382 п цб рф кратко

Обновлено: 05.07.2024

О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

Об отражении в бухгалтерской отчетности затрат, возникших в связи с ненадлежащей организацией производственного процесса

О способах определения ликвидационной стоимости ОС в целях бухучета

Организация-арендатор внесла на счет физлица-арендодателя обеспечительный платеж: НДФЛ

Гендиректор вправе передать полномочия по подписанию бухгалтерской (финансовой) отчетности иному лицу

Электронные медкнижки

Утверждены рекомендации по классификации, обнаружению, распознаванию и описанию опасностей

НДС при приобретении услуг по аренде муниципального имущества у ОМСУ

Условия применения освобождения от НДС по услугам общепита организации, перешедшей с с УСН на ОСН

3 дня демо доступа бесплатно Получить демо доступ на 3 дня

Какими федеральными законами, нормативными актами следует руководствоваться участникам национальной платежной системы при защите персональных данных при осуществлении переводов денежных средств?

Как соотносятся Постановление Правительства Российской Федерации от 13 июня 2012 г. № 584 и Положение №

Обязана ли кредитная организация во всех случаях, даже при выявлении ею несущественности определенного риска в соответствии с существующими методиками, принимать меры, предусмотренные Положением №

Положение № устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обеспечивают защиту информации при осуществлении переводов денежных средств. Выполнение данных требований обеспечивается, в том числе, выбором организационных мер и технических средств защиты информации.

Требования к обеспечению защиты информации при осуществлении переводов денежных средств, установленные Положением № обязательны к выполнению, при этом результаты оценки рисков оператор может учитывать при выборе организационных мер и технических средств защиты информации.

Относится ли к защищаемой в соответствии с Положением № информации о совершенных переводах денежных средств (в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы) информация, содержащаяся в уведомлении клиента о совершении каждой операции с использованием электронного средства платежа и в чеке банкомата?

Информация, содержащаяся в уведомлении клиента о совершении операций с использованием электронного средства платежа, а также информация о переводах денежных средств, печатаемая на чеке банкомата, относится к информации о совершенных переводах денежных средств.

Обратите внимание на то, что оператор по переводу денежных средств не несет ответственности за обеспечение защиты информации при обработке, хранении и других действиях, производимых клиентом с переданной ему защищаемой информацией.

В каком порядке, в какой форме и с какой периодичностью оператор по переводу денежных средств должен информировать клиентов о различных угрозах и рисках, а также о мерах их нейтрализации?

Оператор по переводу денежных средств самостоятельно принимает решения относительно порядка, формы, периодичности доведения до клиентов информации в соответствии с подпунктами 2.7.2, 2.8.2, 2.12.3 пунктов 2.7, 2.8 и 2.12, соответственно, Положения № в частности, в зависимости от особенностей клиентской базы (физические или юридические лица, особенности и масштаб работы с клиентами и др.) и особенностей осуществления переводов денежных средств клиентами (использования электронных средств платежа, различные виды доступа к услугам банка и др.).

Необходимо ли оператору по переводу денежных средств уведомлять оператора платежной системы об инцидентах (в частности, об обнаружении вредоносного кода), если оператор платежной системы не установил порядок, форму и сроки такого уведомления? Обязан ли оператор по переводу денежных средств информировать каждого из операторов платежной системы об обнаружении вредоносного кода?

Согласно подпункту 2.13.1 пункта 2.13 Положения № оператор платежной системы обязан определить порядок, форму и сроки информирования его оператором по переводу денежных средств. В противном случае имеет место факт нарушения требований Положения №

Пунктом 18 части 1 статьи 20 Федерального закона № также предусмотрена необходимость отражения оператором платежной системы в правилах платежной системы порядка взаимодействия в рамках платежной системы в спорных и чрезвычайных ситуациях, включая информирование операторами услуг платежной инфраструктуры, участниками значимой платежной системы оператора значимой платежной системы о событиях, вызвавших операционные сбои, об их причинах и последствиях.

В соответствии с подпунктом 2.13.1 пункта 2.13 Положения № информирование оператора платежной системы должно производиться не реже, чем один раз в месяц.

Возможно ли в настоящее время применение несертифицированных, но официально ввезенных на территорию России средств криптографической защиты информации (далее — СКЗИ) при оказании услуг дистанционного банковского обслуживания?

Подпунктом 2.9.1 пункта 2.9 Положения № введен запрет на использование несертифицированных СКЗИ исключительно российского производства.

Предполагается ли нормативная унификация документооборота между операторами по переводу денежных средств и операторами платежных систем при выполнении установленных оператором платежной системы требований к обеспечению защиты информации?

В настоящее время Банк России не планирует разработку требований, связанных с унификацией документооборота между операторами по переводу денежных средств и операторами платежных систем.

В каких случаях допускается назначение ответственных сотрудников вместо создания службы информационной безопасности?

Согласно девятому абзацу пункта 2.2 Положения № под службой информационной безопасности (далее — служба ИБ) понимается подразделение, ответственное за организацию и контроль обеспечения защиты информации, или работники, ответственные за организацию и контроль обеспечения защиты информации.

При этом решение о формировании службы ИБ или о назначении ответственных лиц принимается оператором по переводу денежных средств, банковским платежным агентом (субагентом), являющимся юридическим лицом, оператором услуг платежной инфраструктуры самостоятельно.

Допускается ли возможность включения службы информационной безопасности в состав службы информатизации (автоматизации) при условии назначения двух соответствующих кураторов, или оператором по переводу денежных средств обязательно должно быть сформировано две самостоятельные службы?

Положение № не содержит запрета на включение службы информационной безопасности в состав службы информатизации (автоматизации) при исключении возможности курирования службы информационной безопасности куратором службы информатизации (автоматизации).

Распространяются ли требования Положения № на переводы в рамках всех следующих форм безналичных расчетов: расчетов платежными поручениями, расчетов по аккредитиву, расчетов инкассовыми поручениями, расчетов чеками, расчетов в форме перевода денежных средств по требованию получателя (прямое дебетование) и расчетов в форме перевода электронных денежных средств? Планируется ли в дальнейшем разработка Банком России отдельных нормативных актов, регулирующих вопросы защиты информации в отношении каждой из указанных форм безналичных расчетов?

Положение № устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг платежной инфраструктуры, операторы платежных систем обеспечивают защиту информации при осуществлении переводов денежных средств вне зависимости от формы таких переводов.

Разработка отдельных нормативных актов, устанавливающих требования к обеспечению защиты информации при осуществлении переводов денежных средств в зависимости от формы таких переводов, в настоящее время не планируется.

Если кредитная организация присоединилась к стандарту СТО БР ИББС, какую самооценку ей необходимо провести в первую очередь: на соответствие требованиям СТО БР ИББС или Положения

Проведение кредитной организацией оценки соответствия положениям СТО БР ИББС-1.0 не может заменять проведение оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением №

Оценка соответствия, согласно Положению № проводится не реже одного раза в два года, а также по требованию Банка России.

Какие требования Положения № необходимо выполнить кредитной организации и компании-аутсорсеру для обеспечения соответствия требованиям Положения № в случае если планируется передача на аутсорсинг создания, модернизации, технического обслуживания и ремонта объектов информационной инфраструктуры?

Положение № устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры (далее при совместном упоминании — операторы) и банковские платежные агенты (субагенты) обеспечивают защиту информации при осуществлении переводов денежных средств.

Передача создания, модернизации, технического обслуживания и ремонта объектов информационной инфраструктуры операторами на аутсорсинг не запрещена Положением № Однако обращаем внимание на то, что такая передача может привести к росту рисков информационной безопасности и нарушению системы управления рисками в целом.

Кроме того, выполнение некоторых требований (к примеру, требования о наличии ответственных за обеспечение защиты информации работников и о наличии службы информационной безопасности) не может быть переложено на компанию-аутсорсера.

Нужно учитывать, что в любом случае ответственность за выполнение требований Положения Банка России № связанных с созданием, модернизацией, техническим обслуживанием и ремонтом объектов информационной инфраструктуры оператора по переводу денежных средств, лежит на нем самом.

9 июня Банком России во исполнение ФЗ-161 было утверждено новое "Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (интересно, что ссылки на ПП-584 нет), вступающее в силу с 1-го июля 2012 года. Про проект этого положения я уже писал . Теперь хотелось бы уделить чуть больше внимания этому документу. Тем более, что он отличается от проекта (и местами сильно).

Распространяется оно на операторов по переводу денежных средств (например, банки), банковских платежных агентов (субагентов), операторов платежных систем и операторов услуг платежной инфраструктуры. Однако за соблюдением банковскими агентами (субагентами) требований 382-П следит не Банк России, а оператор по переводу денежных средств (что-то похожее, как я понимаю, сделано и в PCI DSS, где Visa/MasterCard следит только за банками, а банки уже следят за ритейлом, подключающимся к банку).Защитаться можно как самостоятельно, так и с привлечением внешних фирм, но только имеющих лицензию на ТЗКИ.

  • информации об остатках денежных средств на банковских счетах;
  • информации об остатках электронных денежных средств;
  • информации о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы; требование об отнесении информации о совершенных переводах денежных средств к защищаемой информации, хранящейся в операционных центрах платежных систем с использованием платежных карт или находящихся за пределами Российской Федерации, устанавливается оператором платежной системы;
  • информации, содержащейся в оформленных в рамках применяемой формы безналичных расчетов распоряжениях клиентов операторов по переводу денежных средств (далее - клиентов), распоряжениях участников платежной системы, распоряжениях платежного клирингового центра;
  • информации о платежных клиринговых позициях; информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт;
  • ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемых при осуществлении переводов денежных средств (далее - криптографические ключи);
  • информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры), а также информации о конфигурации, определяющей параметры работы технических средств по защите информации;
  • информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств.
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при назначении и распределении функциональных прав и обязанностей лиц, связанных с осуществлением переводов денежных средств;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации объектов информационной инфраструктуры;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при осуществлении доступа к объектам информационной инфраструктуры, включая
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от несанкционированного доступа;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при использовании информационно-телекоммуникационной сети Интернет при осуществлении переводов денежных средств;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при использовании СКЗИ;
  • требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием взаимоувязанной совокупности организационных мер защиты информации и технических средств защиты информации, применяемых для контроля выполнения технологии обработки защищаемой информации при осуществлении переводов денежных средств;
  • требования к организации и функционированию подразделения (работников), ответственного (ответственных) за организацию и контроль обеспечения защиты информации (далее - служба информационной безопасности);
  • требования к повышению осведомленности работников оператора по переводу денежных средств, банковского платежного агента (субагента), являющегося юридическим лицом, оператора услуг платежной инфраструктуры и клиентов в области обеспечения защиты информации;
  • требования к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагированию на них;
  • требования к определению и реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств;
  • требования к оценке выполнения оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств;
  • требования к доведению оператором по переводу денежных средств, оператором услуг платежной инфраструктуры до оператора платежной системы информации об обеспечении в платежной системе защиты информации при осуществлении переводов денежных средств;
  • требования к совершенствованию оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры защиты информации при осуществлении переводов денежных средств.
  • С точки зрения защиты от НСД повторяется история СТО - могут быть как сертифицированные, так и несертифицированные СЗИ.
  • Операторы по переводу денежных средств обязаны регулярно информировать клиентов о новых угрозах и рекомендациях по борьбе с ними. К сожалению, не удалось пробить конкретные показатели регулярности, но и это уже немало.
  • Оператор платежной системы самостоятельно определяет необходимость использования СКЗИ, если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации. Если СКЗИ нужны, то работы по обеспечению защиты информации с помощью СКЗИ проводятся в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" , Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), и технической документацией на СКЗИ.
  • Самое интересное. "В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа". А если нероссийского производства? ПКЗ-2005 на такие СКЗИ не распространяется. Ввозятся такие СКЗИ под разрешение ФСБ (если длина ключей для симметричных СКЗИ свыше 56 бит) и разрешение на ввоз формально означает и разрешение на эксплуатацию. Есть СКЗИ только предназначенные для защиты финансовых транзакций (например, маршрутизатор для банкоматов Cisco 800-PCI) и для них выпускается нотификация, разрешающая свободный ввоз на территорию РФ. Иными словами получается, что в НПС могут применяться любые СКЗИ. Надо этот пункт серьезно обдумать, т.к. возможны нюансы. Например, в Приложении 2, в котором приведен перечень требований, проверяемых в рамках оценки соответствия, говорится, что проверяется просто наличие СКЗИ, имеющих сертификат или разрешение ФСБ (без учетах происхождения СКЗИ). Т.е. ждем первых проверок.
  • В топ-менеджменте операторов по переводу денежных средств или операторов услуг платежной инфраструктуры назначаются кураторы по ИБ, которые не должны совпадать с кураторами по ИТ.
  • На оператора платежной системы возлагается большая работа по реагированию на инциденты, разработке методик анализа и реагирования, информирование операторов по переводу и операторов инфраструктуры о выявленных инцидентах и т.д.
  • Оценка соответствия требованиям по ИБ проводится самостоятельно или с приглашением внешних организаций в соответствие с методикой, приведенной в приложении к 382-П (похожа на методику в СТО БР ИББС). При этом требования наличия лицензии на ТЗКИ у такой организации в 382-П нет.
  • Операторы по переводу денежных средств и операторы услуг платежной инфраструктуры обязаны информировать оператора платежной системы о том, как они осуществляют защиту информации. В информирование включается информация
    • о степени выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
    • о реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств;
    • о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств;
    • о результатах проведенных оценок соответствия;
    • о выявленных угрозах и уязвимостях в обеспечении защиты информации.
    • операторов платежных систем, являющихся кредитными организациями,
    • операторов услуг платежной инфраструктуры, являющихся кредитными организациями,
    • операторов по переводу денежных средств, являющихся кредитными организациями,
    • операторов платежных систем, не являющихсякредитными организациями,
    • операторов услуг платежной инфраструктуры, не являющихсякредитными организациями.

    Вот такой документ; один из нескольких разработанных в рамках законодательства об НПС и определяющих требования по защите информации.

    Один хакер может причинить столько же вреда, сколько 10 000 солдат! Боитесь что ANONYMOUS опустошат ваши счета ? Хакеры объявили Кибервойну России! Узнай первым , как выжить в цифровом кошмаре!

    от 9 июня 2012 года N 382-П

    О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

    (с изменениями на 7 мая 2018 года)
    (редакция, действующая с 1 января 2020 года)
    ____________________________________________________________________
    Утратило силу с 1 января 2022 года на основании
    положения Банка России от 4 июня 2020 года N 719-П
    ____________________________________________________________________

    Документ с изменениями, внесенными:

    В настоящий документ вносились изменения на основании указания Банка России от 7 мая 2018 года N 4793-У (в части изменений, вступающих в силу с 1 января 2024 года и с 1 января 2031 года).

    Указанные изменения не внесены в связи с отменой указания Банка России от 7 мая 2018 года N 4793-У с 1 января 2022 года на основании положения Банка России от 4 июня 2020 года N 719-П.

    - Примечание изготовителя базы данных.

    Глава 1. Общие положения

    1.1. На основании Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872) (далее - Федеральный закон N 161-ФЗ) настоящее Положение устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обеспечивают защиту информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации при осуществлении переводов денежных средств), а также устанавливает порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в национальной платежной системе.

    1.2. Оператор по переводу денежных средств обеспечивает выполнение банковскими платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по переводу денежных средств, требований к обеспечению защиты информации при осуществлении переводов денежных средств, с учетом перечня операций, выполняемых банковскими платежными агентами (субагентами), и используемых автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается банковскими платежными агентами (субагентами).

    Оператор по переводу денежных средств обеспечивает контроль соблюдения банковскими платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств.

    1.3. Для проведения работ по обеспечению защиты информации при осуществлении переводов денежных средств операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры могут привлекать организации, имеющие лицензии на деятельность по технической защите конфиденциальной информации и (или) на деятельность по разработке и производству средств защиты конфиденциальной информации.

    Глава 2. Требования к обеспечению защиты информации при осуществлении переводов денежных средств

    2.1. Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации (далее - защищаемая информация):

    информации об остатках денежных средств на банковских счетах;

    информации об остатках электронных денежных средств;

    информации о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы; требование об отнесении информации о совершенных переводах денежных средств к защищаемой информации, хранящейся в операционных центрах платежных систем с использованием платежных карт или находящихся за пределами Российской Федерации, устанавливается оператором платежной системы;

    информации, содержащейся в оформленных в рамках применяемой формы безналичных расчетов распоряжениях клиентов операторов по переводу денежных средств (далее - клиентов), распоряжениях участников платежной системы, распоряжениях платежного клирингового центра;

    информации о платежных клиринговых позициях;

    информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт;

    ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемых при осуществлении переводов денежных средств (далее - криптографические ключи);

    информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры), а также информации о конфигурации, определяющей параметры работы технических средств защиты информации;

    (Абзац в редакции, введенной в действие с 10 июля 2013 года указанием Банка России от 5 июня 2013 года N 3007-У. - См. предыдущую редакцию)

    информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств.

    2.2. Требования к обеспечению защиты информации при осуществлении переводов денежных средств включают в себя:

    требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при назначении и распределении функциональных прав и обязанностей (далее - ролей) лиц, связанных с осуществлением переводов денежных средств;

    требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации объектов информационной инфраструктуры;

    требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при осуществлении доступа к объектам информационной инфраструктуры, включая требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от несанкционированного доступа;

    требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код);

    требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет");

    требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при использовании СКЗИ;

    требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием взаимоувязанной совокупности организационных мер защиты информации и технических средств защиты информации, применяемых для контроля выполнения технологии обработки защищаемой информации при осуществлении переводов денежных средств (далее - технологические меры защиты информации);

    требования к организации и функционированию подразделения (работников), ответственного (ответственных) за организацию и контроль обеспечения защиты информации (далее - служба информационной безопасности);

    требования к повышению осведомленности работников оператора по переводу денежных средств, банковского платежного агента (субагента), являющегося юридическим лицом, оператора услуг платежной инфраструктуры и клиентов (далее - повышение осведомленности) в области обеспечения защиты информации;

    требования к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагированию на них;

    требования к определению и реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств;

    требования к оценке выполнения оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств;

    требования к доведению оператором по переводу денежных средств, оператором услуг платежной инфраструктуры до оператора платежной системы информации об обеспечении в платежной системе защиты информации при осуществлении переводов денежных средств;

    требования к совершенствованию оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры защиты информации при осуществлении переводов денежных средств.

    Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, должен относить события, которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента, неоказанию услуг по переводу денежных средств, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети Интернет (далее -перечень типов инцидентов).

    (Абзац дополнительно включен с 10 июля 2013 года указанием Банка России от 5 июня 2013 года N 3007-У; в редакции, введенной в действие с 1 июля 2018 года указанием Банка России от 7 мая 2018 года N 4793-У. - См. предыдущую редакцию)

    Требования к обеспечению защиты информации при осуществлении переводов денежных средств помимо требований, указанных в абзацах втором - пятнадцатом настоящего пункта, включают в себя:

    (Абзац дополнительно включен с 16 марта 2015 года указанием Банка России от 14 августа 2014 года N 3361-У)

    требования к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов;

    (Абзац дополнительно включен с 16 марта 2015 года указанием Банка России от 14 августа 2014 года N 3361-У)

    требования к обеспечению защиты информации при осуществлении переводов денежных средств с применением платежных карт.

    (Абзац дополнительно включен с 16 марта 2015 года указанием Банка России от 14 августа 2014 года N 3361-У)

    2.3. Выполнение требований к обеспечению защиты информации при осуществлении переводов денежных средств обеспечивается с учетом параметров и статистики выполняемых операций, связанных с осуществлением переводов денежных средств, количества и характера выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, путем:

    2.3.1. выбора организационных мер защиты информации; определения во внутренних документах оператора по переводу денежных средств, банковского платежного агента (субагента), оператора платежных систем, оператора услуг платежной инфраструктуры порядка применения организационных мер защиты информации; определения лиц, ответственных за применение организационных мер защиты информации; применения организационных мер защиты; реализации контроля применения организационных мер защиты информации; выполнения иных необходимых действий, связанных с применением организационных мер защиты информации;

    2.3.2. выбора технических средств защиты информации; определения во внутренних документах оператора по переводу денежных средств, банковского платежного агента (субагента), оператора платежных систем, оператора услуг платежной инфраструктуры порядка использования технических средств защиты информации, включающего информацию о конфигурации, определяющую параметры работы технических средств защиты информации; назначения лиц, ответственных за использование технических средств защиты информации; использования технических средств защиты информации; реализации контроля за использованием технических средств защиты информации; выполнения иных необходимых действий, связанных с использованием технических средств защиты информации;

    2.3.3. применения объектов информационной инфраструктуры, обладающих функциональными и конструктивными особенностями, связанными с обеспечением защиты информации при осуществлении переводов денежных средств и реализации контроля за их функционированием.

    (Подпункт дополнительно включен с 16 марта 2015 года указанием Банка России от 14 августа 2014 года N 3361-У)

    2.4. В состав требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых для защиты информации при назначении и распределении ролей лиц, связанных с осуществлением переводов денежных средств, включаются следующие требования.

    2.4.1. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию лиц, обладающих правами:

    по осуществлению доступа к защищаемой информации;

    по управлению криптографическими ключами;

    по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа.

    2.4.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают реализацию запрета выполнения одним лицом в один момент времени следующих ролей:

    ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объекта информационной инфраструктуры;

    ролей, связанных с эксплуатацией объекта информационной инфраструктуры в части его использования по назначению и эксплуатацией объекта информационной инфраструктуры в части его технического обслуживания и ремонта.

    2.4.3. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают контроль и регистрацию действий лиц, которым назначены роли, определенные в подпункте 2.4.1 настоящего пункта.

    2.5. В состав требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых для защиты информации на стадиях создания, эксплуатации, модернизации, снятия с эксплуатации объектов информационной инфраструктуры, включаются следующие требования.

    2.5.1. Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают включение в технические задания на создание (модернизацию) объектов информационной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств.

    2.5.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают участие службы информационной безопасности, в разработке и согласовании технических заданий на создание (модернизацию) объектов информационной инфраструктуры.

    2.5.3. Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают контроль со стороны службы информационной безопасности соответствия создаваемых (модернизируемых) объектов информационной инфраструктуры требованиям технических заданий.

    2.5.4. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:

    наличие эксплуатационной документации на используемые технические средства защиты информации;

    контроль выполнения требований эксплуатационной документации на используемые технические средства защиты информации в течение всего срока их эксплуатации;

    восстановление функционирования технических средств защиты информации, используемых при осуществлении переводов денежных средств, в случаях сбоев и (или) отказов в их работе.

    2.5.5. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают реализацию запрета использования защищаемой информации на стадии создания объектов информационной инфраструктуры.

    Выставление оценок
    1. За пункт требований не должно проставляться числовое значение, если пункт не относится к банку или у банка нет таких объектов информационной инфраструктуры. Например, за пункт 72 банку нужно ставить "н/о", а не числовое значение, т.к. требования относятся к оператору платежной системы. За пункт 140 банку ставится "н/о", если у него нет банкоматов и платежных терминалов (SST).
    2. Нельзя ставить "н/о" для требований, в рамках которых банку нужно принять решение о применении тех или иных мер защиты. Например, за пункт 57.1 ставить 1, если в ОРД Банка указаны требования по аутентификации клиента в ДБО, или ставить "0", если такого приказа нет. "Н/о" можно поставить, если у банка нет системы ДБО вообще.
    3. Нельзя ставить "н/о" для требований по взаимодействию с платежной системой, если такое взаимодействие реально ведется.
    Обоснование оценок
    4. В графе 4 формы 1 при выставлении любой оценки, в т.ч. "н/о", должно быть указано обоснование такой оценки.
    Требования к ОРД банка
    5. В ОРД банка не должно быть прямого цитирования требований 382-П. Нужно описание, как то или иное требование выполняется в банке.
    Требования к отчетности 0403202
    6. С лета 2018 года оценку выполнения требований 382-П в банке должна проводить только внешняя компания с лицензий ФСТЭК на техническую защиту конфиденциальной информации. В форме отчетности 0403202 банк должен указать, какая именно внешняя компания провела оценку.
    7. Дата заголовка формы 0403202 должна совпадать с датой утверждения отчета об оценке выполнения требований 382-П исполнительным органом управления банка.

    • системы ДБО (серверная и клиентская часть)
    • АБС
    • АРМ КБР
    • АРМ обмена с иными платежными системами (Золотая Корона, Юнистрим, Контакт и т.п.)
    • карточный процессинг
    • банкоматы и платежные терминалы (SST)

    Сколько нужно ОРД для выполнения требований Положения?
    На какую оценку рассчитывали банки по итогам аудита по 382-П?
    Сколько СКЗИ и технических средств защиты используются для защиты информации при переводах?
    Ответы в инфографике на основе статистики от 115 банков.

    В 2019 году рассчитали стоимость проекта по внешней оценке выполнения требований Положения Банка России № 382-П.
    В статье делимся статистикой.

    Консультация по выполнению требований 382-П

    Если вам нужна консультация по выполнению требований Положения Банка России № 382-П, оставьте свою электронную почту в форме заявки. Мы свяжемся в ближайшее время

    Читайте также: