Условия по защите информации Банка России

3.1.1. Пользователи должны размещать объекты информационной инфраструктуры, используемые при обмене ФС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Размещение в сегментах (группах сегментов) вычислительных сетей, в которых расположены объекты информационной инфраструктуры, используемые при обмене ФС, иных объектов информационной инфраструктуры не допускается.
АРМ обмена должно быть реализовано в выделенном (отдельном) сегменте (группах сегментов) вычислительных сетей с использованием отдельного рабочего места.
Контур формирования ФС и контур контроля реквизитов ФС в информационной инфраструктуре Пользователя должны быть реализованы с привлечением отдельных работников для выполнения функций операторов, администраторов и администраторов информационной безопасности в каждом из контуров <6>.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Пользователи должны применять меры защиты информации, реализующие уровни защиты информации, определенные ГОСТ Р 57580.1-2017.
Пользователи, являющиеся системно значимыми кредитными организациями, кредитными организациями, выполняющими функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитными организациями, являющимися значимыми на рынке платежных услуг, должны реализовывать усиленный уровень (уровень 1) защиты информации.
Пользователи, являющиеся кредитными организациями, не относящимися к кредитным организациям, указанным в абзаце пятом настоящего подпункта, филиалами иностранных банков должны реализовывать стандартный уровень (уровень 2) защиты информации.
Пользователи, являющиеся кредитными организациями, которые должны реализовывать стандартный уровень защиты информации, ставшие кредитными организациями, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию 
усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце пятом настоящего подпункта.
Пользователи, не являющиеся кредитными организациями, должны реализовывать минимальный уровень (уровень 3) защиты информации.
<6> В случае реализации подписания ФС в информационной инфраструктуре (автоматизированной системе) Пользователя.

3.1.3. Защита информации Пользователями с помощью СКЗИ при обмене ФС должна обеспечиваться в соответствии с требованиями, указанными в приложении 6 к настоящим Условиям.

3.1.7. Криптографические ключи, используемые при обмене ФС между Пользователем и Банком России, должны изготавливаться Пользователем в соответствии с Условиями управления криптографическими ключами, указанными в приложении 3 к настоящим Условиям

3.3. В случае выявления Пользователем несоблюдения им требований к защите информации приостановление оказания услуг по передаче ФС Пользователю осуществляется путем приостановления обмена через СПФС на основании заявления Пользователя о приостановлении оказания услуг по передаче ФС, содержащего сведения о несоблюдении Пользователем требований к защите информации, направленного в порядке, указанном в приложении 4 к настоящим Условиям.

3.4. Выполнение требований к защите информации при обмене ФС подтверждается документами Пользователя, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Пользователя подписываются руководителем Пользователя либо уполномоченным лицом и представляются по запросу Банка России <7> при проведении проверки выполнения требований к защите информации.
Пользователь предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте о готовности Пользователя к обмену ФС с использованием СПФС, в том числе в подразделении Пользователя.
Пользователь обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.
Пользователь обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее пятого рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, одним из способов, указанных в пункте 1.1.
До начала обмена ФС Пользователь представляет в подразделение Банка России, в котором заключен Договор с Пользователем, акт о готовности Пользователя к обмену ФС с использованием СПФС, форма которого приведена в приложении 2 к настоящим Условиям одним из способов, указанных в пункте 1.11.
В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности Пользователя к обмену ФС с использованием СПФС, Пользователь обязан представить в подразделение Банка России, в котором заключен Договор с Пользователем, актуальную информацию не позднее пятого рабочего дня после внесения изменений одним из способов, указанных в пункте 1.11.
<7> Способ предоставления информации указывается в запросе Банка России.

3.5. Пользователи должны обеспечивать проведение ежегодных самостоятельных оценок выполнения требований к защите информации.
Проведение ежегодных самостоятельных оценок выполнения требований к защите информации осуществляется в соответствии с Приложением 9 к настоящим Условиям.
Результаты проведения ежегодных самостоятельных оценок выполнения требований к защите информации фиксируются Пользователями в акте, составляемом в соответствии Приложением 9 к настоящим Условиям, утверждаются руководителем (лицом, его замещающим), или должностным лицом, заключившим Договор от имени Пользователя.
Пользователи должны обеспечивать хранение акта проведения самостоятельной оценки выполнения требований к защите информации не менее 5 лет.