ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ПОЛОЖЕНИЕ
от 23 декабря 2020 года N 747-П
О требованиях к защите информации в платежной системе Банка России
____________________________________________________________________
Утратило силу с 10 декабря 2022 года на основании
положения Банка России от 25 июля 2022 года N 802-П
____________________________________________________________________
Настоящее Положение на основании пункта 19 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2019, N 31, ст.4423) и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 18 декабря 2020 года N ПСД-30) устанавливает требования к защите информации в платежной системе Банка России.
1. Требования к защите информации в платежной системе Банка России (далее - требования к защите информации) должны выполнять прямые участники платежной системы Банка России, имеющие доступ к услугам по переводу денежных средств с использованием распоряжений о переводе денежных средств (далее - распоряжения) в электронном виде, предусмотренные абзацем вторым пункта 3.10 Положения Банка России от 24 сентября 2020 года N 732-П "О платежной системе Банка России", зарегистрированного Министерством юстиции Российской Федерации 10 ноября 2020 года N 60810 (далее - Положение Банка России от 24 сентября 2020 года N 732-П), являющиеся кредитными организациями (их филиалами) (далее - участники обмена), а также операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей (далее - ОПКЦ), оператор услуг информационного обмена при предоставлении участникам обмена услуг информационного обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее - ОУИО СБП).
Требования к защите информации должны выполняться участниками обмена, ОПКЦ и ОУИО СБП с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленными в соответствии с частью 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2019, N 31, ст.4423) (далее - Федеральный закон от 27 июня 2011 года N 161-ФЗ).
2. Требования к защите информации, установленные настоящим Положением, распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, применяемые для обработки защищаемой информации, перечисленной в пункте 2.1 Положения Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированного Министерством юстиции Российской Федерации 14 июня 2012 года N 24575, 1 июля 2013 года N 28930, 10 сентября 2014 года N 34017, 22 июня 2018 года N 51411 (далее - Положение Банка России от 9 июня 2012 года N 382-П) (далее при совместном упоминании - объекты информационной инфраструктуры).
3. Участники обмена при осуществлении переводов денежных средств в платежной системе Банка России (далее - осуществление переводов денежных средств) с использованием сервиса срочного перевода и сервиса несрочного перевода (далее - участники ССНП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).
4. Участники обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее - участники СБП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.
5. ОУИО СБП должен размещать объекты информационной инфраструктуры в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей ОУИО СБП должен применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.
6. ОПКЦ должен размещать объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) ОПКЦ должен применять меры защиты информации, реализующие усиленный уровень (уровень 1) защиты информации, определенный ГОСТ Р 57580.1-2017.
7. Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП во внутренних документах должны определять состав и порядок применения организационных мер защиты информации и состав и порядок использования технических средств защиты информации.
7.1. Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП должны принимать внутренние документы в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:
обеспечение защиты информации при управлении доступом;
обеспечение защиты вычислительных сетей;
контроль целостности и защищенности информационной инфраструктуры;
защита от вредоносного кода;
предотвращение утечек информации;
управление инцидентами защиты информации;
защита среды виртуализации;
защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.
7.2. Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП должны определять во внутренних документах информацию, предусматривающую:
технологии подготовки, обработки, передачи и хранения сообщений, содержащих распоряжения в электронном виде (далее - электронные сообщения), и защищаемой информации на объектах информационной инфраструктуры;
состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств криптографической защиты информации (далее - СКЗИ) и управления ключевой информацией СКЗИ;
план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с осуществлением переводов денежных средств;
лиц, допущенных к работе со СКЗИ;
лиц, ответственных за обеспечение функционирования и безопасности СКЗИ (ответственный пользователь СКЗИ);
лиц, обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей.
7.3. ОПКЦ и ОУИО СБП должны определять во внутренних документах состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности сообщений, содержащих реквизиты и иную информацию, необходимую для последующего формирования электронного сообщения, при осуществлении перевода денежных средств с использованием сервиса быстрых платежей (далее - информационные сообщения) на этапах формирования (подготовки), обработки, передачи и хранения информационных сообщений (при их наличии).
ОПКЦ и ОУИО СБП должны обеспечивать применение технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений и информационных сообщений (при их наличии) на этапах их формирования (подготовки), обработки, передачи и хранения.
8. Защита информации участниками ССНП, участниками СБП и ОПКЦ с помощью СКЗИ должна обеспечиваться в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации, утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350, и технической документацией на СКЗИ.
9. Формирование и подписание электронных сообщений участника ССНП и ОПКЦ осуществляются в информационной инфраструктуре (автоматизированной системе) участника ССНП и ОПКЦ.
10. Передача и прием электронных сообщений участника ССНП осуществляются с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России. Автоматизированное рабочее место обмена электронными сообщениями с платежной системой Банка России должно быть реализовано с использованием программного обеспечения Банка России и в соответствии с условиями по защите информации, выполнение которых предусмотрено договором, заключенным между Банком России и участником ССНП.
11. Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП должны обеспечивать хранение входящих и исходящих электронных сообщений, подписанных электронной подписью, и средств, обеспечивающих проверку электронной подписи, не менее пяти лет с даты подписания электронных сообщений.
12. При обмене электронными сообщениями между Банком России и ОПКЦ, Банком России и участниками ССНП должна применяться электронная подпись, сертификаты ключа проверки которой выданы Банком России участникам ССНП и ОПКЦ.
При обмене электронными сообщениями между ОПКЦ и участниками СБП должна применяться электронная подпись, сертификат ключа проверки которой выдан ОПКЦ участникам СБП.
При обмене электронными сообщениями между ОПКЦ, участниками СБП и ОУИО СБП должна применяться электронная подпись, сертификат ключа проверки которой выдан ОПКЦ участнику СБП, в том числе при обмене электронными сообщениями между ОПКЦ и ОУИО СБП, ОПКЦ и ОУИО СБП, оказывающим участнику СБП услуги по обеспечению подписания исходящих электронных сообщений и (или) зашифрования на прикладном уровне электронных сообщений, проверки электронной подписи во входящих электронных сообщениях и (или) расшифрования на прикладном уровне входящих электронных сообщений.
Хранение и использование криптографических ключей участника СБП, предназначенных для подписания исходящих электронных сообщений и (или) расшифрования на прикладном уровне входящих электронных сообщений, должны осуществляться в информационной инфраструктуре ОУИО СБП в аппаратных модулях безопасности, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности при осуществлении регулирования в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности" (Собрание законодательства Российской Федерации, 1995, N 15, ст.1269; 2019, N 49, ст.6963) (далее - требования, установленные федеральным органом исполнительной власти в области обеспечения безопасности). Доступ к криптографическим ключам участника СБП должен быть обеспечен только для участника СБП как владельца сертификата ключа электронной подписи.
При обмене электронными сообщениями между ОПКЦ и ОУИО СБП криптографические ключи участника СБП, предназначенные для подписания исходящих электронных сообщений и (или) расшифрования на прикладном уровне входящих электронных сообщений, хранение и использование которых осуществляется в информационной инфраструктуре ОУИО СБП, изготавливаются участником СБП в аппаратных модулях безопасности самостоятельно. Формирование и передача в ОПКЦ запроса на сертификат ключа проверки электронной подписи осуществляется самостоятельно участником СБП.
13. Криптографические ключи участника ССНП, используемые при обмене электронными сообщениями между Банком России и участником ССНП, должны изготавливаться участником ССНП.
Криптографические ключи ОПКЦ, используемые при обмене электронными сообщениями между Банком России и ОПКЦ, должны изготавливаться ОПКЦ, если иное не предусмотрено договором о взаимодействии, заключаемым между Банком России и оператором внешней платежной системы в соответствии с частью 37 статьи 15 Федерального закона от 27 июня 2011 года N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2019, N 31, ст.4423) (далее - договор о взаимодействии).
Криптографические ключи участника СБП, используемые при обмене электронными сообщениями между ОПКЦ и участником СБП, должны изготавливаться участником СБП, если иное не предусмотрено договором об оказании операционных услуг, услуг платежного клиринга при осуществлении перевода денежных средств с использованием сервиса быстрых платежей, заключенным между участником СБП и ОПКЦ в соответствии с частью 1 статьи 17, частью 1 статьи 18 Федерального закона от 27 июня 2011 года N 161-ФЗ (Собрание законодательства Российской Федерации, 2011, N 27, ст.3872; 2014, N 19, ст.2317; 2018, N 49, ст.7524) (далее - договор об оказании услуг между участником СБП и ОПКЦ).
14. Организационные меры и (или) технические средства защиты информации, используемые при обмене электронными сообщениями при осуществлении переводов денежных средств, применяются с учетом следующих требований.
14.1. Участники СБП должны обеспечивать удостоверение электронной подписью электронных сообщений при их передаче клиентам участника СБП.
14.2. Участники СБП и ОПКЦ должны обеспечивать защиту электронных сообщений при передаче между участниками СБП и ОПКЦ посредством:
использования усиленной электронной подписи для контроля целостности и подтверждения подлинности электронных сообщений, состав которых определен договором об оказании услуг между участником СБП и ОПКЦ;
шифрования электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в государственном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", утвержденном постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 (М., ИПК Издательство стандартов, 1999) (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
применения средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне представления или ниже, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.
Участники СБП, ОПКЦ и ОУИО СБП должны обеспечивать защиту электронных сообщений при их передаче между ОПКЦ, участниками СБП и ОУИО СБП в соответствии с требованиями, установленными абзацами вторым - четвертым настоящего подпункта.
Участники СБП должны обеспечить реализацию технологии подготовки, обработки и передачи электронных сообщений и защищаемой информации, обеспечивающей проверку соответствия (сверку) реквизитов исходящих в адрес ОПКЦ электронных сообщений с реквизитами соответствующих им входящих электронных сообщений клиентов участников СБП и реквизитами электронных сообщений, содержащих распоряжения в электронном виде, на основе которых участником СБП осуществляются операции по списанию денежных средств со счетов клиентов.
14.3. Участники ССНП должны обеспечивать защиту электронных сообщений при их передаче в Банк России посредством:
формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП в соответствии с пунктом 1 Правил материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правил материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ, установленных приложением к настоящему Положению в соответствии с частью пятой статьи 5 Федерального закона "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ) (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст.357; Собрание законодательства Российской Федерации, 1996, N 6, ст.492; 2019, N 30, ст.4151) (далее - Правила материально-технического обеспечения);
использования двух усиленных электронных подписей - электронной подписи, применяемой в контуре формирования электронных сообщений, и электронной подписи, применяемой в контуре контроля реквизитов электронных сообщений, - для контроля целостности и подтверждения подлинности электронных сообщений;
применения третьего варианта защиты, предусмотренного Альбомом электронных сообщений, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее соответственно - сеть "Интернет", официальный сайт Банка России), который ведется Банком России в соответствии с пунктом 5.2 Положения Банка России от 24 сентября 2020 года N 732-П;
шифрования электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
применения средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.
14.4. ОПКЦ должен обеспечивать защиту электронных сообщений при их передаче в Банк России посредством:
обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ в соответствии с пунктом 2 Правил материально-технического обеспечения;
использования двух усиленных электронных подписей - электронной подписи, применяемой в контуре обработки электронных сообщений, и электронной подписи, применяемой в контуре контроля реквизитов электронных сообщений, - для контроля целостности и подтверждения подлинности электронных сообщений;
