Точный
Действующий

О требованиях к защите информации в платежной системе Банка России

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОЛОЖЕНИЕ

от 25 июля 2022 года N 802-П

О требованиях к защите информации в платежной системе Банка России



Настоящее Положение на основании пункта 19 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе", части пятой статьи 5 Федерального закона от 2 декабря 1990 года N 395-I "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ) и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 24 июня 2022 года N ПСД-44) устанавливает требования к защите информации в платежной системе Банка России.

________________

Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2019, N 27, ст.3538.

Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст.357; Собрание законодательства Российской Федерации, 1996, N 6, ст.492; 2017, N 31, ст.4761.

1. Требования к защите информации в платежной системе Банка России (далее - требования к защите информации) должны выполнять прямые участники платежной системы Банка России, являющиеся участниками обмена в соответствии с абзацем вторым пункта 3.10 Положения Банка России от 24 сентября 2020 года N 732-П "О платежной системе Банка России" (далее - Положение Банка России N 732-П) и кредитными организациями (их филиалами) (далее - участники обмена), являющиеся международными финансовыми организациями, а также операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (далее - ОПКЦ СБП), оператор услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее - ОУИО СБП).

________________

Зарегистрировано Минюстом России 10 ноября 2020 года, регистрационный N 60810, с изменениями, внесенными Указаниями Банка России от 25 марта 2021 года N 5756-У (зарегистрировано Минюстом России 26 мая 2021 года, регистрационный N 63632), от 23 декабря 2021 года N 6030-У (зарегистрировано Минюстом России 14 марта 2022 года, регистрационный N 67709), от 4 апреля 2022 года N 6115-У (зарегистрировано Минюстом России 6 апреля 2022 года, регистрационный N 68096).

Требования к защите информации, установленные настоящим Положением, должны выполняться участниками обмена, ОПКЦ СБП и ОУИО СБП наряду с требованиями к обеспечению защиты информации при осуществлении переводов денежных средств, установленными в соответствии с частью 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ).

________________

Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2019, N 31, ст.4423.

2. Требования к защите информации распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование (далее при совместном упоминании - объекты информационной инфраструктуры), применяемые для формирования (подготовки), обработки, передачи и хранения защищаемой информации, указанной в пунктах 2.2, 4.2 и 6.4 Положения Банка России от 4 июня 2020 года N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение Банка России N 719-П), в том числе информационных сообщений, содержащих реквизиты и иную информацию, необходимую для последующего формирования электронного сообщения, содержащего распоряжение в электронном виде (далее - информационные сообщения), на этапах формирования (подготовки), обработки, передачи и хранения информационных сообщений при осуществлении переводов денежных средств при трансграничном переводе денежных средств с использованием сервиса быстрых платежей (далее - ТПСБП).

________________

Зарегистрировано Минюстом России 23 сентября 2020 года, регистрационный N 59991.

3. Участники обмена при осуществлении переводов денежных средств в платежной системе Банка России (далее - осуществление переводов денежных средств) с использованием сервиса срочного перевода и сервиса несрочного перевода (далее - участники ССНП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст и введенного в действие 1 января 2018 года (далее - ГОСТ Р 57580.1-2017).

________________

М., ФГУП "Стандартинформ", 2017.

4. Участники обмена, международные финансовые организации при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее при совместном упоминании - участники СБП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.

5. ОПКЦ СБП должен размещать объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей ОПКЦ СБП должен применять меры защиты информации, посредством выполнения которых обеспечивается реализация усиленного уровня (уровня 1) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.

6. ОУИО СБП должен размещать объекты информационной инфраструктуры, используемые при предоставлении услуг информационного обмена участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей ОУИО СБП должен применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.

7. Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП во внутренних документах должны определить состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.