12-МР для 683-П - Контроль соответствия

В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать реализацию мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.

Указанные в абзаце втором настоящего подпункта требования по реализации мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения, не применяются в случае, если в целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом при передаче электронных сообщений используются выделенные контролируемые сегменты вычислительных сетей, доступ к которым нарушителем невозможен, и угрозы нарушения целостности электронных сообщений определены кредитными организациями как неактуальные, что обосновано в модели угроз и нарушителей безопасности информации.

Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи"
Требование подпункта 5.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Обеспечение защиты информации с помощью СКЗИ при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, осуществляется в соответствии с

Федеральным законом "Об электронной подписи",
Федеральным законом "О персональных данных",
постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257),
Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 г. N 66, зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 г. N 6382, 25 мая 2010 г. N 17350,
приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 г. N 33620,
и технической документацией на СКЗИ.

В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований, такая оценка должна проводиться в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности
Требование пункта 6

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на всех технологических участках, указанных в пункте 5.2

В случае если банковская операция осуществляется с использованием мобильной версии приложения, кредитные организации в рамках реализуемой ими системы управления рисками должны обеспечить проверку использования клиентом - физическим лицом абонентского номера подвижной радиотелефонной связи в случае его использования во взаимоотношениях с кредитной организацией и использовать полученные сведения при анализе характера, параметров и объема совершаемых их клиентами операций (осуществляемой клиентами деятельности)
Требование абзаца третьего подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Кредитные организации должны реализовывать механизмы подтверждения использования клиентом адреса электронной почты в случае его использования во взаимоотношениях с кредитной организацией, на который кредитной организацией направляются уведомления о совершаемых банковских операциях, справки (выписки) по совершенным банковским операциям
Требование абзаца семнадцатого подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на технологическом участке идентификации, аутентификации и авторизации клиентов при совершении действий в целях осуществления банковских операций

Технология обработки защищаемой информации, применяемая на технологическом участке, «идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций», дополнительно должна обеспечивать

идентификацию устройств клиентов при осуществлении банковских операций с использованием удаленного доступа клиентов к объектам информационной инфраструктуры кредитных организаций

Требование абзаца второго подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на технологическом участке формирования (подготовки), передачи и приема документов, связанных с осуществлением переводов денежных средств, составленных в электронном виде

Технология обработки защищаемой информации, применяемая на технологическом участке «формирование (подготовка), передача и прием электронных сообщений», дополнительно должна обеспечивать:

двойной контроль посредством осуществления проверки правильности формирования (подготовки) электронных сообщений

Требование абзаца пятого подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке «формирование (подготовка), передача и прием электронных сообщений», дополнительно должна обеспечивать:

входной контроль посредством осуществления проверки правильности заполнения полей электронного сообщения и прав владельца электронной подписи

Требование абзаца шестого подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке «формирование (подготовка), передача и прием электронных сообщений», дополнительно должна обеспечивать:

контроль дублирования электронного сообщения (в случае если проведение такой процедуры дополнительно установлено кредитной организацией с учетом положений пункта 2.2 Положения Банка России от 29 июня 2021 г. N 762-П "О правилах осуществления перевода денежных средств", зарегистрированного Министерством юстиции Российской Федерации 25 августа 2021 г. N 64765, 25 апреля 2022 г. N 68320)

Требование абзаца седьмого подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке «формирование (подготовка), передача и прием электронных сообщений», дополнительно должна обеспечивать:

структурный контроль электронных сообщений

Требование абзаца восьмого подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке «формирование (подготовка), передача и прием электронных сообщений», дополнительно должна обеспечивать:

защиту при передаче по каналам связи защищаемой информации

Требование абзаца девятого подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на технологическом участке удостоверения права клиентов кредитных организаций распоряжаться денежными средств

Технология обработки защищаемой информации, применяемая на технологическом участке «удостоверение права клиентов распоряжаться денежными средствами» дополнительно должна обеспечивать:

подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 настоящего пункта

Требование абзаца одиннадцатого подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке «удостоверение права клиентов распоряжаться денежными средствами» дополнительно должна обеспечивать:

получение от клиента подтверждения совершаемой банковской операции

Требование абзаца двенадцатого подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к обеспечению защиты информации, применяемые на технологическом участке осуществления банковской операции и учета результатов ее осуществления

Технология обработки защищаемой информации, применяемая на технологическом участке «осуществление банковской операции, учет результатов ее осуществления» дополнительно должна обеспечивать:

проверку соответствия (сверку) выходных электронных сообщений с соответствующими входными электронными сообщениями

Требование абзаца четырнадцатого подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке «осуществление банковской операции, учет результатов ее осуществления» дополнительно должна обеспечивать:

проверку соответствия (сверку) результатов осуществления банковских операций с информацией, содержащейся в электронных сообщениях

Требование абзаца пятнадцатого подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Технология обработки защищаемой информации, применяемая на технологическом участке «осуществление банковской операции, учет результатов ее осуществления» дополнительно должна обеспечивать:

направление клиентам уведомлений об осуществлении банковских операций в случае, когда такое уведомление предусмотрено законодательством Российской Федерации или договором.

Требование абзаца шестнадцатого подпункта 5.2.1 пункта 5

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требования к прикладному программному обеспечению автоматизированных систем и приложений
(Таблица 2.1. 12-МР)

Требование подпункта 4.1 пункта 4 Положения Банка России № 683-П в отношении прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций:

Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет", сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года № 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014)
В отношении прикладного программного обеспечения автоматизированных систем и приложений, не указанных в абзаце первом настоящего подпункта, кредитные организации должны самостоятельно определять необходимость сертификации или анализа уязвимостей и контроля отсутствия недекларированных возможностей.

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Требование подпункта 4.1 пункта 4 Положения Банка России № 683-П в отношении программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет»:

Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет", сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года № 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014)
В отношении прикладного программного обеспечения автоматизированных систем и приложений, не указанных в абзаце первом настоящего подпункта, кредитные организации должны самостоятельно определять необходимость сертификации или анализа уязвимостей и контроля отсутствия недекларированных возможностей.

Оценка по 8/12-МР:

Планирование		Реализация	Контроль			Совершенствование
Область	Порядок	Реализация	Область	Применение	Знания	Инциденты	Недостатки
0	0	0	0	0	0	0	0

Методические рекомендации Банка России № 12-МР от 02.11.2022

Расчет оценки выполнения технологических мер защиты информации, предусмотренных требованиями Положения Банка России № 683-П

Группы областей

Список требований