Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация
Соответствие требованиям
Соответствие требованиям Положение Банка России № 719-П... Глава 2 п. 6
Группы документов Все документы
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

Положение Банка России № 719-П от 04.06.2020

О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

Глава 2 п. 6

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":
Р. 8 п. 10 п.п. 2
8.10.2. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры хранения и распространения информации об инцидентах ИБ, практиках анализа инцидентов ИБ и результатах реагирования на инциденты ИБ. 
Р. 8 п. 10 п.п. 1
8.10.1. Должны быть определены, выполняться, регистрироваться и контролироваться процедуры обработки инцидентов, включающие:
  • процедуры обнаружения инцидентов ИБ;
  • процедуры информирования об инцидентах, в том числе информирования службы ИБ;
  • процедуры классификации инцидентов и оценки ущерба, нанесенного инцидентом ИБ;
  •  — процедуры реагирования на инцидент;
  •  — процедуры анализа причин инцидентов ИБ и оценки результатов реагирования на инциденты ИБ (при необходимости с участием внешних экспертов в области ИБ). 
Положение Банка России № 787-П от 12.01.2022 "Обязательные для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг":
п. 11
11. Кредитные организации в рамках обеспечения операционной надежности должны информировать Банк России:
  • о выявленных инцидентах операционной надежности (в случае превышения допустимой доли деградации технологических процессов), а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный кредитной организацией или Банком России инцидент операционной надежности;
  • о планируемых мероприятиях по раскрытию информации, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на своих официальных сайтах в сети "Интернет", в отношении указанных в абзаце втором настоящего пункта инцидентов операционной надежности не позднее одного рабочего дня до дня проведения мероприятия.
Кредитные организации должны представлять в Банк России указанные в абзацах втором и третьем настоящего пункта сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России или резервного способа взаимодействия (при технической невозможности использования технической инфраструктуры (автоматизированной системы) Банка России), информация о которых размещается на официальном сайте Банка России в сети "Интернет".
п. 6. п.п. 3
6.3. Кредитные организации должны обеспечивать выполнение следующих требований к выявлению, регистрации инцидентов операционной надежности и реагированию на них, а также восстановлению выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации таких инцидентов:
  • выявление и регистрация инцидентов операционной надежности;
  • реагирование на инциденты операционной надежности в отношении критичной архитектуры;
  • восстановление функционирования технологических процессов и объектов информационной инфраструктуры после реализации инцидентов операционной надежности;
  • проведение анализа причин и последствий реализации инцидентов операционной надежности;
  • организация взаимодействия между подразделениями кредитной организации, а также между кредитной организацией и Банком России, иными участниками технологического процесса в рамках реагирования на инциденты операционной надежности и восстановления выполнения технологических процессов и функционирования объектов информационной инфраструктуры после реализации инцидентов операционной надежности.
ГОСТ Р № 57580.4-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Обеспечение операционной надежности. Базовый состав организационных и технических мер. Раздел 7":
ВРВ.7.7
ВРВ.7.7 Форматов и способов реализации информационного обмена об инцидентах внутри финансовой организации, а также с причастными сторонами в рамках реагирования на инциденты;
ВРВ.39
ВРВ.39 Организация и выполнение деятельности по информированию* об инцидентах Банка России и федерального органа исполнительной власти, уполномоченного в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, в соответствии с требованиями законодательства Российской Федерации, в том числе нормативных актов Банка России.
ВРВ.14.7
ВРВ.14.7 Процедур формирования отчетности в рамках реагирования на инциденты, в том числе в целях реализации требований нормативных актов Банка России.
Приказ ФСБ России № 282 от 19.06.2019 "Порядок информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации":
п. 5
5. В случае если компьютерный инцидент связан с функционированием объекта критической информационной инфраструктуры, принадлежащего на праве собственности, аренды или ином законном основании субъекту критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация о компьютерном инциденте также направляется в Банк России с использованием технической инфраструктуры Банка России в сроки, установленные пунктом 4 настоящего Порядка.
В случае отсутствия возможности уведомления субъектом критической информационной инфраструктуры, который осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, посредством технической инфраструктуры Банка России информация передается субъектом критической информационной инфраструктуры в Банк России посредством почтовой, факсимильной или электронной связи на адреса (телефонные номера), указанные на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".
Приказ ФСБ России № 77 от 13.02.2023 "Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование ФСБ России о компьютерных инцидентах,":
Пункт 2
2. Операторы, с которыми взаимодействие по получению информации организовано в соответствии с подпунктом 4.8 пункта 4 Положения о НКЦКИ, направляют информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, в соответствии с определенными НКЦКИ форматами представления информации о компьютерных инцидентах в ГосСОПКА с использованием каналов информационного взаимодействия, в том числе посредством электронной почтовой связи и технической инфраструктуры НКЦКИ, предназначенных для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами критической информационной инфраструктуры, а также с иными не являющимися субъектами критической информационной инфраструктуры органами и организациями, в том числе иностранными и международными (далее - каналы информационного взаимодействия), в течение 24 часов с момента обнаружения компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных.
Пункт 3
3. Операторы, не указанные в пункте 2 настоящего Порядка, направляют информацию о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных, путем заполнения уведомления о факте неправомерной передачи (предоставления, распространения, доступа) персональных данных, содержащегося на официальном сайте Роскомнадзора в информационно-телекоммуникационной сети "Интернет", в срок не позднее 24 часов с момента обнаружения компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных, а также путем заполнения уведомления о результатах внутреннего расследования, содержащегося на официальном сайте Роскомнадзора в информационно-телекоммуникационной сети "Интернет", в срок не позднее 72 часов с момента обнаружения компьютерного инцидента, повлекшего неправомерную передачу (предоставление, распространение, доступ) персональных данных.
Передача указанной информации Роскомнадзором в НКЦКИ регламентируется порядком, устанавливаемым ФСБ России и Роскомнадзором в соответствии с частью 11 статьи 23 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
Стандарт Банка России № СТО БР ИББС-1.4-2018 от 01.07.2018 "Управление риском нарушения информационной безопасности при аутсорсинге":
Р. 6 п. 6
6.6. Основное требование 5. Организации БС РФ следует привлекать поставщиков услуг для аутсорсинга существенных функций только после принятия поставщиком услуг всех необходимых мер по обеспечению ИБ и заключения соглашения, определяющего детальные условия и разграничение ответственности по обеспечению ИБ.
Детализация условий по обеспечению ИБ в соглашении должна обеспечивать возможность проведения оперативных мероприятий по мониторингу и контролю со стороны организации БС РФ деятельности поставщика услуг в части обеспечения ИБ.
Детальные требования к содержанию соглашения об аутсорсинге существенных функций установлены в разделе 9 настоящего стандарта, а примерный перечень вопросов, которые могут использоваться для оценки поставщика услуг в части обеспечения ИБ, приведен в Приложении 2.
При заключении соглашения с поставщиками услуг на осуществление аутсорсинга существенных функций организации БС РФ следует обеспечить наличие следующих условий по обеспечению ИБ:
  • обязанность поставщика услуг обеспечить соблюдение требований к защите информации, установленных для организации БС РФ, в том числе требований, установленных в рамках законодательства о национальной платежной системе, а также в области защиты персональных данных;
  • составление перечня защищаемой информации, передаваемой на обработку и (или) хранение поставщику услуг;
  • разграничение ответственности между организацией БС РФ и поставщиком услуг в части обеспечения ИБ;
  • наличие у поставщика услуг лицензий по оказываемым видам деятельности в соответствии с законодательством о лицензировании отдельных видов деятельности;
  • наличие у поставщика услуг, связанных с обработкой данных платежных карт, свидетельства о соответствии требованиям стандарта PCI DSS;
  • сохранение права организации БС РФ на контроль выполнения организацией БС РФ самостоятельно или с привлечением внешнего аудитора, определяемого организацией БС РФ, условий соглашения в части выполнения обязанностей по обеспечению ИБ, соблюдение порядка и (или) процедуры выполнения указанного контроля;
  • обязанность поставщиков услуг уведомлять организации БС РФ об инцидентах, связанных с обеспечением ИБ, соблюдение порядка и (или) процедуры выполнения указанного уведомления.
Положение Банка России № 808-П от 17.10.2022 "О требованиях к обеспечению защиты информации при осуществлении деятельности в сфере оказания профессиональных услуг на финансовом рынке в целях противодействия осуществлению незаконных финансовых операций":
Глава 2 Пункт 9
2.9. Бюро кредитных историй должны осуществлять информирование Банка России:
  • о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный бюро кредитных историй или Банком России инцидент защиты информации;
  • о принадлежащих бюро кредитных историй и (или) об администрируемых в их интересах сайтах в сети "Интернет", которые используются бюро кредитных историй для осуществления своей деятельности;
  • о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия. Бюро кредитных историй должны предоставлять в Банк России сведения, указанные в абзацах втором - четвертом настоящего пункта, с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае технической невозможности взаимодействия бюро кредитных историй с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России бюро кредитных историй должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети "Интернет".
Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":
1.15.
1.15. Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны информировать Банк России:
  • о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на своем официальном сайте в сети "Интернет", а также о принятых мерах и проведенных мероприятиях по реагированию на выявленный некредитной финансовой организацией или Банком России инцидент защиты информации;
  • о принадлежащих некредитной финансовой организации и (или) администрируемых в ее интересах сайтах в сети "Интернет", которые используются некредитной финансовой организацией для осуществления деятельности в сфере финансовых рынков;
  • о планируемых мероприятиях, включая выпуск пресс-релизов и проведение пресс-конференций, размещение информации на официальных сайтах в сети "Интернет", в отношении инцидентов защиты информации не позднее одного рабочего дня до дня проведения мероприятия.
Некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны предоставлять в Банк России сведения, указанные в абзацах втором - четвертом настоящего пункта, с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае технической невозможности взаимодействия некредитных финансовых организаций с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России некредитные финансовые организации, реализующие усиленный, стандартный и минимальный уровни защиты информации, должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия, форме и сроках направления сведений размещается на официальном сайте Банка России в сети "Интернет".
Положение Банка России № 683-П от 17.04.2019 "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента":
8.
8. Кредитные организации к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств (далее - инциденты защиты информации), должны относить события, которые привели или могут привести к осуществлению банковских операций без согласия клиента, неоказанию услуг, связанных с осуществлением банковских операций, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети "Интернет" (далее - перечень типов инцидентов).

Связанные защитные меры

Ничего не найдено

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.