Куда я попал?
Условия по защите информации Банка России
Правила
Условия по защите информации Банка России.
Также содержат:
- Условиями управления криптографическими ключами;
- Порядок направления обращений о приостановлении (возобновлении) обмена ЭС или заявлений о приостановлении (возобновлении) обмена ФС в случае выявления инцидента, связанного с несоблюдением клиентом (пользователем) требований к защите информации;
- Требования к использованию СКЗИ;
- Требованиями к формированию ЭС и контролю реквизитов ЭС;
- Требованиями к формированию ФС и контролю реквизитов ФС.
Для проведения оценки соответствия по документу войдите в систему.
Для оценки соответствия
- авторизуйтесь
- авторизуйтесь
Планируемый уровень
Текущий уровень
Список требований
-
1.4. Кроме того, в настоящих Условиях используются следующие термины и сокращения:
- администратор информационной безопасности (далее - АИБ) - лицо, назначенное Клиентом (Пользователем) и выполняющее обязанности по администрированию средств защиты и механизмов защиты, реализующих требования по обеспечению информационной безопасности;
- администратор ключевой системы (далее - АКС) - лицо, назначенное владельцем криптографического ключа ответственным за управление криптографическими ключами, в том числе за формирование криптографических ключей и обеспечение безопасности криптографических ключей;
- владелец ключа электронной подписи, ключа шифрования (владелец криптографического ключа) - Банк России, Клиент, Пользователь или косвенный участник платежной системы Банка России, являющийся клиентом участника обмена - Клиента (далее - косвенный участник Клиента);
- инцидент - нарушение требований к обеспечению защиты информации при обмене ЭС или ФС, в том числе нарушение, которое привело или может привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств;
- клиент косвенного участника с доступом к ТПСБП - лицо, заключившее с косвенным участником, имеющим доступ к услугам по трансграничному переводу денежных средств с использованием сервиса быстрых платежей платежной системы Банка России (далее - ТПСБП), договор, предусматривающий оказание услуг по переводу денежных средств;
- клиент участника СБП, имеющего доступ к ТПСБП - лицо, заключившее договор с участником СБП, имеющим доступ к ТПСБП, предусматривающий оказание услуг по переводу денежных средств;
- ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи с использованием средств криптографической защиты информации;
- ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи;
- ключ шифрования - уникальная последовательность символов, используемая при зашифровании и расшифровании ЭС и ФС;
- ключевая информация - криптографические ключи: ключи электронной подписи и ключи проверки электронной подписи (ключи аутентификации), закрытые и открытые ключи шифрования, симметричные ключи шифрования, а также сертификаты открытых ключей шифрования, сертификаты ключей проверки электронной подписи, справочники сертификатов, справочники открытых ключей шифрования/ключей проверки электронной подписи и другая вспомогательная технологическая информация, необходимая для обеспечения процессов изготовления, эксплуатации криптографических ключей и управления криптографическими ключами;
- ключевой носитель - отчуждаемый машинный носитель информации, содержащий криптографический ключ;
- криптографический ключ - ключ электронной подписи и (или) ключ шифрования;
- компрометация криптографического ключа - событие, определяемое владельцем криптографического ключа как ознакомление неуполномоченным лицом (лицами) с его криптографическим ключом;
- косвенный участник Клиента - организация, соответствующая критериям, определенным для косвенных участников Клиента платежной системы Банка России нормативным актом Банка России на основании части 9 статьи 20 Федерального закона N 161-ФЗ;
- косвенный участник Клиента с доступом к ТПСБП - иностранный банк (иностранная кредитная организация), иностранный центральный (национальный) банк, которому доступ к ТПСБП предоставляется через участника СБП с доступом к ТПСБП - кредитную организацию (ее филиал), международную финансовую организацию, клиентом которой он является, в соответствии с договором счета, заключенным указанным участником СБП с Банком России.
- объекты информационной инфраструктуры - автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация и использование которых обеспечиваются Клиентом (Пользователем) для участия в обмене ЭС и ФС;
- пользователь ключа электронной подписи, ключа шифрования (далее - пользователь криптографического ключа) - лицо, назначенное владельцем криптографического ключа и уполномоченное им использовать криптографический ключ от имени владельца криптографического ключа;
- регистрационная карточка сертификата ключа проверки электронной подписи (далее - регистрационная карточка сертификата ключа) - документ, содержащий распечатку сертификата ключа проверки электронной подписи (включая распечатку в шестнадцатеричной системе счисления ключа проверки электронной подписи, наименование и иные реквизиты, идентифицирующие владельца ключа электронной подписи, подпись руководителя (лица, его замещающего) владельца ключа электронной подписи или лица из числа работников владельца ключа электронной подписи, уполномоченного на подписание регистрационной карточки сертификата ключа от имени владельца ключа электронной подписи, а также оттиск печати (при ее наличии);
- регистрационный центр - подразделение Банка России, выполняющее функции регистрации и сертификации ключей электронной подписи, а также управления ключами проверки электронной подписи Клиента, косвенного участника Клиента, Пользователя и ключами шифрования, применяемыми при обмене ЭС и ФС;
- СБП - сервис быстрых платежей платежной системы Банка России;
- сертификат ключа проверки электронной подписи - документ в электронном виде, выданный регистрационным центром и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа;
- средства криптографической защиты информации (далее - СКЗИ) - аппаратные и (или) программные средства, обеспечивающие создание и проверку электронной подписи, создание ключей электронной подписи, а также реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при обмене ЭС по каналам связи либо с использованием отчуждаемых машинных носителей информации;
- уполномоченное лицо <1> - лицо, уполномоченное на подписание от имени Клиента, косвенного участника Клиента, Пользователя регистрационных карточек сертификатов ключей проверки электронной подписи, запросов на выпуск сертификатов ключей проверки электронной подписи, а также на направление и (или) подписание обращений (заявлений) о приостановлении (отмене приостановления) обмена ЭС или о приостановлении (возобновлении) оказания услуг по передаче ФС в случае выявления инцидента, связанного с несоблюдением Клиентом, Пользователем требований к защите информации, который привел или может привести к осуществлению перевода денежных средств без согласия клиента;
- электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
<1> Может осуществляться уполномочивание нескольких лиц. Копии документов о наделении соответствующими полномочиями предоставляются в Банк России. -
1.7. При обмене в электронном виде сведениями о реализованных мерах и средствах защиты информации, а также материалами работы согласительной комиссии, созданной в соответствии с приложением 5 к настоящим Условиям, применяются организационные и технические меры защиты информации, в том числе предназначенные для предотвращения несанкционированного доступа к содержанию защищаемой информации при передаче по открытым каналам связи, а также с использованием информационно-телекоммуникационной сети "Интернет".
-
Требование начнет действовать с 01.01.20272.1. Клиенты, являющиеся кредитными организациями (их филиалами), филиалами иностранных банков, через которые иностранные банки осуществляют деятельность на территории Российской Федерации (далее - филиалы иностранных банков) <3>, имеющие доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде (за исключением централизованных филиалов), обеспечивают выполнение требований, установленных Банком России на основании пункта 19 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", части пятой статьи 5 Федерального закона от 2 декабря 1990 года N 395-I "О банках и банковской деятельности", а также подпунктов 2.3.4 - 2.3.6 пункта 2.3 и приложения 6 к настоящим Условиям.
<3> Указанное требование для филиалов иностранных банков применяется с 01.01.2027. До 01.01.2027 филиалы иностранных банков руководствуются пунктом 2.3 настоящих Условий. -
2.3.1. Клиенты должны размещать объекты информационной инфраструктуры, используемые при обмене ЭС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Размещение в сегментах (группах сегментов) вычислительных сетей, в которых расположены объекты информационной инфраструктуры, используемые при обмене ЭС, иных объектов информационной инфраструктуры не допускается.АРМ обмена должно быть реализовано в выделенном (отдельном) сегменте (группах сегментов) вычислительных сетей с использованием отдельного рабочего места.Контур формирования ЭС и контур контроля реквизитов ЭС в информационной инфраструктуре Клиента должны быть реализованы с привлечением отдельных работников для выполнения функций операторов, администраторов и администраторов информационной безопасности в каждом из контуров.Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Клиенты должны применять меры защиты информации, реализующие минимальный уровень (уровень 3) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).
-
2.3.2. Документы Клиентов, определяющие порядок обеспечения защиты информации при обмене ЭС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:
-
2.5. Выполнение требований к защите информации подтверждается документами Клиента, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Клиента подписываются руководителем Клиента либо уполномоченным лицом и представляются по запросу Банка России <5> при проведении проверки выполнения требований к защите информации.
Клиент предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте о готовности Клиента к обмену ЭС с Банком России, в том числе в подразделении Клиента.Клиент обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.Клиент обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее пятого рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, одним из способов, указанных в пункте 1.11.До начала обмена ЭС Клиент представляет в подразделение Банка России, обслуживающее счет Клиента, акт о готовности Клиента к обмену ЭС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, одним из способов, указанных в пункте 1.11.В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности Клиента к обмену ЭС с Банком России, Клиент обязан представить в подразделение Банка России, обслуживающее счет Клиента, актуальную информацию не позднее пятого рабочего дня после внесения изменений одним из способов, указанных в пункте 1.11. -
2.8. Косвенные участники Клиента до начала обмена ЭС сообщают Клиенту о готовности к обмену ЭС с Банком России.
Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации и информирует Банк России о готовности косвенного участника к обмену ЭС с Банком России с использованием способов, указанных в пункте 1.11. -
2.9. Клиент должен обеспечить получение Клиентом от косвенного участника Клиента информации о нарушениях требований к обеспечению защиты информации при обмене ЭС, в том числе которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств.
При поступлении указанной информации от косвенных участников Клиента Клиент должен информировать Банк России в соответствии с требованиями подпункта 2.3.9 пункта 2.3 настоящих Условий. -
3.1.1. Пользователи должны размещать объекты информационной инфраструктуры, используемые при обмене ФС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Размещение в сегментах (группах сегментов) вычислительных сетей, в которых расположены объекты информационной инфраструктуры, используемые при обмене ФС, иных объектов информационной инфраструктуры не допускается.
АРМ обмена должно быть реализовано в выделенном (отдельном) сегменте (группах сегментов) вычислительных сетей с использованием отдельного рабочего места.
Контур формирования ФС и контур контроля реквизитов ФС в информационной инфраструктуре Пользователя должны быть реализованы с привлечением отдельных работников для выполнения функций операторов, администраторов и администраторов информационной безопасности в каждом из контуров <6>.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Пользователи должны применять меры защиты информации, реализующие уровни защиты информации, определенные ГОСТ Р 57580.1-2017.
Пользователи, являющиеся системно значимыми кредитными организациями, кредитными организациями, выполняющими функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитными организациями, являющимися значимыми на рынке платежных услуг, должны реализовывать усиленный уровень (уровень 1) защиты информации.
Пользователи, являющиеся кредитными организациями, не относящимися к кредитным организациям, указанным в абзаце пятом настоящего подпункта, филиалами иностранных банков должны реализовывать стандартный уровень (уровень 2) защиты информации.
Пользователи, являющиеся кредитными организациями, которые должны реализовывать стандартный уровень защиты информации, ставшие кредитными организациями, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию
усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце пятом настоящего подпункта.
Пользователи, не являющиеся кредитными организациями, должны реализовывать минимальный уровень (уровень 3) защиты информации.
<6> В случае реализации подписания ФС в информационной инфраструктуре (автоматизированной системе) Пользователя. -
3.1.2. Документы Пользователей, определяющие порядок обеспечения защиты информации при обмене ФС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации, а также состав и порядок использования технических средств защиты информации.
Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017: -
3.3. В случае выявления Пользователем несоблюдения им требований к защите информации приостановление оказания услуг по передаче ФС Пользователю осуществляется путем приостановления обмена через СПФС на основании заявления Пользователя о приостановлении оказания услуг по передаче ФС, содержащего сведения о несоблюдении Пользователем требований к защите информации, направленного в порядке, указанном в приложении 4 к настоящим Условиям.
-
3.4. Выполнение требований к защите информации при обмене ФС подтверждается документами Пользователя, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Пользователя подписываются руководителем Пользователя либо уполномоченным лицом и представляются по запросу Банка России <7> при проведении проверки выполнения требований к защите информации.
Пользователь предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте о готовности Пользователя к обмену ФС с использованием СПФС, в том числе в подразделении Пользователя.
Пользователь обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.
Пользователь обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее пятого рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, одним из способов, указанных в пункте 1.1.
До начала обмена ФС Пользователь представляет в подразделение Банка России, в котором заключен Договор с Пользователем, акт о готовности Пользователя к обмену ФС с использованием СПФС, форма которого приведена в приложении 2 к настоящим Условиям одним из способов, указанных в пункте 1.11.
В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности Пользователя к обмену ФС с использованием СПФС, Пользователь обязан представить в подразделение Банка России, в котором заключен Договор с Пользователем, актуальную информацию не позднее пятого рабочего дня после внесения изменений одним из способов, указанных в пункте 1.11.
<7> Способ предоставления информации указывается в запросе Банка России. -
3.5. Пользователи должны обеспечивать проведение ежегодных самостоятельных оценок выполнения требований к защите информации.
Проведение ежегодных самостоятельных оценок выполнения требований к защите информации осуществляется в соответствии с Приложением 9 к настоящим Условиям.
Результаты проведения ежегодных самостоятельных оценок выполнения требований к защите информации фиксируются Пользователями в акте, составляемом в соответствии Приложением 9 к настоящим Условиям, утверждаются руководителем (лицом, его замещающим), или должностным лицом, заключившим Договор от имени Пользователя.
Пользователи должны обеспечивать хранение акта проведения самостоятельной оценки выполнения требований к защите информации не менее 5 лет. -
Меры в части защиты информации:
Контур формирования ЭС и контур контроля реквизитов ЭС в информационной инфраструктуре участника ССНП должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров.АРМ обмена реализовано в выделенном (отдельном) сегменте (группах сегментов) вычислительных сетей с использованием отдельного рабочего места.
Перечень документов и описаний, отражающих реализацию правил материально-технического обеспечения формирования ЭС и контроля реквизитов ЭС, для участника ССНП <10>:
Участник ССНП направляет всю необходимую информацию <11>, подтверждающую выполнение указанных мер в части защиты информации, в соответствии с приложением 5 к настоящему Акту, в том числе:- название владельца и идентификаторы ключей ЭП с указанием их принадлежности к контуру формирования ЭС или контуру контроля реквизитов ЭС;
- сведения об АРМ, на которых осуществляется обработка защищаемой информации: сетевое имя, IP-адрес (при наличии - выделенный пул IP-адресов), MAC-адрес, соответствующий указанному IP-адресу, принадлежность к контуру формирования ЭС или контуру контроля реквизитов ЭС;
- реквизиты организационно-распорядительных документов участника о назначении операторов АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС;
- реквизиты организационно-распорядительных документов участника о назначении администраторов АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС;
- реквизиты организационно-распорядительных документов участника о назначении администраторов информационной безопасности АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС.
-
4. В целях направления обращений (заявлений) Клиент (Пользователь) должен обеспечить назначение должностных лиц, уполномоченных на направление и (или) подписание обращений (заявлений), и направление в Банк России письма, содержащего информацию об уполномоченных лицах, не позднее следующего дня после дня их назначения или изменения.
Указанное письмо составляется по форме, размещенной на сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://www.cbr.ru/information_security/fincert/, и направляется в Банк России (Департамент информационной безопасности) не позднее рабочего дня, следующего за днем их назначения или изменения, с использованием одного из способов, указанных в пункте 1.11. -
5. Не позднее одного рабочего дня после дня направления обращения (заявления) Клиент (Пользователь) должен направить оригинал обращения о приостановлении обмена ЭС (заявления о приостановлении оказания услуг по передаче ФС) или о возобновлении обмена ЭС (заявления о возобновлении оказания услуг по передаче ФС), оформленного в письменном виде, подписанного уполномоченным лицом и заверенного печатью Клиента (Пользователя) (при ее наличии), в Банк России с использованием одного из способов, указанных в пункте 1.11.
-
11. Если в течение двух рабочих дней на предложение Стороны-инициатора о создании комиссии ответ другой Стороны не был получен или был получен отказ от участия в работе комиссии, или другая Сторона препятствовала работе комиссии, Сторона-инициатор вправе составить акт в одностороннем порядке с указанием причины его составления. В акте приводится информация, указанная в пункте 10 настоящего приложения. Акт составляется в двух экземплярах, подписывается уполномоченными должностными лицами Стороны-инициатора. Один экземпляр акта направляется другой Стороне.
-
1. Защита информации Клиентами (косвенными участниками Клиента, Пользователями) с помощью СКЗИ должна обеспечиваться в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 09.02.2005 N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", зарегистрированным Министерством юстиции Российской Федерации 03.03.2005 N 6382, 25.05.2010 N 17350, и технической документацией на СКЗИ.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.