Недействующий

О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств (утратило силу с 01.04.2024 на основании положения Банка России от 17.08.2023 № 821-П)

     Глава 3. Требования к обеспечению банковскими платежными агентами (субагентами) (при их привлечении в целях осуществления переводов денежных средств) защиты информации при осуществлении переводов денежных средств

3.1. Банковские платежные агенты (субагенты) должны обеспечивать защиту информации при участии в осуществлении переводов денежных средств в отношении следующих операций:

принятие от физического лица наличных денежных средств, в том числе с применением платежных терминалов и банкоматов;

выдача физическому лицу наличных денежных средств, в том числе с применением платежных терминалов и банкоматов.

3.2. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны обеспечивать защиту информации в процессе формирования (подготовки) электронных сообщений при обеспечении приема электронных средств платежа юридическими лицами, индивидуальными предпринимателями и иными лицами, указанными в части 13 статьи 14_1 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2019, N 27, ст.3538), при участии в переводе денежных средств в пользу юридических лиц, индивидуальных предпринимателей и иных лиц, указанных в части 13 статьи 14_1 Федерального закона N 161-ФЗ, по операциям с использованием электронных средств платежа.

3.3. К защищаемой информации при совершении банковскими платежными агентами (субагентами) операций, указанных в пункте 3.1 настоящего Положения, относится информация в соответствии с графой "Защищаемая информация" строк 1 и 2 приложения 2 к настоящему Положению.

3.4. К защищаемой информации при совершении банковскими платежными агентами (субагентами), осуществляющими операции платежного агрегатора, указанные в пункте 3.2 настоящего Положения, относится информация в соответствии с графой "Защищаемая информация" строки 3 приложения 2 к настоящему Положению.

3.5. Банковские платежные агенты (субагенты) должны обеспечить реализацию минимального уровня защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017.

По решению банковских платежных агентов (субагентов) уровень защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017 может быть повышен на основе анализа рисков.

3.6. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года.

3.7. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.

3.8. Банковские платежные агенты (субагенты), за исключением банковских платежных агентов, осуществляющих операции платежного агрегатора, должны на основе критериев, установленных операторами по переводу денежных средств, проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, оценку соответствия защиты информации, сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений.

3.9. Банковские платежные агенты (субагенты), осуществляющие операции платежного агрегатора, должны на основе критериев, установленных операторами по переводу денежных средств, проводить тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры, сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений.

3.10. В случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений банковские платежные агенты (субагенты) должны обеспечить сертификацию не ниже 6 уровня доверия в соответствии с приказом ФСТЭК России N 131.

3.11. По решению банковских платежных агентов (субагентов) оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений проводится самостоятельно или с привлечением проверяющей организации.

3.12. Банковские платежные агенты (субагенты) должны обеспечить при осуществлении операций, указанных в пунктах 3.1 и 3.2 настоящего Положения, реализацию технологических мер по обеспечению защиты информации в соответствии с приложениями 1 и 2 к настоящему Положению.