|
Расширенный поиск
Указание Центрального банка Российской Федерации от 05.06.2013 № 3007-УЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ (БАНК РОССИИ) У К А З А Н И Е от 5 июня 2013 г. N 3007-У г. Москва О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" Зарегистрировано Минюстом России 1 июля 2013 года Регистрационный N 28930 1. Внести в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированное Министерством юстиции Российской Федерации 14 июня 2012 года N 24575 ("Вестник Банка России" от 22 июня 2012 года N 32), следующие изменения. 1.1. В абзаце девятом пункта 2.1 слова "технических средств по защите информации" заменить словами "технических средств защиты информации". 1.2. Пункт 2.2 дополнить абзацами следующего содержания: "Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, относят события, которые возникли вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств и (или) условий осуществления (требований к осуществлению) перевода денежных средств, связанных с обеспечением защиты информации при осуществлении переводов денежных средств, которые установлены оператором по переводу денежных средств и доведены им до клиента, и которые: привели к несвоевременности (к нарушению сроков, установленных законодательством Российской Федерации, правилами платежных систем и (или) договорами, заключаемыми клиентами, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры, операторами платежных систем, банковскими платежными агентами (субагентами), участниками платежных систем) осуществления переводов денежных средств; привели или могут привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами; привели к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях участников платежной системы, распоряжениях клирингового центра.". 1.3. Подпункт 2.6.3 пункта 2.6 изложить в следующей редакции: "2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают: выполнение процедур идентификации, аутентификации, авторизации своих работников при осуществлении доступа к защищаемой информации; идентификацию, аутентификацию, авторизацию участников платежной системы при осуществлении переводов денежных средств; определение порядка использования информации, необходимой для выполнения аутентификации; регистрацию действий при осуществлении доступа своих работников к защищаемой информации; регистрацию действий, связанных с назначением и распределением прав доступа к защищаемой информации. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают: выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов; выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов; регистрацию действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления переводов денежных средств (далее - автоматизированные системы), и программном обеспечении, входящем в состав объектов информационной инфраструктуры и используемом для осуществления переводов денежных средств (далее - программное обеспечение); регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения. Регистрации в соответствии с абзацем одиннадцатым настоящего подпункта подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения: дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента; набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении (далее - идентификатор клиента); код, соответствующий выполняемому действию; идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, МАС-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства). Банковский платежный агент (субагент) обеспечивает регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, при наличии технической возможности с учетом выполняемого перечня операций и используемых автоматизированных систем, программного обеспечения, эксплуатация которых обеспечивается банковским платежным агентом (субагентом). Оператор по переводу денежных средств обеспечивает хранение информации, указанной в абзацах тринадцатом-шестнадцатом настоящего подпункта, не менее пяти лет, начиная с даты осуществления клиентом действия, выполняемого с использованием автоматизированной системы, программного обеспечения. Оператор по переводу денежных средств определяет во внутренних документах: порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении; перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения; подлежащий регистрации идентификатор устройства; порядок регистрации и хранения информации, указанной в абзацах тринадцатом-шестнадцатом настоящего подпункта. Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами). При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов.". 1.4. Пункт 2.13 дополнить подпунктом 2.13.4 следующего содержания: "2.13.4. Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают регистрацию самостоятельно выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств. Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных клиентами данного оператора по переводу денежных средств. Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных банковскими платежными агентами (субагентами). Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры определяют во внутренних документах порядок регистрации и хранения сведений об инцидентах, указанных в абзацах первом-третьем настоящего подпункта". 1.5. В пункте 2.15: подпункт 2.15.2 дополнить абзацем следующего содержания: "Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса."; подпункт 2.15.3 дополнить абзацами следующего содержания: "Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры по результатам оценки соответствия в целях ее документального подтверждения формируют отчет, который утверждается исполнительными органами управления и хранится в порядке, установленном соответствующим оператором. Отчет включает сведения о проведении оценки соответствия, в том числе: заполненную форму 1, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств; заполненную форму 2, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств; сроки проведения оценки соответствия; сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры для проведения оценки соответствия.". 1.6. В приложении 2: строку П.28 изложить в следующей редакции: |———————|——————|———————————————————————————————|——————————| "|П.28 |2.6.3 |При осуществлении доступа к за-|Требование| | | |щищаемой информации, находящей-|категории | | | |ся на объектах информационной |проверки 1| | | |инфраструктуры, указанных в | | | | |подпункте 2.6.1 пункта 2.6 нас-| | | | |тоящего Положения, оператор по | | | | |переводу денежных средств, бан-| | | | |ковский платежный агент (суб- | | | | |агент) обеспечивают регистрацию| | | | |действий, связанных с назначе- | | | | |нием и распределением прав кли-| | | | |ентов, предоставленных им в | | | | |автоматизированных системах и | | | | |программном обеспечении | | |———————|——————|———————————————————————————————|——————————|"; строку П.29 изложить в следующей редакции: |———————|——————|———————————————————————————————|——————————| "|П.29 |2.6.3 |При осуществлении доступа к за-|Требование| | | |щищаемой информации, находящей-|категории | | | |ся на объектах информационной |проверки 1| | | |инфраструктуры, указанных в | | | | |подпункте 2.6.1 пункта 2.6 нас-| | | | |тоящего Положения, оператор по | | | | |переводу денежных средств, бан-| | | | |ковский платежный агент (суб- | | | | |агент) обеспечивают регистрацию| | | | |действий клиентов, выполняемых | | | | |с использованием автоматизиро- | | | | |ванных систем, программного | | | | |обеспечения. Банковским платеж-| | | | |ным агентом (субагентом) обес- | | | | |печивается регистрация действий| | | | |клиентов, выполняемых с исполь-| | | | |зованием автоматизированных | | | | |систем, программного обеспече- | | | | |ния, при наличии технической | | | | |возможности с учетом выполняе- | | | | |мого перечня операций и исполь-| | | | |зуемых автоматизированных сис- | | | | |тем, программного обеспечения, | | | | |эксплуатация которых обеспечи- | | | | |вается банковским платежным | | | | |агентом (субагентом) | | |———————|——————|———————————————————————————————|——————————|"; после строки П.29 дополнить строками П.29.1, П.29.2, П.29.3, П.29.4 следующего содержания: |———————|——————|———————————————————————————————|——————————| "|П.29.1 |2.6.3 |При осуществлении доступа к за-|Требование| | | |щищаемой информации, находящей-|категории | | | |ся на объектах информационной |проверки 1| | | |инфраструктуры, указанных в | | | | |подпункте 2.6.1 пункта 2.6 нас-| | | | |тоящего Положения, оператор по | | | | |переводу денежных средств, бан-| | | | |ковский платежный агент (суб- | | | | |агент) обеспечивают регистрацию| | | | |следующей информации о действи-| | | | |ях клиентов, выполняемых с ис- | | | | |пользованием автоматизирован- | | | | |ной системы, программного обес-| | | | |печения: | | | | |дата (день, месяц, год) и время| | | | |(часы, минуты, секунды) осущес-| | | | |твления действия клиента; | | | | |идентификатор клиента; | | | | |код, соответствующий выполняе- | | | | |мому действию; | | | | |идентификатор устройства | | |———————|——————|———————————————————————————————|——————————| |П.29.2 |2.6.3 |Оператор по переводу денежных |Требование| | | |средств обеспечивает хранение |категории | | | |информации, указанной в абзацах|проверки 3| | | |тринадцатом-шестнадцатом под- | | | | |пункта 2.6.3 пункта 2.6 насто- | | | | |ящего Положения, не менее пяти | | | | |лет, начиная с даты осуществле-| | | | |ния клиентом действия, выполня-| | | | |емого с использованием автома- | | | | |тизированной системы, програм- | | | | |много обеспечения | | |———————|——————|———————————————————————————————|——————————| |П.29.3 |2.6.3 |Оператор по переводу денежных |Требование| | | |средств определяет во внутрен- |категории | | | |них документах: |проверки 2| | | |порядок формирования уникально-| | | | |го идентификатора клиента в ав-| | | | |томатизированной системе, прог-| | | | |раммном обеспечении; | | | | |перечень кодов действий клиен- | | | | |тов, выполняемых при осуществ- | | | | |лении переводов денежных | | | | |средств с использованием авто- | | | | |матизированно системы, програм-| | | | |много обеспечения; | | | | |подлежащий регистрации иденти- | | | | |фикатор устройства; | | | | |порядок регистрации и хранения | | | | |информации, указанной в абзацах| | | | |тринадцатом-шестнадцатом под- | | | | |пункта 2.6.3 пункта 2.6 настоя-| | | | |щего Положения | | |———————|——————|———————————————————————————————|——————————| |П.29.4 |2.6.3 |Оператор по переводу денежных |Требование| | | |средств определяет требования к|категории | | | |порядку, форме и срокам переда-|проверки 2| | | |чи ему информации о действиях | | | | |клиентов, выполняемых с исполь-| | | | |зованием автоматизированных | | | | |систем, программного обеспече- | | | | |ния, регистрируемой банковскими| | | | |платежными агентами (субагента-| | | | |ми) | | |———————|——————|———————————————————————————————|——————————|"; строку П.59 изложить в следующей редакции: |———————|——————|———————————————————————————————|——————————| "|П.59 |2.9.1 |В случае если оператор по пере-|Требование| | | |воду денежных средств, банковс-|категории | | | |кий платежный агент (субагент),|проверки 3| | | |оператор услуг платежной инфра-| | | | |структуры применяют СKЗИ рос- | | | | |сийского производителя, указан-| | | | |ные СKЗИ должны иметь сертифи- | | | | |каты уполномоченного государст-| | | | |венного органа | | |———————|——————|———————————————————————————————|——————————|"; после строки П.106 дополнить строками П.106.1, П.106.2 следующего содержания: |———————|——————|———————————————————————————————|——————————| "|П.106.1|2.13.4|Оператор по переводу денежных |Требование| | | |средств, оператор услуг платеж-|категории | | | |ной инфраструктуры обеспечивают|проверки 3| | | |регистрацию самостоятельно выя-| | | | |вленных инцидентов, связанных с| | | | |нарушением требований к обеспе-| | | | |чению защиты информации при | | | | |осуществлении переводов денеж- | | | | |ных средств. | | | | |Оператор по переводу денежных | | | | |средств обеспечивает регистра- | | | | |цию ставших ему известными ин- | | | | |цидентов, связанных с нарушени-| | | | |ем требований к обеспечению за-| | | | |щиты информации при осуществле-| | | | |нии переводов денежных средств,| | | | |выявленных клиентами данного | | | | |оператора по переводу денежных | | | | |средств. | | | | |Оператор по переводу денежных | | | | |средств обеспечивает регистра- | | | | |цию ставших ему известными ин- | | | | |цидентов, связанных с нарушени-| | | | |ем требований к обеспечению за-| | | | |щиты информации при осуществле-| | | | |нии переводов денежных средств,| | | | |выявленных банковскими платеж- | | | | |ными агентами (субагентами) | | |———————|——————|———————————————————————————————|——————————| |П.106.2|2.13.4|Оператор по переводу денежных |Требование| | | |средств, оператор услуг платеж-|категории | | | |ной инфраструктуры определяют |проверки 2| | | |во внутренних документах поря- | | | | |док регистрации и хранения све-| | | | |дений об инцидентах, указанных | | | | |в абзацах первом-третьем под- | | | | |пункта 2.13.4 пункта 2.13 нас- | | | | |тоящего Положения | | |———————|——————|———————————————————————————————|——————————|"; строку П.109 изложить в следующей редакции: |———————|——————|———————————————————————————————|——————————| "|П.109 |2.14.3|Оператор по переводу денежных |Требование| | | |средств, оператор услуг платеж-|категории | | | |ной инфраструктуры обеспечивают|проверки 3| | | |выполнение порядка обеспечения | | | | |защиты информации при осуществ-| | | | |лении переводов денежных | | | | |средств | | |———————|——————|———————————————————————————————|——————————|"; после строки П.113 дополнить строками П.113.1, П.113.2 следующего содержания: |———————|——————|———————————————————————————————|——————————| "|П.113.1|2.15.2|Организация, ставшая оператором|Требование| | | |по переводу денежных средств,|категории | | | |оператором платежной системы,|проверки 3| | | |оператором услуг платежной| | | | |инфраструктуры, должна провести| | | | |первую оценку соответствия в| | | | |течение шести месяцев после| | | | |получения соответствующего| | | | |статуса | | |———————|——————|———————————————————————————————|——————————| |П.113.2|2.15.3|Оператор по переводу денежных|Требование| | | |средств, оператор платежной|категории | | | |системы, оператор услуг платеж-|проверки 2| | | |ной инфраструктуры по результа-| | | | |там оценки соответствия в целях| | | | |ее документального подтвержде-| | | | |ния формируют отчет, который| | | | |утверждается исполнительными| | | | |органами управлени и хранится в| | | | |порядке, установленном соот-| | | | |ветствующим оператором. | | | | |Отчет включает сведения о про-| | | | |ведении оценки соответствия, в| | | | |том числе: | | | | |заполненную форму 1, установ-| | | | |ленную приложением 1 к настоя-| | | | |щему Положению и содержащую| | | | |оценки выполнения требований к| | | | |обеспечению защиты информации| | | | |при осуществлении переводов де-| | | | |нежных средств; | | | | |заполненную форму 2, установ-| | | | |ленную приложением 1 к настоя-| | | | |щему Положению и содержащую| | | | |оценки выполнения требований к| | | | |обеспечению защиты информации| | | | |при осуществлении переводов де-| | | | |нежных средств; | | | | |сроки проведения оценки соот-| | | | |ветствия; | | | | |сведения о сторонней организа-| | | | |ции (наименование и местонахож-| | | | |дение) в случае ее привлечения| | | | |оператором по переводу денежных| | | | |средств, оператором платежной| | | | |системы, оператором услуг пла-| | | | |тежной инфраструктуры для про-| | | | |ведения оценки соответствия | | |———————|——————|———————————————————————————————|——————————|"; 2. Настоящее Указание в соответствии с решением Совета директоров Банка России (про токол заседания Совета директоров Банка России от 24 апреля 2013 года N 8) вступает в силу со дня его официального опубликования в "Вестнике Банка России", за исключением подпунк та 1.3 и абзацев второго, третьего и четвертого подпункта 1.6 пункта 1 настоящего Указания. Подпункт 1.3 и абзацы второй, третий и четвертый подпункта 1.6 пункта 1 настоящего Указания вступают в силу по истечении 180 дней после дня его официального опубликования в "Вестнике Банка России". 3. Организация, являющаяся на день вступления в силу настоящего Указания оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев со дня вступ ления в силу настоящего Указания. Председатель Центрального банка Российской Федерации С.М. ИГНАТЬЕВ Согласовано Директор Федеральной службы безопасности Российской Федерации А.В. БОРТНИКОВ Директор Федеральной службы по техническому и экспортному контролю В.В. СЕЛИН Информация по документуЧитайте также
Изменен протокол лечения ковида23 февраля 2022 г. МедицинаГермания может полностью остановить «Северный поток – 2»23 февраля 2022 г. ЭкономикаБогатые уже не такие богатые23 февраля 2022 г. ОбществоОтныне иностранцы смогут найти на портале госуслуг полезную для себя информацию23 февраля 2022 г. ОбществоВакцина «Спутник М» прошла регистрацию в Казахстане22 февраля 2022 г. МедицинаМТС попала в переплет в связи с повышением тарифов22 февраля 2022 г. ГосударствоРегулятор откорректировал прогноз по инфляции22 февраля 2022 г. ЭкономикаСтоимость нефти Brent взяла курс на повышение22 февраля 2022 г. ЭкономикаКурсы иностранных валют снова выросли21 февраля 2022 г. Финансовые рынки |
Архив статей
2024 Ноябрь
|
