5.1. Оператор платежной системы в целях реализации пункта 11 части 3 статьи 28 Федерального закона N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872) в рамках системы управления рисками в платежной системе определяет в правилах платежной системы и иных документах порядок обеспечения защиты информации в платежной системе для операторов по переводу денежных средств, являющихся участниками платежной системы, операторов услуг платежной инфраструктуры с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации в платежной системе).
Оператор платежной системы должен определить требования к обеспечению защиты информации в платежной системе в отношении следующих мероприятий:
управление риском информационной безопасности в платежной системе как одним из видов операционного риска в платежной системе, источниками реализации которого являются: недостатки процессов обеспечения защиты информации, в том числе недостатки применяемых технологических мер защиты информации, недостатки прикладного программного обеспечения автоматизированных систем и приложений, а также несоблюдение требований к указанным процессам деятельности операторами по переводу денежных средств, являющимися участниками платежной системы, операторами услуг платежной инфраструктуры (далее - риск информационной безопасности в платежной системе);
установление состава показателей уровня риска информационной безопасности в платежной системе;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры механизмов, направленных на соблюдение требований к обеспечению защиты информации при осуществлении переводов денежных средств, и контроль их соблюдения операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов выявления и идентификации риска информационной безопасности в платежной системе в отношении объектов информационной инфраструктуры участников платежной системы, операторов услуг платежной инфраструктуры;
выявление и анализ операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры риска информационной безопасности в платежной системе;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов реагирования на инциденты защиты информации и восстановления штатного функционирования объектов информационной инфраструктуры в случае реализации инцидентов защиты информации;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры взаимодействия при обмене информацией об инцидентах защиты информации;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента, определенных пунктами 2.2 и 2.4 Указания Банка России от 8 октября 2018 года N 4926-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента", зарегистрированного Министерством юстиции Российской Федерации 12 декабря 2018 года N 52988;
реализация операторами платежных систем процессов применения в отношении операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры ограничений по параметрам операций по осуществлению переводов денежных средств в случае выявления факта превышения значений показателей уровня риска информационной безопасности в платежной системе, в том числе условий снятия таких ограничений.
5.2. Оператор платежной системы в целях снижения риска информационной безопасности в платежной системе должен реализовывать механизмы совершенствования требований, указанных в пункте 5.4 настоящего Положения, предусматривающие в том числе накопление и учет опыта реагирования на инциденты защиты информации и восстановления функционирования платежной системы после их реализации.
5.3. Оператор платежной системы должен установить требования к содержанию, форме и периодичности направления операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры оператору платежной системы информации для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств.
Оператор национально значимой платежной системы должен уведомлять федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, об установленных им требованиях к содержанию, форме и периодичности направления указанной в абзаце первом настоящего пункта информации в части применения СКЗИ.
5.4. Оператор платежной системы должен обеспечить учет и доступность для операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры информации:
о выявленных в платежной системе инцидентах защиты информации;
о методиках анализа и реагирования на инциденты защиты информации.
5.5. Оператор значимой платежной системы в соответствии с правилами платежной системы должен обеспечить использование:
в аппаратных модулях безопасности информационной инфраструктуры платежной системы СКЗИ, реализующих криптографические алгоритмы, не определенные национальными стандартами Российской Федерации (далее - иностранные криптографические алгоритмы), имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
в аппаратных модулях безопасности информационной инфраструктуры платежной системы СКЗИ, реализующих иностранные криптографические алгоритмы и криптографические алгоритмы, определенные национальными стандартами Российской Федерации (далее - криптографические алгоритмы Российской Федерации), имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
СКЗИ, реализующих иностранные криптографические алгоритмы и криптографические алгоритмы Российской Федерации, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, в иных технических средствах информационной инфраструктуры платежной системы, используемых при осуществлении переводов денежных средств, типы которых определяются Банком России по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности.
В целях обеспечения бесперебойности функционирования информационной инфраструктуры платежной системы и ее устойчивости от внешних воздействий оператору национально значимой платежной системы в правилах платежной системы следует определять долю технических средств информационной инфраструктуры национально значимой платежной системы, в которых обеспечивается использование СКЗИ, указанных в абзаце четвертом настоящего пункта, на основании требований, устанавливаемых Указанием Банка России от 25 июля 2014 года N 3342-У "О требованиях к информационным технологиям, используемым операторами услуг платежной инфраструктуры, для целей признания платежной системы национально значимой платежной системой", зарегистрированным Министерством юстиции Российской Федерации 9 октября 2014 года N 34269.
Операторы по переводу денежных средств, операторы услуг информационного обмена, операторы услуг платежной инфраструктуры вправе применять для обеспечения защиты информации при осуществлении переводов денежных средств СКЗИ иностранного производства в части, не противоречащей требованиям настоящего пункта.
Разработка и эксплуатация СКЗИ, указанных в абзацах втором - четвертом настоящего пункта, должны проводиться в соответствии с Положением ПКЗ-2005.
5.6. Оператор платежной системы в составе требований к обеспечению защиты информации в платежной системе определяет порядок проведения работ по разработке, сертификации и (или) оценке соответствия в отношении прикладного программного обеспечения автоматизированных систем и приложений, в том числе платежных приложений, предоставляемых поставщиками платежных приложений клиентам операторов по переводу денежных средств, являющихся участниками данной платежной системы.