ПОЛОЖЕНИЕ
от 9 января 2019 года N 672-П
О требованиях к защите информации в платежной системе Банка России
____________________________________________________________________
Утратило силу с 26 февраля 2021 года на основании
положения Банка России от 23 декабря 2020 года N 747-П
____________________________________________________________________
Настоящее Положение на основании пункта 19 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2012, N 53, ст.7592; 2013, N 27, ст.3477; N 30, ст.4084; N 52, ст.6968; 2014, N 19, ст.2315, ст.2317; N 43, ст.5803; 2015, N 1, ст.8, ст.14; 2016, N 27, ст.4221, ст.4223; 2017, N 15, ст.2134; N 18, ст.2665; N 30, ст.4456; 2018, N 27, ст.3950, ст.3952; N 32, ст.5115, N 49, ст.7524) (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ), решения Совета директоров Банка России (протокол заседания Совета директоров Банка России от 21 декабря 2018 года N 39) и в соответствии с требованиями Положения Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированного Министерством юстиции Российской Федерации 14 июня 2012 года N 24575, 1 июля 2013 года N 28930, 10 сентября 2014 года N 34017, 22 июня 2018 года N 51411 (далее - Положение Банка России от 9 июня 2012 года N 382-П), устанавливает требования к защите информации в платежной системе Банка России.
1. Требования к защите информации в платежной системе Банка России (далее - требования к защите информации) должны выполнять участники платежной системы Банка России, являющиеся кредитными организациями (их филиалами), имеющие доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде, предусмотренный пунктом 3.7 Положения Банка России от 6 июля 2017 года N 595-П "О платежной системе Банка России", зарегистрированного Министерством юстиции Российской Федерации 6 октября 2017 года N 48458, 5 декабря 2018 года N 52892 (далее - Положение Банка России от 6 июля 2017 года N 595-П), а также операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (далее - участники обмена).
2. Требования к защите информации, установленные настоящим Положением, распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, применяемые для обработки защищаемой информации, перечисленной в пункте 2.1 Положения Банка России от 9 июня 2012 года N 382-П (далее при совместном упоминании - объекты информационной инфраструктуры).
3. Участники обмена при осуществлении переводов денежных средств в платежной системе Банка России (далее - осуществление переводов денежных средств) с использованием сервиса срочного перевода и сервиса несрочного перевода (далее - участники ССНП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).
4. Участники обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее - участники СБП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.
5. Операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (далее - ОПКЦ) должен размещать объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) ОПКЦ должен применять меры защиты информации, реализующие усиленный уровень (уровень 1) защиты информации, определенный ГОСТ Р 57580.1-2017.
6. Документы участников ССНП, участников СБП и ОПКЦ, определяющие порядок обеспечения защиты информации при осуществлении переводов денежных средств (далее - документы), должны определять состав и порядок применения организационных мер защиты информации и состав и порядок использования технических средств защиты информации.