Правила Платежной системы "Сбербанк"

16.2 В Платежной системе функции по оценке и управлению рисками кибербезопасности распределяются между Оператором платежной системы и Участниками платежной системы.

16.4 Оператор платежной системы определяет требования к Участникам платежной системы в части системы управления рисками кибербезопасности.

16.5 Оператор и Участники обеспечивают защиту платежных документов на всех этапах жизненного цикла.

16.6 Оператор ПС обеспечивает<4>:

16.7 Технологические меры по обеспечению защиты информации при осуществлении переводов денежных денежный средств, включая меры по обеспечению защиты информации при осуществлении переводов денежных средств на технологических участках, в которые входят:

16.8 Оператор и Участники платежной системы самостоятельно управляют рисками кибербезопасности. Система управления рисками каждого Участника платежной системы должна включать, в том числе, назначение ответственных сотрудников и (или) наделение соответствующими полномочиями подразделений, ответственных за управление рисками и разработку внутренних правил по управлению рисками. Участники платежной системы несут ответственность за реализацию рисков кибербезопасности в их деятельности в соответствии с Правилами, требованиями законодательства Российской Федерации или законодательства, применимого к Участнику.

16.9 Оператор и Участники платежной системы принимают организационные и технические меры по обеспечению защиты информации в течение всего процесса обмена электронными сообщениями и другой информацией при осуществлении перевода денежных средств, в том числе: 

16.10 Оператор и Участники платежной системы в соответствии с требованиями Банка России принимают меры антивирусной защиты своей информационной инфраструктуры, в числе которых обеспечивают:

16.11 В случае обнаружения вредоносного ПО (далее - ВПО), мероприятия Участника (Оператора платежной системы по минимизации ущерба от его воздействия на информационную инфраструктуру Участника) включают:

<6> В зависимости от того, на чьей стороне зафиксирован инцидент. 
<7> В зависимости от того, на чьей стороне зафиксирован инцидент.
<8> В случае масштабного воздействия вредоносного кода, по решению Оператора (Участника).

16.14 Участники платежной системы предоставляют Оператору платежной системы отчет об инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - Отчет) ежемесячно (далее - отчетный период), не позднее пятого рабочего дня, следующего за месяцем, в котором были выявлены инциденты. Отчет должен содержать: даты возникновения и устранения инцидента, описание инцидента, меры, принятые для его устранения и предупреждения его возникновения в дальнейшем. В случае, если в течение отчетного периода инциденты в Платежной системе Участником выявлены не были, отправка Отчета не является обязательной для Участника.

16.16 В случае выявления инцидента, для устранения которого необходимо привлечение Оператора платежной системы, Участник платежной системы не позднее следующего рабочего дня информирует Оператора платежной системы об этом инциденте и о том, что требуется его участие в устранении инцидента. Оператор информирует Участника аналогичным образом, в случае выявления им инцидента, для устранения которого требуется привлечение Участника.

16.17 Участники ПС и Оператор обязаны информировать Банк России:

16.19.1 для Участников, разрабатывающих Прикладное ПО самостоятельно:

Прикладное ПО подлежит обязательной сертификации в случаях, определяемых законодательством РФ. 
Участник вправе провести оценку соответствия Прикладного ПО в соответствии с Федеральным законом от 27.12.2002 № 184-ФЗ «О техническом регулировании».

<11> Security Data Life Cycle - безопасный жизненный цикл.

16.19.2 для всех Участников:

16.20 Участники обеспечивают доступ своих работников только к той информации, которая необходима для выполнения должностных обязанностей. В должностные обязанности работников, участвующих в обработке информации, должны быть внесены требования по защите информации.

16.21 Участниками и Оператором используются технические средства защиты информации, в том числе:

16.22 Для проведения работ по обеспечению защиты информации Участники и Оператор вправе привлекать организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации. При этом до начала работ со сторонней организацией - исполнителем работ (оказанию услуг) по обеспечению защиты информации должно быть заключено Соглашение о неразглашении конфиденциальной информации. Договором на проведение работ (оказание услуг) по обеспечению защиты информации должна быть предусмотрена ответственность сторонней организации за оказание услуг по защите информации ненадлежащего качества, а также ответственность (в том числе финансовая) за инцидент информационной безопасности, произошедший в ходе выполнения работ, или вследствие оказания услуг по защите информации ненадлежащего качества, а также возмещение потерь (ущерба).

16.23 Оператор платежной системы обеспечивает учет и ведение информации о выявленных в платежной системе инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств.

16.24 Оператор платежной системы информирует Участников о выявленных в платежной системе инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств путем размещения данной информации на сайте Оператора платежной системы. Указанная информация обновляется ежегодно.

16.26 Участники и Оператор реализуют мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в порядке, определенном Указанием Банка России от 08.10.2018 № 4926-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента», а именно:

16.28 В целях реализации мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента Оператор применяет систему выявления и мониторинга переводов денежных средств без согласия клиента в Платежной системе, функционирующую на основе следующих базовых принципов:

<13> Система непрерывного наблюдения, выявления, регистрации, а также предотвращения событий, связанных с мошенническими схемами.

16.29 В целях противодействия осуществлению переводов денежных средств без согласия клиента Участник ПС обязан реализовать систему выявления и мониторинга переводов денежных средств без согласия клиента, позволяющую выявлять признаки осуществления переводов денежных средств без согласия клиента в соответствии с Приказом Банка России «Признаки осуществления перевода денежных средств без согласия клиента» от 27.09.2018 №ОД-2525. Участник ПС также обязан:

16.30 Участники в рамках своей системы управления рисками кибербезопасности обязаны: 

16.31 Процессы выявления и идентификации рисков кибербезопасности Участников платежной системы должны быть направлены на идентификацию событий, действий, условий, которые могут оказать влияние на информационные системы и бизнес-процессы, реализующие услуги в рамках Платежной системы, а также определение возможных последствий, анализ причин и источников возникновения событий рисков кибербезопасности.

16.32 Выявление и идентификация риска кибербезопасности Участниками платежной системы должна включать следующие способы, но не ограничиваясь:

16.33 Участник платежной системы должен использовать результаты процедуры выявления и идентификации рисков кибербезопасности для проведения процедур количественной и (или) качественной оценки рисков кибербезопасности и корректного учета связи идентифицированного риска с событиями риска кибербезопасности. Участники платежной системы самостоятельно определяют методику оценки рисков кибербезопасности, включающую в себя порядок оценки воздействия и вероятности реализации риска кибербезопасности.

16.35 Участники платежной системы осуществляют контроль и мониторинг риска кибербезопасности в целях своевременного выявления ситуаций, требующих принятия мер реагирования. Мониторинг должен осуществляться в том числе путем отслеживания количественных и качественных показателей уровня риска кибербезопасности.

16.37 Обязательными количественными показателями уровня риска кибербезопасности, подлежащими доведению до сведения Оператора, являются:

16.38 Для каждого показателя уровня риска кибербезопасности должны быть установлены:

16.41 Сведения об установленных показателях уровня риска кибербезопасности, их пороговых и фактических значениях Участники платежной системы должны предоставлять Оператору по запросу. Порядок и сроки предоставления сведений устанавливаются Оператором.

16.43 В случае выявления факта(ов) превышения Участниками ПС «Сбербанк» пороговых значений показателей уровня риска кибербезопасности, оператор ПС вправе ввести ограничения параметров операций перевода Участниками ПС денежных средств. Решение об ограничениях осуществления Участником переводов денежных средств принимаются Управляющим комитетом ПАО Сбербанк по управлению рисками в Платежной системе «Сбербанк». В качестве ограничений к Участнику могут быть применены, в частности, ограничения по сумме и/или количеству переводов денежных средств, приостановление проведения платежей на согласованный с Участником срок устранения выявленных нарушений. При получении от Участника информации о доведении значений показателей уровня риска кибербезопасности до установленных значений, либо о проведении мероприятий по устранению выявленных нарушений Оператор ПС принимает решение о достаточности/недостаточности проведенной Участником работы по снижению уровня риска кибербезопасности и о возможности снятия установленных ограничений на осуществление переводов денежных средств.

16.44 Участники и Оператор не вправе раскрывать третьим лицам сведения об операциях и о счетах Оператора или Участников, а также об операциях и счетах клиентов Оператора или Участников, за исключением передачи информации в рамках Платежной системы и случаев, предусмотренных федеральным законодательством.

16.46 Оператор самостоятельно определяет требования и порядок защиты информации при осуществлении переводов денежных средств в Правилах и в своих внутренних нормативных документах, и вправе вносить в них изменения при пересмотре порядка обеспечения защиты информации в случаях:

16.47 Участники, присоединяясь к Правилам, исполняют требования Оператора, предъявляемые к защите информации и системе управления рисками кибербезопасности в Платежной системе, а также обеспечивают выполнение требований к защите информации и системе управления рисками кибербезопасности, предъявляемых законодательством РФ, в том числе, требований Банка России.

16.49 Состав и порядок применения организационных мер защиты информации, не предусмотренных настоящими Правилами, определяется Оператором и Участниками самостоятельно, на основании результата мероприятий по анализу рисков.

16.50 В целях анализа мер по защите информации при осуществлении переводов денежных средств в Платежной системе Участники, по запросу Оператора, направляют ему, в том числе, следующие сведения по обеспечению защиты информации, отражаемые в формах обязательной статистической отчетности Банка России, установленных Указанием от 14.06.2012 № 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств":