Расширенный поиск

Указание Центрального банка Российской Федерации от 05.06.2013 № 3007-У

 



               ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
                           (БАНК РОССИИ)

                          У К А З А Н И Е

                    от 5 июня 2013 г. N 3007-У
                             г. Москва


                       О внесении изменений
                     в Положение Банка России
                    от 9 июня 2012 года N 382-П
                   "О требованиях к обеспечению
                защиты информации при осуществлении
                   переводов денежных средств и
               о порядке осуществления Банком России
                контроля за соблюдением требований
                  к обеспечению защиты информации
                    при осуществлении переводов
                         денежных средств"


         Зарегистрировано Минюстом России 1 июля 2013 года
                      Регистрационный N 28930


     1. Внести в Положение Банка России от 9 июня 2012 года N 382-П
"О  требованиях  к  обеспечению защиты информации при осуществлении
переводов денежных средств и о порядке осуществления Банком  России
контроля  за соблюдением требований к обеспечению защиты информации
при осуществлении переводов денежных  средств",  зарегистрированное
Министерством  юстиции  Российской  Федерации  14  июня 2012 года N
24575 ("Вестник Банка России" от 22 июня 2012 года N 32), следующие
изменения.
     1.1. В абзаце девятом пункта 2.1 слова "технических средств по
защите  информации"  заменить  словами  "технических средств защиты
информации".
     1.2. Пункт 2.2 дополнить абзацами следующего содержания:
     "Оператор по переводу денежных средств,  банковский  платежный
агент   (субагент),  оператор  платежной  системы,  оператор  услуг
платежной инфраструктуры  к  инцидентам,  связанным  с  нарушениями
требований   к  обеспечению  защиты  информации  при  осуществлении
переводов  денежных  средств,  относят  события,  которые  возникли
вследствие нарушения требований к обеспечению защиты информации при
осуществлении  переводов   денежных   средств   и   (или)   условий
осуществления   (требований   к  осуществлению)  перевода  денежных
средств,   связанных   с   обеспечением   защиты   информации   при
осуществлении   переводов  денежных  средств,  которые  установлены
оператором по переводу денежных средств и доведены им до клиента, и
которые:
     привели к несвоевременности (к нарушению сроков, установленных
законодательством Российской Федерации,  правилами платежных систем
и (или) договорами, заключаемыми клиентами, операторами по переводу
денежных   средств,  операторами  услуг  платежной  инфраструктуры,
операторами  платежных  систем,  банковскими  платежными   агентами
(субагентами),    участниками   платежных   систем)   осуществления
переводов денежных средств;
     привели или  могут привести к осуществлению переводов денежных
средств по распоряжению  лиц,  не  обладающих  правом  распоряжения
этими денежными средствами;
     привели к   осуществлению   переводов   денежных   средств   с
использованием искаженной информации,  содержащейся в распоряжениях
клиентов, распоряжениях участников платежной системы, распоряжениях
клирингового центра.".
     1.3. Подпункт 2.6.3 пункта 2.6 изложить в следующей редакции:
     "2.6.3. При  осуществлении  доступа  к  защищаемой информации,
находящейся на объектах информационной инфраструктуры,  указанных в
подпункте  2.6.1  настоящего пункта,  оператор по переводу денежных
средств,  банковский платежный  агент  (субагент),  оператор  услуг
платежной инфраструктуры обеспечивают:
     выполнение процедур идентификации, аутентификации, авторизации
своих работников при осуществлении доступа к защищаемой информации;
     идентификацию, аутентификацию,     авторизацию      участников
платежной  системы  при  осуществлении  переводов денежных средств;
определение  порядка  использования  информации,  необходимой   для
выполнения аутентификации;
     регистрацию действий   при   осуществлении    доступа    своих
работников к защищаемой информации;
     регистрацию действий, связанных с назначением и распределением
прав доступа к защищаемой информации.
     При осуществлении доступа к защищаемой информации, находящейся
на  объектах  информационной инфраструктуры,  указанных в подпункте
2.6.1 настоящего пункта,  оператор по  переводу  денежных  средств,
банковский платежный агент (субагент) обеспечивают:
     выполнение процедур идентификации, аутентификации, авторизации
лиц,  осуществляющих доступ к программному обеспечению банкоматов и
платежных терминалов;
     выполнение процедур идентификации и контроль деятельности лиц,
осуществляющих  техническое  обслуживание  банкоматов  и  платежных
терминалов;
     регистрацию действий, связанных с назначением и распределением
прав  клиентов,  предоставленных  им в автоматизированных системах,
входящих  в  состав  объектов   информационной   инфраструктуры   и
используемых  для осуществления переводов денежных средств (далее -
автоматизированные системы),  и программном обеспечении, входящем в
состав  объектов  информационной  инфраструктуры и используемом для
осуществления  переводов  денежных  средств  (далее  -  программное
обеспечение);
     регистрацию действий клиентов,  выполняемых  с  использованием
автоматизированных систем, программного обеспечения.
     Регистрации в соответствии с абзацем  одиннадцатым  настоящего
подпункта  подлежит  следующая  информация  о  действиях  клиентов,
выполняемых    с    использованием    автоматизированных    систем,
программного обеспечения:
     дата (день,  месяц,  год)  и  время  (часы,  минуты,  секунды)
осуществления действия клиента;
     набор символов,    присвоенный    клиенту    и     позволяющий
идентифицировать  его  в  автоматизированной  системе,  программном
обеспечении (далее - идентификатор клиента);
     код, соответствующий выполняемому действию;
     идентификационная информация,   используемая   для   адресации
устройства,   с   использованием   которого  осуществлен  доступ  к
автоматизированной  системе,  программному  обеспечению   с   целью
осуществления переводов денежных средств,  которой в зависимости от
технической  возможности  является   IP-адрес,   МАС-адрес,   номер
SIM-карты,  номер  телефона  и  (или) иной идентификатор устройства
(далее - идентификатор устройства).
     Банковский платежный агент (субагент) обеспечивает регистрацию
действий клиентов,  выполняемых с использованием автоматизированных
систем,   программного   обеспечения,   при   наличии   технической
возможности с учетом выполняемого перечня операций  и  используемых
автоматизированных систем,  программного обеспечения,  эксплуатация
которых обеспечивается банковским платежным агентом (субагентом).
     Оператор по  переводу  денежных  средств обеспечивает хранение
информации, указанной в абзацах тринадцатом-шестнадцатом настоящего
подпункта, не менее пяти лет, начиная с даты осуществления клиентом
действия, выполняемого с использованием автоматизированной системы,
программного обеспечения.
     Оператор по переводу денежных средств определяет во внутренних
документах:
     порядок формирования  уникального  идентификатора  клиента   в
автоматизированной системе, программном обеспечении;
     перечень кодов    действий    клиентов,    выполняемых     при
осуществлении   переводов   денежных   средств   с   использованием
автоматизированной системы, программного обеспечения;
     подлежащий регистрации идентификатор устройства;
     порядок регистрации и хранения информации, указанной в абзацах
тринадцатом-шестнадцатом настоящего подпункта.
     Оператор по переводу денежных средств определяет требования  к
порядку,  форме  и  срокам  передачи  ему  информации  о  действиях
клиентов,  выполняемых с использованием автоматизированных  систем,
программного  обеспечения,  регистрируемой  банковскими  платежными
агентами (субагентами).
     При осуществлении доступа к защищаемой информации, находящейся
на объектах информационной инфраструктуры,  указанных  в  подпункте
2.6.1  настоящего  пункта,  оператор  по  переводу денежных средств
обеспечивает  регистрацию  действий  с  информацией  о   банковских
счетах, включая операции открытия и закрытия банковских счетов.".
     1.4. Пункт  2.13  дополнить   подпунктом   2.13.4   следующего
содержания:
     "2.13.4. Оператор по переводу денежных средств, оператор услуг
платежной  инфраструктуры  обеспечивают  регистрацию самостоятельно
выявленных  инцидентов,  связанных  с   нарушением   требований   к
обеспечению  защиты информации при осуществлении переводов денежных
средств.
     Оператор по переводу денежных средств обеспечивает регистрацию
ставших  ему  известными   инцидентов,   связанных   с   нарушением
требований   к  обеспечению  защиты  информации  при  осуществлении
переводов денежных средств,  выявленных клиентами данного оператора
по переводу денежных средств.
     Оператор по переводу денежных средств обеспечивает регистрацию
ставших   ему   известными   инцидентов,   связанных  с  нарушением
требований  к  обеспечению  защиты  информации  при   осуществлении
переводов   денежных  средств,  выявленных  банковскими  платежными
агентами (субагентами).
     Оператор по   переводу   денежных   средств,   оператор  услуг
платежной  инфраструктуры  определяют  во   внутренних   документах
порядок регистрации и хранения сведений об инцидентах,  указанных в
абзацах первом-третьем настоящего подпункта".
     1.5. В пункте 2.15:
     подпункт 2.15.2 дополнить абзацем следующего содержания:
     "Организация, ставшая оператором по переводу денежных средств,
оператором   платежной   системы,   оператором   услуг    платежной
инфраструктуры,   должна  провести  первую  оценку  соответствия  в
течение шести месяцев после получения соответствующего статуса.";
     подпункт 2.15.3 дополнить абзацами следующего содержания:
     "Оператор по переводу  денежных  средств,  оператор  платежной
системы,  оператор  услуг  платежной  инфраструктуры по результатам
оценки  соответствия  в  целях  ее  документального   подтверждения
формируют  отчет,  который  утверждается  исполнительными  органами
управления и  хранится  в  порядке,  установленном  соответствующим
оператором.   Отчет   включает   сведения   о   проведении   оценки
соответствия, в том числе:
     заполненную форму 1,  установленную приложением 1 к настоящему
Положению и содержащую оценки выполнения требований  к  обеспечению
защиты информации при осуществлении переводов денежных средств;
     заполненную форму 2,  установленную приложением 1 к настоящему
Положению  и  содержащую оценки выполнения требований к обеспечению
защиты информации при осуществлении переводов денежных средств;
     сроки проведения оценки соответствия;
     сведения о    сторонней    организации     (наименование     и
местонахождение)  в  случае  ее  привлечения оператором по переводу
денежных средств,  оператором платежной системы,  оператором  услуг
платежной инфраструктуры для проведения оценки соответствия.".
     1.6. В приложении 2:
     строку П.28 изложить в следующей редакции:
      |———————|——————|———————————————————————————————|——————————|
     "|П.28   |2.6.3 |При осуществлении доступа к за-|Требование|
      |       |      |щищаемой информации, находящей-|категории |
      |       |      |ся на объектах информационной  |проверки 1|
      |       |      |инфраструктуры, указанных в    |          |
      |       |      |подпункте 2.6.1 пункта 2.6 нас-|          |
      |       |      |тоящего Положения, оператор по |          |
      |       |      |переводу денежных средств, бан-|          |
      |       |      |ковский платежный агент (суб-  |          |
      |       |      |агент) обеспечивают регистрацию|          |
      |       |      |действий, связанных с назначе- |          |
      |       |      |нием и распределением прав кли-|          |
      |       |      |ентов, предоставленных им в    |          |
      |       |      |автоматизированных системах и  |          |
      |       |      |программном обеспечении        |          |
      |———————|——————|———————————————————————————————|——————————|";
     строку П.29 изложить в следующей редакции:
      |———————|——————|———————————————————————————————|——————————|
     "|П.29   |2.6.3 |При осуществлении доступа к за-|Требование|
      |       |      |щищаемой информации, находящей-|категории |
      |       |      |ся на объектах информационной  |проверки 1|
      |       |      |инфраструктуры, указанных в    |          |
      |       |      |подпункте 2.6.1 пункта 2.6 нас-|          |
      |       |      |тоящего Положения, оператор по |          |
      |       |      |переводу денежных средств, бан-|          |
      |       |      |ковский платежный агент (суб-  |          |
      |       |      |агент) обеспечивают регистрацию|          |
      |       |      |действий клиентов, выполняемых |          |
      |       |      |с использованием автоматизиро- |          |
      |       |      |ванных систем, программного    |          |
      |       |      |обеспечения. Банковским платеж-|          |
      |       |      |ным агентом (субагентом) обес- |          |
      |       |      |печивается регистрация действий|          |
      |       |      |клиентов, выполняемых с исполь-|          |
      |       |      |зованием автоматизированных    |          |
      |       |      |систем, программного обеспече- |          |
      |       |      |ния, при наличии технической   |          |
      |       |      |возможности с учетом выполняе- |          |
      |       |      |мого перечня операций и исполь-|          |
      |       |      |зуемых автоматизированных сис- |          |
      |       |      |тем, программного обеспечения, |          |
      |       |      |эксплуатация которых обеспечи- |          |
      |       |      |вается банковским платежным    |          |
      |       |      |агентом (субагентом)           |          |
      |———————|——————|———————————————————————————————|——————————|";
     после строки П.29 дополнить строками П.29.1,  П.29.2,  П.29.3,
П.29.4 следующего содержания:
      |———————|——————|———————————————————————————————|——————————|
     "|П.29.1 |2.6.3 |При осуществлении доступа к за-|Требование|
      |       |      |щищаемой информации, находящей-|категории |
      |       |      |ся на объектах информационной  |проверки 1|
      |       |      |инфраструктуры, указанных в    |          |
      |       |      |подпункте 2.6.1 пункта 2.6 нас-|          |
      |       |      |тоящего Положения, оператор по |          |
      |       |      |переводу денежных средств, бан-|          |
      |       |      |ковский платежный агент (суб-  |          |
      |       |      |агент) обеспечивают регистрацию|          |
      |       |      |следующей информации о действи-|          |
      |       |      |ях клиентов, выполняемых с ис- |          |
      |       |      |пользованием автоматизирован-  |          |
      |       |      |ной системы, программного обес-|          |
      |       |      |печения:                       |          |
      |       |      |дата (день, месяц, год) и время|          |
      |       |      |(часы, минуты, секунды) осущес-|          |
      |       |      |твления действия клиента;      |          |
      |       |      |идентификатор клиента;         |          |
      |       |      |код, соответствующий выполняе- |          |
      |       |      |мому действию;                 |          |
      |       |      |идентификатор устройства       |          |
      |———————|——————|———————————————————————————————|——————————|
      |П.29.2 |2.6.3 |Оператор по переводу денежных  |Требование|
      |       |      |средств обеспечивает хранение  |категории |
      |       |      |информации, указанной в абзацах|проверки 3|
      |       |      |тринадцатом-шестнадцатом под-  |          |
      |       |      |пункта 2.6.3 пункта 2.6 насто- |          |
      |       |      |ящего Положения, не менее пяти |          |
      |       |      |лет, начиная с даты осуществле-|          |
      |       |      |ния клиентом действия, выполня-|          |
      |       |      |емого с использованием автома- |          |
      |       |      |тизированной системы, програм- |          |
      |       |      |много обеспечения              |          |
      |———————|——————|———————————————————————————————|——————————|
      |П.29.3 |2.6.3 |Оператор по переводу денежных  |Требование|
      |       |      |средств определяет во внутрен- |категории |
      |       |      |них документах:                |проверки 2|
      |       |      |порядок формирования уникально-|          |
      |       |      |го идентификатора клиента в ав-|          |
      |       |      |томатизированной системе, прог-|          |
      |       |      |раммном обеспечении;           |          |
      |       |      |перечень кодов действий клиен- |          |
      |       |      |тов, выполняемых при осуществ- |          |
      |       |      |лении переводов денежных       |          |
      |       |      |средств с использованием авто- |          |
      |       |      |матизированно системы, програм-|          |
      |       |      |много обеспечения;             |          |
      |       |      |подлежащий регистрации иденти- |          |
      |       |      |фикатор устройства;            |          |
      |       |      |порядок регистрации и хранения |          |
      |       |      |информации, указанной в абзацах|          |
      |       |      |тринадцатом-шестнадцатом под-  |          |
      |       |      |пункта 2.6.3 пункта 2.6 настоя-|          |
      |       |      |щего Положения                 |          |
      |———————|——————|———————————————————————————————|——————————|
      |П.29.4 |2.6.3 |Оператор по переводу денежных  |Требование|
      |       |      |средств определяет требования к|категории |
      |       |      |порядку, форме и срокам переда-|проверки 2|
      |       |      |чи ему информации о действиях  |          |
      |       |      |клиентов, выполняемых с исполь-|          |
      |       |      |зованием автоматизированных    |          |
      |       |      |систем, программного обеспече- |          |
      |       |      |ния, регистрируемой банковскими|          |
      |       |      |платежными агентами (субагента-|          |
      |       |      |ми)                            |          |
      |———————|——————|———————————————————————————————|——————————|";
     строку П.59 изложить в следующей редакции:
      |———————|——————|———————————————————————————————|——————————|
     "|П.59   |2.9.1 |В случае если оператор по пере-|Требование|
      |       |      |воду денежных средств, банковс-|категории |
      |       |      |кий платежный агент (субагент),|проверки 3|
      |       |      |оператор услуг платежной инфра-|          |
      |       |      |структуры применяют СKЗИ рос-  |          |
      |       |      |сийского производителя, указан-|          |
      |       |      |ные СKЗИ должны иметь сертифи- |          |
      |       |      |каты уполномоченного государст-|          |
      |       |      |венного органа                 |          |
      |———————|——————|———————————————————————————————|——————————|";
     после строки  П.106  дополнить   строками   П.106.1,   П.106.2
следующего содержания:
      |———————|——————|———————————————————————————————|——————————|
     "|П.106.1|2.13.4|Оператор по переводу денежных  |Требование|
      |       |      |средств, оператор услуг платеж-|категории |
      |       |      |ной инфраструктуры обеспечивают|проверки 3|
      |       |      |регистрацию самостоятельно выя-|          |
      |       |      |вленных инцидентов, связанных с|          |
      |       |      |нарушением требований к обеспе-|          |
      |       |      |чению защиты информации при    |          |
      |       |      |осуществлении переводов денеж- |          |
      |       |      |ных средств.                   |          |
      |       |      |Оператор по переводу денежных  |          |
      |       |      |средств обеспечивает регистра- |          |
      |       |      |цию ставших ему известными ин- |          |
      |       |      |цидентов, связанных с нарушени-|          |
      |       |      |ем требований к обеспечению за-|          |
      |       |      |щиты информации при осуществле-|          |
      |       |      |нии переводов денежных средств,|          |
      |       |      |выявленных клиентами данного   |          |
      |       |      |оператора по переводу денежных |          |
      |       |      |средств.                       |          |
      |       |      |Оператор по переводу денежных  |          |
      |       |      |средств обеспечивает регистра- |          |
      |       |      |цию ставших ему известными ин- |          |
      |       |      |цидентов, связанных с нарушени-|          |
      |       |      |ем требований к обеспечению за-|          |
      |       |      |щиты информации при осуществле-|          |
      |       |      |нии переводов денежных средств,|          |
      |       |      |выявленных банковскими платеж- |          |
      |       |      |ными агентами (субагентами)    |          |
      |———————|——————|———————————————————————————————|——————————|
      |П.106.2|2.13.4|Оператор по переводу денежных  |Требование|
      |       |      |средств, оператор услуг платеж-|категории |
      |       |      |ной инфраструктуры определяют  |проверки 2|
      |       |      |во внутренних документах поря- |          |
      |       |      |док регистрации и хранения све-|          |
      |       |      |дений об инцидентах, указанных |          |
      |       |      |в абзацах первом-третьем под-  |          |
      |       |      |пункта 2.13.4 пункта 2.13 нас- |          |
      |       |      |тоящего Положения              |          |
      |———————|——————|———————————————————————————————|——————————|";
     строку П.109 изложить в следующей редакции:
      |———————|——————|———————————————————————————————|——————————|
     "|П.109  |2.14.3|Оператор по переводу денежных  |Требование|
      |       |      |средств, оператор услуг платеж-|категории |
      |       |      |ной инфраструктуры обеспечивают|проверки 3|
      |       |      |выполнение порядка обеспечения |          |
      |       |      |защиты информации при осуществ-|          |
      |       |      |лении переводов денежных       |          |
      |       |      |средств                        |          |
      |———————|——————|———————————————————————————————|——————————|";
     после строки  П.113  дополнить   строками   П.113.1,   П.113.2
следующего содержания:
      |———————|——————|———————————————————————————————|——————————|
     "|П.113.1|2.15.2|Организация, ставшая оператором|Требование|
      |       |      |по переводу  денежных  средств,|категории |
      |       |      |оператором  платежной  системы,|проверки 3|
      |       |      |оператором   услуг    платежной|          |
      |       |      |инфраструктуры, должна провести|          |
      |       |      |первую  оценку  соответствия  в|          |
      |       |      |течение   шести  месяцев  после|          |
      |       |      |получения      соответствующего|          |
      |       |      |статуса                        |          |
      |———————|——————|———————————————————————————————|——————————|
      |П.113.2|2.15.3|Оператор по  переводу  денежных|Требование|
      |       |      |средств,   оператор   платежной|категории |
      |       |      |системы, оператор услуг платеж-|проверки 2|
      |       |      |ной инфраструктуры по результа-|          |
      |       |      |там оценки соответствия в целях|          |
      |       |      |ее документального  подтвержде-|          |
      |       |      |ния  формируют  отчет,  который|          |
      |       |      |утверждается    исполнительными|          |
      |       |      |органами управлени и хранится в|          |
      |       |      |порядке,  установленном   соот-|          |
      |       |      |ветствующим  оператором.       |          |
      |       |      |Отчет включает сведения о  про-|          |
      |       |      |ведении оценки соответствия,  в|          |
      |       |      |том числе:                     |          |
      |       |      |заполненную форму  1,  установ-|          |
      |       |      |ленную приложением 1 к  настоя-|          |
      |       |      |щему   Положению  и  содержащую|          |
      |       |      |оценки выполнения требований  к|          |
      |       |      |обеспечению  защиты  информации|          |
      |       |      |при осуществлении переводов де-|          |
      |       |      |нежных средств;                |          |
      |       |      |заполненную форму  2,  установ-|          |
      |       |      |ленную  приложением 1 к настоя-|          |
      |       |      |щему  Положению  и   содержащую|          |
      |       |      |оценки  выполнения требований к|          |
      |       |      |обеспечению  защиты  информации|          |
      |       |      |при осуществлении переводов де-|          |
      |       |      |нежных средств;                |          |
      |       |      |сроки проведения  оценки  соот-|          |
      |       |      |ветствия;                      |          |
      |       |      |сведения о  сторонней организа-|          |
      |       |      |ции (наименование и местонахож-|          |
      |       |      |дение)  в случае ее привлечения|          |
      |       |      |оператором по переводу денежных|          |
      |       |      |средств,  оператором  платежной|          |
      |       |      |системы,  оператором услуг пла-|          |
      |       |      |тежной  инфраструктуры для про-|          |
      |       |      |ведения оценки соответствия    |          |
      |———————|——————|———————————————————————————————|——————————|";
     2. Настоящее  Указание  в  соответствии  с   решением   Совета
директоров  Банка  России  (про  токол  заседания Совета директоров
Банка России от 24 апреля 2013 года N 8) вступает в силу со дня его
официального   опубликования   в   "Вестнике   Банка   России",  за
исключением подпунк та 1.3 и абзацев второго, третьего и четвертого
подпункта 1.6 пункта 1 настоящего Указания.
     Подпункт 1.3 и абзацы второй, третий и четвертый подпункта 1.6
пункта  1 настоящего Указания вступают в силу по истечении 180 дней
после дня его официального опубликования в "Вестнике Банка России".
     3. Организация,   являющаяся   на   день   вступления  в  силу
настоящего  Указания  оператором  по  переводу  денежных   средств,
оператором    платежной   системы,   оператором   услуг   платежной
инфраструктуры, должна провести оценку соответствия в течение шести
месяцев со дня вступ ления в силу настоящего Указания.


     Председатель
     Центрального банка
     Российской Федерации                        С.М. ИГНАТЬЕВ

     Согласовано

     Директор Федеральной службы
     безопасности
     Российской Федерации                        А.В. БОРТНИКОВ

     Директор Федеральной службы
     по техническому и экспортному
     контролю                                    В.В. СЕЛИН


Информация по документу
Читайте также