Профессиональные справочные системы для специалистов
медицинской и фармацевтической промышленности

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОЛОЖЕНИЕ

от 17 апреля 2019 года N 683-П

Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента

На основании статьи 57_4 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст.2790; 2003, N 2, ст.157; N 52, ст.5032; 2004, N 27, ст.2711; N 31, ст.3233; 2005, N 25, ст.2426; N 30, ст.3101; 2006, N 19, ст.2061; N 25, ст.2648; 2007, N 1, ст.9, ст.10; N 10, ст.1151; N 18, ст.2117; 2008, N 42, ст.4696, ст.4699; N 44, ст.4982; N 52, ст.6229, ст.6231; 2009, N 1, ст.25; N 29, ст.3629; N 48, ст.5731; 2010, N 45, ст.5756; 2011, N 7, ст.907; N 27, ст.3873; N 43, ст.5973; N 48, ст.6728; 2012, N 50, ст.6954; N 53, ст.7591, ст.7607; 2013, N 11, ст.1076; N 14, ст.1649; N 19, ст.2329; N 27, ст.3438, ст.3476, ст.3477; N 30, ст.4084; N 49, ст.6336; N 51, ст.6695, ст.6699; N 52, ст.6975; 2014, N 19, ст.2311, ст.2317; N 27, ст.3634; N 30, ст.4219; N 40, ст.5318; N 45, ст.6154; N 52, ст.7543; 2015, N 1, ст.4, ст.37; N 27, ст.3958, ст.4001; N 29, ст.4348, ст.4357; N 41, ст.5639; N 48, ст.6699; 2016, N 1, ст.23, ст.46, ст.50; N 26, ст.3891; N 27, ст.4225, ст.4273, ст.4295; 2017, N 1, ст.46; N 14, ст.1997; N 18, ст.2661, ст.2669; N 27, ст.3950; N 30, ст.4456; N 31, ст.4830; N 50, ст.7562; 2018, N 1, ст.66; N 9, ст.1286; N 11, ст.1584, ст.1588; N 18, ст.2557; N 24, ст.3400; N 27, ст.3950; N 31, ст.4852; N 32, ст.5115; N 49, ст.7524; N 53, ст.8411, ст.8440) настоящее Положение устанавливает обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента.

1. Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента применяются для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств (далее соответственно - автоматизированные системы, защищаемая информация, осуществление банковских операций):

информации, содержащейся в документах, составленных при осуществлении банковских операций в электронном виде (далее - электронные сообщения), формируемых работниками кредитных организаций (далее - работники) и (или) клиентами кредитных организаций (далее -клиенты);

информации, необходимой для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами;

информации об осуществленных банковских операциях;

ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемой при осуществлении банковских операций (далее - криптографические ключи).

В случае если защищаемая информация содержит персональные данные, кредитные организации должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (Собрание законодательства Российской Федерации, 2006, N 31, ст.3451; 2009, N 48, ст.5716; N 52, ст.6439; 2010, N 27, ст.3407; N 31, ст.4173, ст.4196; N 49, ст.6409; 2011, N 23, ст.3263; N 31, ст.4701; 2013, N 14, ст.1651; N 30, ст.4038; N 51, ст.6683; 2014, N 23, ст.2927; N 30, ст.4217, ст.4243; 2016, N 27, ст.4164; 2017, N 9, ст.1276; N 27, ст.3945; N 31, ст.4772; 2018, N 1, ст.82) (далее - Федеральный закон "О персональных данных").

2. Требования к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, включают в себя:

требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются кредитной организацией для осуществления банковских операций (далее - объекты информационной инфраструктуры);

требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений;

требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении технологии обработки защищаемой информации;

иные требования к обеспечению защиты информации при осуществлении банковской деятельности в соответствии с пунктами 6-9 настоящего Положения.

3. Кредитные организации должны обеспечивать выполнение следующих требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении объектов информационной инфраструктуры.

3.1. Кредитные организации должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017).

Системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг, должны реализовывать усиленный уровень защиты информации.

Кредитные организации, не относящиеся к кредитным организациям, указанным в абзаце втором настоящего подпункта, должны реализовывать стандартный уровень защиты информации.

Кредитные организации, которые должны реализовывать стандартный уровень защиты информации, ставшие кредитными организациями, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце втором настоящего подпункта.

3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

4. Кредитные организации должны обеспечивать выполнение следующих требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений.

4.1. Кредитные организации должны обеспечить использование для осуществления банковских операций прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений, к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет"), сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия (далее - ОУД) не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014).

В отношении прикладного программного обеспечения автоматизированных систем и приложений, не указанных в абзаце первом настоящего подпункта, кредитные организации должны самостоятельно определять необходимость сертификации или анализа уязвимостей и контроля отсутствия недекларированных возможностей.

4.2. Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений кредитные организации должны привлекать организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (Собрание законодательства Российской Федерации, 2012, N 7, ст.863; 2016, N 26, ст.4049) (далее - постановление Правительства Российской Федерации N 79).

5. Кредитные организации должны обеспечивать выполнение следующих требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении технологии обработки защищаемой информации.

5.1. Кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом.

Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст.2036; N 27, ст.3880; 2012, N 29, ст.3988; 2013, N 14, ст.1668; N 27, ст.3463, ст.3477; 2014, N 11, ст.1098; N 26, ст.3390; 2016, N 1, ст.65; N 26, ст.3889) (далее - Федеральный закон "Об электронной подписи").

5.2. Кредитные организации должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации, указанной в абзацах втором - четвертом пункта 1 настоящего Положения, при совершении следующих действий (далее - технологические участки):

идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций;

формирование (подготовка), передача и прием электронных сообщений;

удостоверение права клиентов распоряжаться денежными средствами;

осуществление банковской операции, учет результатов ее осуществления;

хранение электронных сообщений и информации об осуществленных банковских операциях.

5.2.1. Технология обработки защищаемой информации, применяемая на всех технологических участках, указанных в настоящем пункте, должна обеспечивать целостность и достоверность защищаемой информации.

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце третьем подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

проверку правильности формирования (подготовки) электронных сообщений (двойной контроль);

проверку правильности заполнения полей электронного сообщения и прав владельца электронной подписи (входной контроль);

контроль дублирования электронного сообщения (в случае если проведение такой процедуры дополнительно установлено кредитной организацией с учетом положений абзаца девятого пункта 2.1 Положения Банка России от 19 июня 2012 года N 383-П "О правилах осуществления перевода денежных средств", зарегистрированного Министерством юстиции Российской Федерации 22 июня 2012 года N 24667, 14 августа 2013 года N 29387, 19 мая 2014 года N 32323, 11 июня 2015 года N 37649, 27 января 2016 года N 40831, 31 июля 2017 года N 47578, 24 декабря 2018 года N 53109);

структурный контроль электронных сообщений;

защиту защищаемой информации при ее передаче по каналам связи.

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце четвертом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 настоящего пункта;

получение от клиента подтверждения совершенной банковской операции.

Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце пятом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:

проверку соответствия (сверку) выходных электронных сообщений с соответствующими входными электронными сообщениями;

проверку соответствия (сверку) результатов осуществления банковских операций с информацией, содержащейся в электронных сообщениях;

направление клиентам уведомлений об осуществлении банковских операций в случае, когда такое уведомление предусмотрено законодательством Российской Федерации или договором.

5.2.2. Кредитные организации должны обеспечивать регистрацию результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, указанных в подпункте 5.2 настоящего пункта, которая включает регистрацию действий работников, а также регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.

5.2.3. Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) осуществления банковской операции;

присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;

код, соответствующий технологическому участку;

результат осуществления банковской операции (успешная или неуспешная);

идентификационная информация, используемая для адресации устройства, с использованием которого и в отношении которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора).

5.2.4. Регистрации подлежат данные о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) совершения действий клиентом в целях осуществления банковской операции;

присвоенный клиенту идентификатор, позволяющий установить клиента в автоматизированной системе, программном обеспечении;

код, соответствующий технологическому участку;

результат совершения клиентом действия в целях осуществления банковской операции (успешная или неуспешная);

идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора), международный идентификатор абонента (индивидуальный номер абонента клиента - физического лица), международный идентификатор пользовательского оборудования (оконечного оборудования) клиента - физического лица, номер телефона и (или) иной идентификатор устройства).

5.2.5. Кредитные организации должны обеспечивать хранение:

информации, указанной в абзацах втором, четвертом пункта 1 настоящего Положения;

информации, указанной в подпунктах 5.2.3 и 5.2.4 настоящего пункта, пункте 8 настоящего Положения.

Кредитные организации должны обеспечивать целостность и доступность информации, указанной в настоящем подпункте, не менее пяти лет начиная с даты ее формирования (поступления).

6. Обеспечение защиты информации с помощью СКЗИ при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, осуществляется в соответствии с Федеральным законом "Об электронной подписи", Федеральным законом "О персональных данных", постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст.6257), Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66, зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350 (далее - Положение ПКЗ-2005), приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года N 33620, и технической документацией на СКЗИ.

В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований, такая оценка должна проводиться в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.

6.1. В случае если кредитная организация применяет СКЗИ российского производства, то СКЗИ должны иметь сертификаты соответствия федерального органа исполнительной власти в области обеспечения безопасности.

6.2. Криптографические ключи должны изготавливаться клиентом (самостоятельно) и (или) кредитной организацией.