Куда я попал?
Условия по защите информации Банка России
Правила
Глава 2. Меры по защите информации при осуществлении переводов денежных средств в платежной системе Банка России
Для проведения оценки соответствия по документу войдите в систему.
Список требований
-
Требование начнет действовать с 01.01.20272.1. Клиенты, являющиеся кредитными организациями (их филиалами), филиалами иностранных банков, через которые иностранные банки осуществляют деятельность на территории Российской Федерации (далее - филиалы иностранных банков) <3>, имеющие доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде (за исключением централизованных филиалов), обеспечивают выполнение требований, установленных Банком России на основании пункта 19 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", части пятой статьи 5 Федерального закона от 2 декабря 1990 года N 395-I "О банках и банковской деятельности", а также подпунктов 2.3.4 - 2.3.6 пункта 2.3 и приложения 6 к настоящим Условиям.
<3> Указанное требование для филиалов иностранных банков применяется с 01.01.2027. До 01.01.2027 филиалы иностранных банков руководствуются пунктом 2.3 настоящих Условий. -
2.3.1. Клиенты должны размещать объекты информационной инфраструктуры, используемые при обмене ЭС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Размещение в сегментах (группах сегментов) вычислительных сетей, в которых расположены объекты информационной инфраструктуры, используемые при обмене ЭС, иных объектов информационной инфраструктуры не допускается.АРМ обмена должно быть реализовано в выделенном (отдельном) сегменте (группах сегментов) вычислительных сетей с использованием отдельного рабочего места.Контур формирования ЭС и контур контроля реквизитов ЭС в информационной инфраструктуре Клиента должны быть реализованы с привлечением отдельных работников для выполнения функций операторов, администраторов и администраторов информационной безопасности в каждом из контуров.Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Клиенты должны применять меры защиты информации, реализующие минимальный уровень (уровень 3) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 08.08.2017 N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).
-
2.3.2. Документы Клиентов, определяющие порядок обеспечения защиты информации при обмене ЭС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:
-
2.5. Выполнение требований к защите информации подтверждается документами Клиента, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Клиента подписываются руководителем Клиента либо уполномоченным лицом и представляются по запросу Банка России <5> при проведении проверки выполнения требований к защите информации.
Клиент предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте о готовности Клиента к обмену ЭС с Банком России, в том числе в подразделении Клиента.Клиент обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.Клиент обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее пятого рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, одним из способов, указанных в пункте 1.11.До начала обмена ЭС Клиент представляет в подразделение Банка России, обслуживающее счет Клиента, акт о готовности Клиента к обмену ЭС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, одним из способов, указанных в пункте 1.11.В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности Клиента к обмену ЭС с Банком России, Клиент обязан представить в подразделение Банка России, обслуживающее счет Клиента, актуальную информацию не позднее пятого рабочего дня после внесения изменений одним из способов, указанных в пункте 1.11. -
2.8. Косвенные участники Клиента до начала обмена ЭС сообщают Клиенту о готовности к обмену ЭС с Банком России.
Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации и информирует Банк России о готовности косвенного участника к обмену ЭС с Банком России с использованием способов, указанных в пункте 1.11. -
2.9. Клиент должен обеспечить получение Клиентом от косвенного участника Клиента информации о нарушениях требований к обеспечению защиты информации при обмене ЭС, в том числе которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств.
При поступлении указанной информации от косвенных участников Клиента Клиент должен информировать Банк России в соответствии с требованиями подпункта 2.3.9 пункта 2.3 настоящих Условий.
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.