕЛЯХ

ПРОТИВОДЕЙСТВИЯ

ОСУЩЕСТВЛЕНИЮ

ПЕРЕВОДОВ

ДЕНЕЖНЫХ СРЕДСТВ

БЕЗ СОГЛАСИЯ

КЛИЕНТА

На основании статьи 57.4 Закона «О Центральном банке» настоящее Положение устанавливает обязательные для финансовых организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента.

1. Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента применяются для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств (далее соответственно – автоматизированные системы, защищаемая информация, осуществление банковских операций):

a)информации, содержащейся в документах, составленных при осуществлении банковских операций в электронном виде (далее – электронные сообщения), формируемых работниками финансовых организаций (далее – работники) и (или) клиентами финансовых организаций (далее – клиенты);

b)информации, необходимой для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами;

c)информации об осуществленных банковских операциях;

d)информации, связанной с приемом к исполнению и исполнением распоряжений пользователя платформы цифрового актива;

e)ключевой информации средств криптографической защиты информации (далее – СКЗИ), в том числе средств электронной подписи, используемой при осуществлении банковских операций (далее – криптографические ключи).

f)В случае если защищаемая информация содержит персональные данные, финансовые организации должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Закона «О персональных данных».

2. Требования к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, включают в себя:

a)требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются финансовой организацией для осуществления банковских операций (далее – объекты информационной инфраструктуры);

b)требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений;

c)требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении технологии обработки защищаемой информации;

d)иные требования к обеспечению защиты информации при осуществлении банковской деятельности в соответствии с пунктами 6 – 9 настоящего Положения.

3. Финансовые организации должны обеспечивать выполнение следующих требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении объектов информационной инфраструктуры.

3.1. Финансовые организации должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, для безопасности финансовых (банковских) операций, защиту информации финансовых организаций и базовый состав организационных и технических мер.

Системно значимые финансовые организации, финансовые организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, финансовые организации, значимые на рынке платежных услуг, должны реализовывать усиленный уровень защиты информации.

Финансовые организации, не относящиеся к финансовым организациям, указанным в абзаце втором настоящего подпункта, должны реализовывать стандартный уровень защиты информации.

Финансовые организации, которые должны реализовывать стандартный уровень защиты информации, ставшие финансовыми организациями, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали финансовыми организациями, указанными в абзаце втором настоящего подпункта.

3.2. Финансовые организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

4. Финансовые организации должны обеспечивать выполнение следующих требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений.

4.1. Финансовые организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых финансовой организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно–телекоммуникационной сети «Интернет» (далее – сеть «Интернет»), прошедших сертификацию в системе сертификации Государственной службы по техническому и экспортному контролю или оценку соответствия по требованиям к оценочному уровню доверия (далее – ОУД) не ниже чем ОУД 4 в соответствии с установленными требованиями.

В отношении прикладного программного обеспечения автоматизированных систем и приложений, не указанных в абзаце первом настоящего подпункта, финансовые организации должны самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений.

4.2. По решению финансовой организации оценка соответствия программного обеспечения автоматизированных систем и приложений проводится самостоятельно или с привлечением организации, имеющей сертификат на осуществление деятельности по технической защите конфиденциальной информации для проведения работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о сертификации деятельности по технической защите конфиденциальной информации, (далее – проверяющая организация).

4.3. В случае принятия финансовой организацией решения о необходимости проведения сертификации программного обеспечения автоматизированных систем и приложений финансовые организации, являющиеся системно значимыми финансовыми организациями, финансовыми организациями, значимыми на рынке платежных услуг (в отношении программного обеспечения автоматизированных систем и приложений, указанных в пункте 1.2 Положения «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Государственным банком контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», должны обеспечить сертификацию программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия.

Финансовые организации, принявшие решение о необходимости проведения сертификации программного обеспечения автоматизированных систем и приложений и не указанные в абзаце первом настоящего подпункта, должны обеспечить сертификацию программного обеспечения автоматизированных систем и приложений не ниже 5 уровня доверия.

5. Финансовые организации должны обеспечивать выполнение следующих требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении технологии обработки защищаемой информации:

5.1. Финансовые организации должны обеспечить целостность электронных сообщений и подтвердить их составление уполномоченным на это лицом.

В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом финансовые организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.

Указанные в абзаце втором настоящего подпункта требования по реализации мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения, не применяются в случае, если в целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом при передаче электронных сообщений используются выделенные контролируемые сегменты вычислительных сетей, доступ к которым нарушителем невозможен, и угрозы нарушения целостности электронных сообщений определены финансовыми организациями как неактуальные, что обосновано в модели угроз и нарушителей безопасности информации.

Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Закона «Об электронной подписи».

5.2. Финансовые организации должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации, указанной в абзацах втором – пятом пункта 1 настоящего Положения, при совершении следующих действий (далее – технологические участки):

a)идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций, в том числе идентификация клиентов при создании сертификатов ключей проверки электронных подписей и выдаче таких сертификатов клиентам в соответствии с требованиями пункта 1 части 1 статьи 13 Закона «Об электронной подписи» в целях осуществления операций с цифровыми активами;

b)формирование (подготовка), передача и прием электронных сообщений;

c)удостоверение права клиентов распоряжаться денежными средствами;

d)осуществление банковской операции, учет результатов ее осуществления;

e)хранение электронных сообщений и информации об осуществленных банковских операциях.

5.2.1. Технология обработки защищаемой информации, применяемая на всех технологических участках, указанных в настоящем пункте, должна обеспечивать целостность и достоверность защищаемой информации.

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце втором подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать идентификацию устройств клиентов при осуществлении банковских операций с использованием удаленного доступа клиентов к объектам информационной инфраструктуры финансовых организаций.

В случае если банковская операция осуществляется с использованием мобильной версии приложения, финансовые организации в рамках реализуемой ими системы управления рисками должны обеспечить проверку использования клиентом – физическим лицом абонентского номера подвижной радиотелефонной связи в случае его использования во взаимоотношениях с финансовой организацией и использовать полученные сведения при анализе характера, параметров и объема совершаемых их клиентами операций (осуществляемой клиентами деятельности).

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце третьем подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

a)двойной контроль посредством осуществления проверки правильности формирования (подготовки) электронных сообщений;

b)входной контроль посредством осуществления проверки правильности заполнения полей электронного сообщения и прав владельца электронной подписи;

c)контроль дублирования электронного сообщения (в случае если проведение такой процедуры дополнительно установлено финансовой организацией с учетом положений пункта 2.2 Положения «О правилах осуществления перевода денежных средств»;

d)структурный контроль электронных сообщений;

e)защиту при передаче по каналам связи защищаемой информации.

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце четвертом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

a)подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 настоящего пункта;

b)получение от клиента подтверждения совершаемой банковской операции.

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце пятом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

a)проверку соответствия (сверку) выходных электронных сообщений с соответствующими входными электронными сообщениями;

b)проверку соответствия (сверку) результатов осуществления банковских операций с информацией, содержащейся в электронных сообщениях;

c)направление клиентам уведомлений об осуществлении банковских операций в случае, когда такое уведомление предусмотрено законодательством или договором.

Финансовые организации должны реализовывать механизмы подтверждения использования клиентом адреса электронной почты в случае его использования во взаимоотношениях с финансовой организацией, на который финансовой организацией направляются уведомления о совершаемых банковских операциях, справки (выписки) по совершенным банковским операциям.

В случае использования единой системы идентификации и аутентификации, определенной в соответствии с пунктом 5 статьи 2 Закона «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных » (далее – единая система идентификации и аутентификации), финансовые организации должны соблюдать требования к обеспечению защиты информации в соответствии с Техническими требованиями к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, а также требования технической и эксплуатационной документации по подключению к единой системе идентификации и аутентификации.

5.2.2. Финансовые организации должны обеспечивать регистрацию результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, указанных в подпункте 5.2 настоящего пункта, которая включает регистрацию действий работников, а также регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.

5.2.3. Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения:

a)дата (день, месяц, год) и время (часы, минуты, секунды) осуществления банковской операции;

b)присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;

c)код, соответствующий технологическому участку;

d)результат осуществления банковской операции (успешная или неуспешная);

e)идентификационная информация, используемая для адресации устройства, с использованием которого и в отношении которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора).

5.2.4. Регистрации подлежат данные о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:

a)дата (день, месяц, год) и время (часы, минуты, секунды) совершения действий клиентом в целях осуществления банковской операции;

b)присвоенный клиенту идентификатор, позволяющий установить клиента в автоматизированной системе, программном обеспечении;

c)код, соответствующий технологическому участку;

d)результат совершения клиентом действия в целях осуществления банковской операции (успешная или неуспешная);

e)идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора), международный идентификатор абонента (индивидуальный номер абонента клиента – физического лица), международный идентификатор пользовательского оборудования (оконечного оборудования) клиента – физического лица, номер телефона и (или) иной идентификатор устройства).

5.2.5. Финансовые организации должны обеспечивать хранение:

a)информации, указанной в абзацах втором, четвертом пункта 1 настоящего Положения;

b)информации, указанной в подпунктах 5.2.3 и 5.2.4 настоящего пункта, пункте 8 настоящего Положения.

Финансовые организации должны обеспечивать целостность и доступность информации, указанной в настоящем подпункте, не менее пяти лет начиная с даты ее формирования (поступления).

6. Обеспечение защиты информации с помощью СКЗИ при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, осуществляется в соответствии с Законом «Об электронной подписи», Законом «О персональных данных», Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, и технической документацией на СКЗИ.

В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно–аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований, такая оценка должна проводиться в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации по техническому заданию, согласованному с республиканским исполнительным органом в области обеспечения безопасности.

6.1. В случае если финансовая организация применяет СКЗИ государственного производства, то СКЗИ должны иметь сертификаты соответствия республиканского исполнительного органа в области обеспечения безопасности.

6.2. Криптографические ключи должны изготавливаться клиентом (самостоятельно) и (или) финансовой организацией.

6.3. Безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ.

7. Финансовые организации должны обеспечивать формирование для клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее – вредоносный код) в целях противодействия осуществлению переводов денежных средств без согласия клиента.

Финансовые организации должны обеспечивать доведение до клиентов информации о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления банковских операций лицами, не обладающими правом их осуществления, и мерах по их снижению:

a)мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) устройства, с использованием которого клиентом совершались действия в целях осуществления банковской операции;

b)мерах по контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления банковской операции, и своевременному обнаружению воздействия вредоносного кода.

7.1. В целях противодействия осуществлению переводов денежных средств без согласия клиента финансовые организации в случаях, предусмотренных договорами с клиентами, содержащими условия указанного в части 1 статьи 9 Закона «О национальной платежной системе» договора об использовании электронного средства платежа, на основании их заявлений устанавливают в отношении операций, осуществляемых с использованием удаленного доступа клиентов к объектам информационной инфраструктуры финансовых организаций через информационно–телекоммуникационную сеть «Интернет», ограничения на осуществление операций клиентами либо ограничения максимальной суммы одной операции и (или) операций за определенный период времени. Ограничения по операциям могут быть установлены как на все операции клиентов, так и в разрезе видов операций.

8. Финансовые организации к инцидентам защиты информации в значении, установленном в пункте 7.3 Положения «О требованиях к системе управления операционным риском в финансовой организации и банковской группе», (далее соответственно – инцидент защиты информации), должны относить события, которые привели или могут привести к осуществлению банковских операций без согласия клиента, неоказанию услуг, связанных с осуществлением банковских операций, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Государственным банком на официальном сайте Государственного банка в сети «Интернет» (далее – перечень типов инцидентов).

Финансовые организации устанавливают во внутренних документах порядок фиксации инцидентов защиты информации в базе событий в соответствии с пунктами 7.3 и 7.5 Положения «О требованиях к системе управления операционным риском в финансовой организации и банковской группе» и информационного обмена со службой управления рисками, создаваемой в соответствии с пунктом 3.6 Указания «О требованиях к системе управления рисками и капиталом финансовой организации и банковской группы».

Финансовые организации должны обеспечивать регистрацию инцидентов защиты информации.

По каждому инциденту защиты информации финансовые организации должны обеспечивать регистрацию:

a)защищаемой информации, обрабатываемой на технологическом участке (участках), на котором (которых) произошел несанкционированный доступ к защищаемой информации;

b)результата реагирования на инцидент защиты информации, в том числе действий по возврату денежных средств или электронных денежных средств.

Финансовые организации должны осуществлять информирование Государственного банка, в том числе на основании запросов Государственного банка:

a)о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, принятых мерах и проведенных мероприятиях по реагированию на выявленные финансовой организацией или Государственным банком инциденты защиты информации, включенные в перечень типов инцидентов, а также о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на официальных сайтах в сети «Интернет», выпуск пресс–релизов и проведение пресс–конференций не позднее одного рабочего дня до дня проведения мероприятия;

b)о сайтах в сети «Интернет», которые используются финансовой организацией для осуществления банковской деятельности, принадлежащих финансовой организации и (или) администрируемых в ее интересах.

Информация о рекомендуемых форме и сроке предоставления финансовыми организациями Государственному банку сведений размещается на официальном сайте Государственного банка в сети «Интернет».

Финансовые организации должны предоставлять в Государственный банк сведения с использованием технической инфраструктуры (автоматизированной системы) Государственного банка. В случае возникновения технической невозможности взаимодействия финансовых организаций с Государственным банком с использованием технической инфраструктуры (автоматизированной системы) Государственного банка финансовые организации должны предоставлять в Государственный банк сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Государственного банка, резервном способе взаимодействия размещается на официальном сайте Государственного банка в сети «Интернет».

9. Финансовые организации должны обеспечить проведение оценки соответствия уровню защиты информации, установленному в подпункте 3.1 пункта 3 настоящего Положения (далее – оценка соответствия защиты информации), не реже одного раза в два года. Оценка соответствия защиты информации должна осуществляться с привлечением проверяющих организаций.

9.1. Оценка соответствия защиты информации должна осуществляться для безопасность финансовых (банковских) операций, защиты информации финансовых организаций и методики оценки соответствия.

Финансовые организации должны обеспечивать хранение отчета, подготовленного проверяющей организацией по результатам оценки соответствия защиты информации, не менее пяти лет начиная с даты его выдачи проверяющей организацией.

9.2. Финансовые организации должны обеспечить уровень соответствия не ниже четвертого.

10. Настоящее Положение не распространяется на отношения, регулируемые Законом «О безопасности критической информационной инфраструктуры государства«.

При обеспечении безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются финансовыми организациями, являющихся объектами критической информационной инфраструктуры государства, настоящее Положение применяется наряду с требованиями Закона «О безопасности критической информационной инфраструктуры государства«.

11. Настоящее Положение вступает в силу со дня его официального опубликования.

Утверждено Председателем Центрального банка

С.И. Шабулдаев