Точный
Действующий

О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

Глава 5. Требования к обеспечению операторами платежных систем защиты информации при осуществлении переводов денежных средств

5.1. Операторы платежных систем в целях реализации требований к обеспечению защиты информации должны определить порядок обеспечения защиты информации в платежной системе в соответствии с пунктом 11 части 3 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ, при определении которого участники платежной системы должны реализовать следующие мероприятия:

установление состава и пороговых значений показателей уровня риска информационной безопасности участника платежной системы;

реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры механизмов, направленных на соблюдение требований к обеспечению защиты информации при осуществлении переводов денежных средств, и контроль их соблюдения операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры;

реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов выявления и идентификации риска информационной безопасности участника платежной системы, а также его оценки;

реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов реагирования на инциденты защиты информации и восстановления штатного функционирования объектов информационной инфраструктуры в случае реализации инцидентов защиты информации;

реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры взаимодействия при обмене информацией об инцидентах защиты информации;

реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента, определенных пунктами 3.2 и 3.4 Указания Банка России от 9 января 2023 года N 6354-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, форме и порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента".

_______________

Зарегистрировано Минюстом России 25 мая 2023 года, регистрационный N 73472.

5.2. Операторы платежных систем должны определить мероприятия по контролю за соблюдением установленных пороговых значений показателей уровня риска информационной безопасности участника платежной системы и реализации процессов применения в отношении операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры ограничений по параметрам операций по осуществлению переводов денежных средств в случае выявления факта превышения пороговых значений показателей уровня риска информационной безопасности участника платежной системы, в том числе условий снятия таких ограничений.

5.3. Операторы платежных систем в целях снижения риска информационной безопасности участника платежной системы должны совершенствовать механизмы реализации требований, указанных в пункте 5.5 настоящего Положения, предусматривающих в том числе накопление и учет опыта реагирования на инциденты защиты информации и восстановления функционирования платежной системы после их реализации.

5.4. Операторы платежных систем должны установить требования к содержанию, форме и периодичности направления операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры оператору платежной системы информации для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств.

Операторы национально значимых платежных систем должны уведомлять федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, в соответствии с требованиями, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, об установленных ими требованиях к содержанию, форме и периодичности направления указанной в абзаце первом настоящего пункта информации в части применения СКЗИ.

5.5. Операторы платежных систем должны обеспечить учет и доступность для операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры информации: