Требования к техническим средствам и программному обеспечению, реализующим криптографические механизмы информационной инфраструктуры значимой платежной системы, используемых при осуществлении переводов денежных средств по карточным счетам (выписка)

1.1. Ведение
Требования к техническим средствам и программному обеспечению реализующим криптографические механизмы информационной инфраструктуры значимой платежной системы, используемых при осуществлении переводов денежных средств по карточным счетам (далее – Требования) определяет требования Российской Федерации по информационной безопасности к техническим средствам и программному обеспечению, реализующим криптографические механизмы в:

Требования не распространяются на использование шифровальных (криптографических) средств и изделий иностранного производства, а также шифровальные (криптографические) средства, реализующие исключительно иностранные криптографические механизмы (то есть криптографические механизмы, не определяемые в документах национальной системы стандартизации в области криптографической защиты информации).
Криптографические механизмы в технических средствах и программном обеспечении информационной инфраструктуры платежных систем должны быть реализованы в СКЗИ.
Средства криптографической защиты информации, используемые в технических средствах и программном обеспечении, должны разрабатываться в соответствии с Положением ПКЗ-2005, утвержденным Приказом ФСБ России от 9 февраля 2005 года № 66 (зарегистрированном в Минюсте России 3 марта 2005 г., регистрационный № 6382).
Предельные числовые значения рассматриваемых в Требованиях механизмов безопасности определяются ФСБ России.
Методики подтверждения указанных в Требованиях свойств и обеспечения противодействия атакам согласуются с ФСБ России.
Требования не могут быть использованы при оценке стойкости иностранных криптографических механизмов, не распространяются на проверку функциональных требований, предъявляемых к техническим средствам и программному обеспечению информационной инфраструктуры платежных систем, а также на проверку систем защиты от сетевых (компьютерных) атак.
Требования подготовлены взамен Требований к средствам криптографической защиты информации в платежных устройствах с терминальным ядром, серверных компонентах платежных систем (HSM Модулях), платежных карт и иных технических средствах информационной инфраструктуры платежной системы, используемых при осуществлении переводов денежных средств, указанных в пункте 2.20 Положения Банка России от 9 июня 2012 г. № 382-П.
Настоящая выписка содержит обобщенные положения Требований и предназначена для заказчиков средств. Для разработчиков и специализированных организаций необходимо руководствоваться действующей редакцией Требований. 

1.2. Термины и определения
В Требованиях применяются следующие термины с соответствующими определениями:

В дополнение к указанному списку следует руководствоваться терминами и определениями из документа Р 1323565.1.012-2017 «Информационная технология. Криптографическая защита информации. Принципы разработки и модернизации шифровальных (криптографических) средств защиты информации», Положения ПКЗ-2005, а также ПНСТ 799-2022 «Предварительный национальный стандарт Российской Федерации. Информационные технологии. Криптографическая защита информации. Термины и определения». 

Требования содержат описание модели нарушителя, общие принципы построения СКЗИ, требования к мерам безопасности па этапах жизненного цикла, требования к эксплуатационной документации, а также обязательные приложения<1>, описывающие специальные требования:

К защищаемым данным относятся: ПИН-код, код верификации карты, ключи шифрования, ключи аутентификации, иные криптографические ключи, критичные данные аутентификации, пароли/коды аутентификации, а также в некоторых случаях PAN. 

Кроме дистанционного распределения ключей, к удаленным административным функциям также относятся:

В ТЗ на разработку (модернизацию) СКЗИ мoгyт предъявляться дополнительные требования к СКЗИ, не противоречащие принципам Требований. 
СКЗИ считается прошедшим оценку соответствия требованиям, если для ввода СКЗИ в эксплуатацию не требуется проведение дополнительных тематических исследований СКЗИ после получения положительного заключения ФСБ России о соответствии СКЗИ Требованиям и требованиям ФСБ России к СКЗИ соответствующего класса защиты.
В отдельных случаях, при наличии соответствующего обоснования по решению Банка России и ФСБ России может быть разрешена эксплуатация СКЗИ, когда отдельные положения требований по безопасности информации к ним не выполнены.