Положение Банка России № 833-П от 07.12.2023

• информации, содержащейся в документах, составленных при осуществлении операций с цифровыми рублями, формируемых участниками платформы, пользователями платформы цифрового рубля и оператором платформы цифрового рубля;
• информации, необходимой для идентификации, аутентификации и авторизации пользователей платформы цифрового рубля при совершении действий в целях осуществления операций с цифровыми рублями;
• информации о предоставлении, приостановлении, возобновлении или прекращении доступа к платформе цифрового рубля, о счете цифрового рубля, об остатке цифровых рублей на счете цифрового рубля, а также о совершенных операциях с цифровыми рублями;
• информации об исполненных и планируемых к исполнению сделках, содержащих условия, предусмотренные частью второй статьи 309 Гражданского кодекса Российской Федерации;
• ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемых для обеспечения криптографической защиты операций с цифровыми рублями (далее - криптографические ключи);
• информации о конфигурации, определяющей параметры работы объектов информационной инфраструктуры, а также информации о конфигурации, определяющей параметры работы технических средств защиты информации.

• состав организационных мер защиты информации и порядок их применения, а также состав технических средств защиты информации и порядок их использования;
• порядок подготовки, обработки, передачи и хранения сообщений в электронном виде, связанных с осуществлением операций с цифровыми рублями (далее - электронные сообщения), и защищаемой информации, предусмотренной пунктом 2 настоящего Положения, с использованием объектов информационной инфраструктуры;
• список лиц (за исключением пользователей платформы цифрового рубля), допущенных к работе с СКЗИ, с определением прав использования криптографических ключей;
• список лиц (за исключением пользователей платформы цифрового рубля), ответственных за обеспечение функционирования и безопасности СКЗИ (ответственные пользователи СКЗИ);
• список лиц (за исключением пользователей платформы цифрового рубля), обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей;
• состав технологических мер защиты информации, используемых для контроля целостности, подтверждения подлинности и обеспечения конфиденциальности электронных сообщений на этапах их подготовки, обработки, передачи и хранения, и правила их применения, в том числе порядок применения СКЗИ и управления ключевой информацией СКЗИ.

• использования усиленной неквалифицированной электронной подписи, реализуемой средствами электронной подписи не ниже класса КС2, предусмотренного пунктом 14 Требований к средствам электронной подписи, утвержденных приказом ФСБ России № 796 (далее - Требования к средствам электронной подписи), для контроля целостности и подтверждения подлинности электронных сообщений, в том числе применяемой для контроля целостности и подтверждения подлинности электронных сообщений пользователей платформы цифрового рубля;
• использования усиленной неквалифицированной электронной подписи, реализуемой средствами электронной подписи не ниже класса КСЗ, предусмотренного пунктом 15 Требований к средствам электронной подписи, утвержденных приказом ФСБ России № 796 (далее - Требования к средствам электронной подписи), для контроля целостности и подтверждения подлинности электронных сообщений, в том числе применяемой для контроля целостности и подтверждения подлинности электронных сообщений пользователей платформы цифрового рубля;
• шифрования (расшифрования) электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 государственного стандарта Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель" (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ не ниже класса КС2, предусмотренного пунктом 11 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378.5 (далее - Состав и содержание организационных и технических мер), прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
• шифрования (расшифрования) электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 государственного стандарта Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель" (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ не ниже класса КСЗ, предусмотренного пунктом 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378.7 (далее - Состав и содержание организационных и технических мер), прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
• обработки электронных сообщений и контроля реквизитов электронных сообщений с использованием объектов информационной инфраструктуры в соответствии с Требованиями к обеспечению защиты информации, применяемыми в отношении технологии обработки и передачи электронных сообщений при осуществлении операций с цифровыми рублями, предусмотренными приложением 1 к настоящему Положению;
• использования технологии виртуальных частных сетей между участником платформы и оператором платформы цифрового рубля с использованием СКЗИ не ниже класса КС2, предусмотренного пунктом 11 Состава и содержания организационных и технических мер.

Абзацы третий и пятый подпункта 14.1 вступают в силу с 1 января 2025 года
Абзацы второй и четвертый подпункта 14.1 действуют по 31 декабря 2024 года

• использования усиленной неквалифицированной электронной подписи, реализуемой средствами электронной подписи не ниже класса КС2 на стороне участника платформы и средствами электронной подписи не ниже класса КС1 на стороне пользователя платформы цифрового рубля, предусмотренных соответственно пунктами 14 и 13 Требований к средствам электронной подписи, для контроля целостности и подтверждения подлинности электронных сообщений;
• использования усиленной неквалифицированной электронной подписи, реализуемой средствами электронной подписи не ниже класса КСЗ на стороне участника платформы и средствами электронной подписи не ниже класса КС1 на стороне пользователя платформы цифрового рубля, предусмотренных соответственно пунктами 15 и 13 Требований к средствам электронной подписи, для контроля целостности и подтверждения подлинности электронных сообщений;
• шифрования (расшифрования) электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ не ниже класса КС2 на стороне участника платформы и СКЗИ не ниже класса КС1 на стороне пользователя платформы цифрового рубля, предусмотренных соответственно пунктами 11 и 10 Состава и содержания организационных и технических мер, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
• шифрования (расшифрования) электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ не ниже класса КСЗ на стороне участника платформы и СКЗИ не ниже класса КС1 на стороне пользователя платформы цифрового рубля, предусмотренных соответственно пунктами 12 и 10 Состава и содержания организационных и технических мер, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
• применения СКЗИ не ниже класса КС2, предусмотренного пунктом 11 Состава и содержания организационных и технических мер, на стороне участника платформы и СКЗИ не ниже класса КС1, предусмотренного пунктом 10 Состава и содержания организационных и технических мер, на стороне пользователя платформы цифрового рубля, через использование которых реализуются двухсторонняя аутентификация и шифрование информации на уровне представления или ниже в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.

Абзацы третий и пятый подпункта 14.2 вступают в силу с 1 января 2025 года
Абзацы второй и четвертый подпункта 14.2 действуют по 31 декабря 2024 года

• оценка соответствия должна проводиться в пределах выделенных сегментов (групп сегментов) вычислительных сетей, указанных в пункте 5 настоящего Положения;
• оценка соответствия должна осуществляться в соответствии с разделом 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия" (далее - ГОСТ Р 57580.2-2018).

• расшифрование электронного сообщения;
• проверку электронной подписи, с использованием которой подписано электронное сообщение;
• структурный контроль электронного сообщения;
• проверку правильности заполнения полей электронного сообщения;
• подписание электронного сообщения электронной подписью участника платформы;
• направление электронного сообщения в контур контроля.

• проверку электронной подписи, с использованием которой подписано электронное сообщение;
• структурный контроль электронного сообщения;
• проверку правильности заполнения полей электронного сообщения;
• контроль отсутствия дублирования электронного сообщения;
• подписание электронного сообщения электронной подписью участника платформы;
• шифрование электронного сообщения, передаваемого на платформу цифрового рубля.

• расшифрование электронного сообщения;
• проверку электронной подписи, с использованием которой подписано электронное сообщение;
• структурный контроль электронного сообщения;
• подписание электронного сообщения электронной подписью участника платформы;
• направление электронного сообщения в контур обработки.

• проверку электронной подписи, с использованием которой подписано электронное сообщение;
• структурный контроль электронного сообщения;
• проверку правильности заполнения полей электронного сообщения;
• контроль отсутствия дублирования электронного сообщения;
• шифрование электронного сообщения, передаваемого пользователю платформы цифрового рубля.

• иметь документированный процесс разработки, тестирования и эксплуатации приложения клиента, включая описания реализуемых мер, контролей и проверок по обеспечению защиты информации, а также процесс управления версиями и изменениями программного обеспечения, реализующего приложение клиента;
• применять меры защиты информации в соответствии с подпунктами 4.1 и 4.2 пункта 4 настоящего Положения для объектов информационной инфраструктуры, с использованием которых обеспечиваются эксплуатация и функционирование приложения клиента.

• реализовать механизм доставки пользователю платформы цифрового рубля уведомлений об операциях с цифровыми рублями;
• реализовать механизм обработки ошибок и (или) исключений, возникающих в процессе работы приложения клиента, в рамках которого обеспечиваются корректная обработка и информирование пользователя платформы цифрового рубля об ошибках, в том числе о сбоях при подключении к приложению клиента, недоступности приложения клиента;
• реализовать механизм проверки корректности данных, вводимых пользователем платформы цифрового рубля в приложении клиента;
• регистрировать события защиты информации (в том числе события, связанные с неуспешной аутентификацией и авторизацией, ошибками при управлении доступом и проверке входных данных) при функционировании приложения клиента;
• реализовать механизм незамедлительной блокировки и последующего досрочного прекращения действия или аннулирования сертификата ключа проверки электронной подписи пользователя платформы цифрового рубля в случае компрометации ключа электронной подписи;
• досрочно прекратить действие сертификата ключа проверки электронной подписи пользователя платформы цифрового рубля - юридического лица и сменить аутентификационные данные для доступа пользователя платформы цифрового рубля - юридического лица к приложению клиента при обращении пользователя платформы цифрового рубля - юридического лица к участнику платформы.

• реализации механизма информирования пользователя платформы цифрового рубля о необходимости применения обновлений мобильного приложения, связанных с обеспечением защиты информации;
• реализации альтернативных способов обновления и (или) установки мобильного приложения в случае наличия ограничений обновления и (или) установки мобильного приложения из основного источника;
• реализации механизма, исключающего возможность использования сторонних программных средств ввода и отключения механизма регистрации истории ввода при вводе данных пользователя платформы цифрового рубля, в том числе аутентификационных данных пользователя платформы цифрового рубля;
• обеспечения контроля целостности прикладного программного обеспечения и контроля среды его функционирования при запуске мобильного приложения до момента обращения пользователя платформы цифрового рубля к его функционалу;
• реализации механизма блокировки доступа к мобильному приложению при неоднократных неуспешных попытках аутентификации.