Расширенный поиск

Письмо Центрального банка Российской Федерации от 01.03.2013 № 34-Т

 



               ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
                           (БАНК РОССИИ)

                            П И С Ь М О

                     от 1 марта 2013 г. N 34-Т
                             г. Москва


                                                 Главные управления
                                               (национальные банки)
                                                 Центрального банка
                                               Российской Федерации


                О рекомендациях по повышению уровня
                  безопасности при использовании
                 банкоматов и платежных терминалов


     Банк России  направляет   рекомендации  по  повышению   уровня
безопасности при  использовании банкоматов  и платежных  терминалов
(далее - Рекомендации).
     Территориальным учреждениям  Банка  России  довести  настоящее
письмо до сведения кредитных организаций.
     Настоящее письмо  подлежит  опубликованию  в  "Вестнике  Банка
России".
     Приложение на 3 л.
     
     
     Заместитель Председателя
     Банка России                               Т.Н. ЧУГУНОВА
          
     
     
     
                                                         Приложение
                                              к письму Банка России
                                        от 1 марта 2013 года N 34-Т
                                      "О рекомендациях по повышению
                              уровня безопасности при использовании
                                 банкоматов и платежных терминалов"
     
     
                           Рекомендации
                 по повышению уровня безопасности
                   при использовании банкоматов
                      и платежных терминалов
     
     
     Настоящие рекомендации подготовлены  в целях повышения  уровня
безопасности при использовании банкоматов1 и платежных  терминалов2
(далее - устройства).
     Кредитным организациям,   в   том   числе   при    привлечении
специализированных организаций3, рекомендуется:
     классифицировать места установки  устройств  по степени  риска
подвергнуться попыткам физического взлома, установки  скиммингового
оборудования  и  (или)  воздействия  вредоносного  кода,  а   также
совершения несанкционированных операций (далее - атаки);
     пересматривать классификацию мест установки устройств по  мере
развития технологий, в том числе технологий атак;
     оснащать устройства  защитным  оборудованием4  и   специальным
программным  обеспечением5,  при   этом  их  тип,  комплектацию   и
функциональные   возможности   рекомендуется  выбирать   с   учетом
классификации    места   установки    (предполагаемой    установки)
устройства;
     осуществлять на   регулярной   основе,   в   зависимости    от
классификации места  установки устройства,  контроль внешнего  вида
устройства,     включая     его    целостности     и     отсутствия
несанкционированного оборудования,  а также действий  обслуживающих
данное устройство организаций6;
     использовать системы    удаленного    мониторинга    состояния
устройства,  обеспечивающие контроль  надлежащего  функционирования
защитного оборудования и специального программного обеспечения;
     оборудовать устройства   системами  видеонаблюдения   (минимум
двумя  видеокамерами) со  сроком  хранения записей  видеосъемки  не
менее 60  календарных дней.  Требования  к типу  и качеству  систем
видеонаблюдения, хранению информации,  а также местам их  установки
(внутри   или  вне   устройства)   должны  обеспечивать   получение
видеоизображения надлежащего качества7;
     обеспечить обнаружение,  фиксацию  фактов атак  и  попыток  их
совершения и информирование о них заинтересованных участников рынка
розничных платежных услуг, а также Банка России;
     проводить анализ и устранять выявленные уязвимости8 в случаях,
когда используемое устройство  подверглось атакам  или попыткам  их
совершения;
     совершенствовать применяемые решения и процедуры, направленные
на обнаружение, фиксацию, идентификацию  и предотвращение атак  или
попыток их совершения;
     осуществлять сотрудничество с иными кредитными  организациями,
а также осуществлять на регулярной основе обмен информацией в целях
развития и совершенствования безопасности устройств;
     размещать на  экране   устройства  либо   в  пределах   прямой
видимости  от  него   предупреждающие  сообщения  о   необходимости
соблюдения   мер   предосторожности   при   наборе    персонального
идентификационного номера при использовании устройства9;
     устанавливать устройства  в  безопасных  местах  (например,  в
государственных учреждениях, своих подразделениях, крупных торговых
комплексах, гостиницах,  аэропортах  и  тому  подобное)10 с  учетом
настоящих Рекомендаций;
     осуществлять крепление  устройства  к  стене  или  к  полу   в
помещениях и  к фундаменту  вне помещений, если  это допускает  его
конструкция;
     устанавливать устройства с антивандальным исполнением  корпуса
и панелей;
     предусматривать при  установке   устройства  возможность   его
безопасного использования маломобильными группами населения, людьми
с ограниченными возможностями здоровья;
     страховать устройства  и  (или)  наличные  денежные  средства,
находящиеся внутри данных устройств;
     использовать настоящие  Рекомендации   в  случае   привлечения
банковских платежных агентов (субагентов), использующих устройства.
Доводить до их сведения настоящие Рекомендации.
     
     --------------------
     1 Термин "банкомат"  используется в  значении, определенном  в
пункте 1.3 Положения Банка России от 24.12.2004 N 266-П "Об эмиссии
банковских  карт  и  об  операциях,  совершаемых  с  использованием
платежных карт".
     2 Термин  "платежный   терминал"   используется  в   значении,
определенном в статье 1  Федерального закона от 22.05.2003 N  54-ФЗ
"О  применении   контрольно-кассовой   техники  при   осуществлении
наличных  денежных  расчетов  и  (или)  расчетов  с  использованием
платежных карт".
     3 В  рамках   данных   Рекомендаций  под   специализированными
организациями следует понимать организации, предоставляющие  услуги
по  обеспечению  безопасного  использования  устройств   (например,
услуги видеонаблюдения, вневедомственной охраны и тому подобное).
     4 В  рамках  данных Рекомендаций  под  защитным  оборудованием
следует    понимать   антискимминговое    оборудование,    охранную
сигнализацию    и    иное   оборудование,    предназначенное    для
предотвращения атак.
     5 В  рамках данных  Рекомендаций  под специальным  программным
обеспечением    следует    понимать    программное     обеспечение,
предназначенное для предотвращения и выявления атак.
     6 В   рамках    данных    Рекомендаций   под    обслуживающими
организациями следует понимать организации, осуществляющие операции
по загрузке (изъятию)  наличных денег, наличной иностранной  валюты
из устройств, а также организации, предоставляющие услуги ремонта и
(или)  профилактики,  включая   программное  обеспечение,  и   тому
подобное.
     7 В   рамках   данных   Рекомендаций   под   видеоизображением
надлежащего  качества  следует понимать  видеоизображение,  которое
позволяет использовать его в качестве доказательства.
     8 В  рамках  данных  Рекомендаций  под  уязвимостями   следует
понимать слабые места в устройстве, а также защитном оборудовании и
специальном  программном  обеспечении,  которые  могут  привести  к
нарушению его работы или безопасности.
     9 Пункт  7 раздела  "Рекомендации  при совершении  операций  с
банковской картой в банкомате" письма Банка России от 02.10.2009  N
120-Т "О мерах безопасного использования банковских карт".
     10 Пункт 1  раздела  "Рекомендации при  совершении операций  с
банковской картой в банкомате" письма Банка России от 02.10.2009  N
120-Т "О мерах безопасного использования банковских карт".