Профессиональные справочные системы для специалистов
медицинской и фармацевтической промышленности

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПОЛОЖЕНИЕ

от 23 декабря 2020 года N 747-П

О требованиях к защите информации в платежной системе Банка России



Настоящее Положение на основании пункта 19 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2019, N 31, ст.4423) и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 18 декабря 2020 года N ПСД-30) устанавливает требования к защите информации в платежной системе Банка России.

1. Требования к защите информации в платежной системе Банка России (далее - требования к защите информации) должны выполнять прямые участники платежной системы Банка России, имеющие доступ к услугам по переводу денежных средств с использованием распоряжений о переводе денежных средств (далее - распоряжения) в электронном виде, предусмотренные абзацем вторым пункта 3.10 Положения Банка России от 24 сентября 2020 года N 732-П "О платежной системе Банка России", зарегистрированного Министерством юстиции Российской Федерации 10 ноября 2020 года N 60810 (далее - Положение Банка России от 24 сентября 2020 года N 732-П), являющиеся кредитными организациями (их филиалами) (далее - участники обмена), а также операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (далее - ОПКЦ), оператор услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее - ОУИО СБП).

Требования к защите информации должны выполняться участниками обмена, ОПКЦ и ОУИО СБП с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленными в соответствии с частью 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2019, N 31, ст.4423) (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ).

2. Требования к защите информации, установленные настоящим Положением, распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, применяемые для обработки защищаемой информации, перечисленной в пункте 2.1 Положения Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированного Министерством юстиции Российской Федерации 14 июня 2012 года N 24575, 1 июля 2013 года N 28930, 10 сентября 2014 года N 34017, 22 июня 2018 года N 51411 (далее - Положение Банка России от 9 июня 2012 года N 382-П) (далее при совместном упоминании - объекты информационной инфраструктуры).

3. Участники обмена при осуществлении переводов денежных средств в платежной системе Банка России (далее - осуществление переводов денежных средств) с использованием сервиса срочного перевода и сервиса несрочного перевода (далее - участники ССНП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).

4. Участники обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее - участники СБП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

5. ОУИО СБП должен размещать объекты информационной инфраструктуры в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей ОУИО СБП должен применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

6. ОПКЦ должен размещать объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) ОПКЦ должен применять меры защиты информации, реализующие усиленный уровень (уровень 1) защиты информации, определенный ГОСТ Р 57580.1-2017.

7. Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП во внутренних документах должны определять состав и порядок применения организационных мер защиты информации и состав и порядок использования технических средств защиты информации.

7.1. Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП должны принимать внутренние документы в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами защиты информации;

защита среды виртуализации;

защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

7.2. Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП должны определять во внутренних документах информацию, предусматривающую:

технологии подготовки, обработки, передачи и хранения сообщений, содержащих распоряжения в электронном виде (далее - электронные сообщения), и защищаемой информации на объектах информационной инфраструктуры;

состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств криптографической защиты информации (далее - СКЗИ) и управления ключевой информацией СКЗИ;

план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с осуществлением переводов денежных средств;

лиц, допущенных к работе со СКЗИ;

лиц, ответственных за обеспечение функционирования и безопасности СКЗИ (ответственный пользователь СКЗИ);

лиц, обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей.

7.3. ОПКЦ и ОУИО СБП должны определять во внутренних документах состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности сообщений, содержащих реквизиты и иную информацию, необходимую для последующего формирования электронного сообщения, при осуществлении перевода денежных средств с использованием сервиса быстрых платежей (далее - информационные сообщения) на этапах формирования (подготовки), обработки, передачи и хранения информационных сообщений (при их наличии).

ОПКЦ и ОУИО СБП должны обеспечивать применение технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений и информационных сообщений (при их наличии) на этапах их формирования (подготовки), обработки, передачи и хранения.

8. Защита информации участниками ССНП, участниками СБП и ОПКЦ с помощью СКЗИ должна обеспечиваться в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350, и технической документацией на СКЗИ.

9. Формирование и подписание электронных сообщений участника ССНП и ОПКЦ осуществляются в информационной инфраструктуре (автоматизированной системе) участника ССНП и ОПКЦ.

10. Передача и прием электронных сообщений участника ССНП осуществляются с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России. Автоматизированное рабочее место обмена электронными сообщениями с платежной системой Банка России должно быть реализовано с использованием программного обеспечения Банка России и в соответствии с условиями по защите информации, выполнение которых предусмотрено договором, заключенным между Банком России и участником ССНП.

11. Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП должны обеспечивать хранение входящих и исходящих электронных сообщений, подписанных электронной подписью, и средств, обеспечивающих проверку электронной подписи, не менее пяти лет с даты подписания электронных сообщений.

12. При обмене электронными сообщениями между Банком России и ОПКЦ, Банком России и участниками ССНП должна применяться электронная подпись, сертификаты ключа проверки которой выданы Банком России участникам ССНП и ОПКЦ.

При обмене электронными сообщениями между ОПКЦ и участниками СБП должна применяться электронная подпись, сертификат ключа проверки которой выдан ОПКЦ участникам СБП.

При обмене электронными сообщениями между ОПКЦ, участниками СБП и ОУИО СБП должна применяться электронная подпись, сертификат ключа проверки которой выдан ОПКЦ участнику СБП, в том числе при обмене электронными сообщениями между ОПКЦ и ОУИО СБП, ОПКЦ и ОУИО СБП, оказывающим участнику СБП услуги по обеспечению подписания исходящих электронных сообщений и (или) зашифрования на прикладном уровне электронных сообщений, проверки электронной подписи во входящих электронных сообщениях и (или) расшифрования на прикладном уровне входящих электронных сообщений.

Хранение и использование криптографических ключей участника СБП, предназначенных для подписания исходящих электронных сообщений и (или) расшифрования на прикладном уровне входящих электронных сообщений, должны осуществляться в информационной инфраструктуре ОУИО СБП в аппаратных модулях безопасности, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности при осуществлении регулирования в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности" (Собрание законодательства Российской Федерации, 1995, N 15, ст.1269; 2019, N 49, ст.6963) (далее - требования, установленные федеральным органом исполнительной власти в области обеспечения безопасности). Доступ к криптографическим ключам участника СБП должен быть обеспечен только для участника СБП как владельца сертификата ключа электронной подписи.

При обмене электронными сообщениями между ОПКЦ и ОУИО СБП криптографические ключи участника СБП, предназначенные для подписания исходящих электронных сообщений и (или) расшифрования на прикладном уровне входящих электронных сообщений, хранение и использование которых осуществляется в информационной инфраструктуре ОУИО СБП, изготавливаются участником СБП в аппаратных модулях безопасности самостоятельно. Формирование и передача в ОПКЦ запроса на сертификат ключа проверки электронной подписи осуществляется самостоятельно участником СБП.

13. Криптографические ключи участника ССНП, используемые при обмене электронными сообщениями между Банком России и участником ССНП, должны изготавливаться участником ССНП.

Криптографические ключи ОПКЦ, используемые при обмене электронными сообщениями между Банком России и ОПКЦ, должны изготавливаться ОПКЦ, если иное не предусмотрено договором о взаимодействии, заключаемым между Банком России и оператором внешней платежной системы в соответствии с частью 37 статьи 15 Федерального закона от 27 июня 2011 года N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2019, N 31, ст.4423) (далее - договор о взаимодействии).

Криптографические ключи участника СБП, используемые при обмене электронными сообщениями между ОПКЦ и участником СБП, должны изготавливаться участником СБП, если иное не предусмотрено договором об оказании операционных услуг, услуг платежного клиринга при осуществлении перевода денежных средств с использованием сервиса быстрых платежей, заключенным между участником СБП и ОПКЦ в соответствии с частью 1 статьи 17, частью 1 статьи 18 Федерального закона от 27 июня 2011 года N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2014, N 19, ст.2317; 2018, N 49, ст.7524) (далее - договор об оказании услуг между участником СБП и ОПКЦ).

14. Организационные меры и (или) технические средства защиты информации, используемые при обмене электронными сообщениями при осуществлении переводов денежных средств, применяются с учетом следующих требований.

14.1. Участники СБП должны обеспечивать удостоверение электронной подписью электронных сообщений при их передаче клиентам участника СБП.

14.2. Участники СБП и ОПКЦ должны обеспечивать защиту электронных сообщений при передаче между участниками СБП и ОПКЦ посредством:

использования усиленной электронной подписи для контроля целостности и подтверждения подлинности электронных сообщений, состав которых определен договором об оказании услуг между участником СБП и ОПКЦ;

шифрования электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в государственном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", утвержденном постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 (М., ИПК Издательство стандартов, 1999) (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

применения средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне представления или ниже, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

Участники СБП, ОПКЦ и ОУИО СБП должны обеспечивать защиту электронных сообщений при их передаче между ОПКЦ, участниками СБП и ОУИО СБП в соответствии с требованиями, установленными абзацами вторым - четвертым настоящего подпункта.

Участники СБП должны обеспечить реализацию технологии подготовки, обработки и передачи электронных сообщений и защищаемой информации, обеспечивающей проверку соответствия (сверку) реквизитов исходящих в адрес ОПКЦ электронных сообщений с реквизитами соответствующих им входящих электронных сообщений клиентов участников СБП и реквизитами электронных сообщений, содержащих распоряжения в электронном виде, на основе которых участником СБП осуществляются операции по списанию денежных средств со счетов клиентов.

14.3. Участники ССНП должны обеспечивать защиту электронных сообщений при их передаче в Банк России посредством:

формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП в соответствии с пунктом 1 Правил материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правил материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ, установленных приложением к настоящему Положению в соответствии с частью пятой статьи 5 Федерального закона "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ) (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст.357; Собрание законодательства Российской Федерации, 1996, N 6, ст.492; 2019, N 30, ст.4151) (далее - Правила материально-технического обеспечения);

использования двух усиленных электронных подписей - электронной подписи, применяемой в контуре формирования электронных сообщений, и электронной подписи, применяемой в контуре контроля реквизитов электронных сообщений, - для контроля целостности и подтверждения подлинности электронных сообщений;

применения третьего варианта защиты, предусмотренного Альбомом электронных сообщений, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее соответственно - сеть "Интернет", официальный сайт Банка России), который ведется Банком России в соответствии с пунктом 5.2 Положения Банка России от 24 сентября 2020 года N 732-П;

шифрования электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

применения средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

14.4. ОПКЦ должен обеспечивать защиту электронных сообщений при их передаче в Банк России посредством:

обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ в соответствии с пунктом 2 Правил материально-технического обеспечения;

использования двух усиленных электронных подписей - электронной подписи, применяемой в контуре обработки электронных сообщений, и электронной подписи, применяемой в контуре контроля реквизитов электронных сообщений, - для контроля целостности и подтверждения подлинности электронных сообщений;

шифрования электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;