Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЗАКОНОДАТЕЛЬСТВО НОРМАТИВНЫЕ ДОКУМЕНТЫ БАНКА РОССИИ Указание от 5 июня 2013 г. N 3007-У о внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П
Навигация
 

Указание от 5 июня 2013 г. N 3007-У о внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П

Операции с документом
УКАЗАНИЕ от 5 июня 2013 г. N 3007-У О ВНЕСЕНИИ ИЗМЕНЕНИЙ В ПОЛОЖЕНИЕ БАНКА РОССИИ ОТ 9 ИЮНЯ 2012 ГОДА N 382-П "О ТРЕБОВАНИЯХ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ И О ПОРЯДКЕ ОСУЩЕСТВЛЕНИЯ БАНКОМ РОССИИ КОНТРОЛЯ ЗА СОБЛЮДЕНИЕМ ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ"

1. Внести в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированное Министерством юстиции Российской Федерации 14 июня 2012 года N 24575 ("Вестник Банка России" от 22 июня 2012 года N 32), следующие изменения.

1.1. В абзаце девятом пункта 2.1 слова "технических средств по защите информации" заменить словами "технических средств защиты информации".

1.2. Пункт 2.2 дополнить абзацами следующего содержания:

"Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, относят события, которые возникли вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств и (или) условий осуществления (требований к осуществлению) перевода денежных средств, связанных с обеспечением защиты информации при осуществлении переводов денежных средств, которые установлены оператором по переводу денежных средств и доведены им до клиента, и которые:

привели к несвоевременности (к нарушению сроков, установленных законодательством Российской Федерации, правилами платежных систем и (или) договорами, заключаемыми клиентами, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры, операторами платежных систем, банковскими платежными агентами (субагентами), участниками платежных систем) осуществления переводов денежных средств;

привели или могут привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;

привели к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях участников платежной системы, распоряжениях клирингового центра.".

1.3. Подпункт 2.6.3 пункта 2.6 изложить в следующей редакции:

"2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:

выполнение процедур идентификации, аутентификации, авторизации своих работников при осуществлении доступа к защищаемой информации;

идентификацию, аутентификацию, авторизацию участников платежной системы при осуществлении переводов денежных средств;

определение порядка использования информации, необходимой для выполнения аутентификации;

регистрацию действий при осуществлении доступа своих работников к защищаемой информации;

регистрацию действий, связанных с назначением и распределением прав доступа к защищаемой информации.

При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:

выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;

выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;

регистрацию действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления переводов денежных средств (далее - автоматизированные системы), и программном обеспечении, входящем в состав объектов информационной инфраструктуры и используемом для осуществления переводов денежных средств (далее - программное обеспечение);

регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.

Регистрации в соответствии с абзацем одиннадцатым настоящего подпункта подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;

набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении (далее - идентификатор клиента);

код, соответствующий выполняемому действию;

идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства).

Банковский платежный агент (субагент) обеспечивает регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, при наличии технической возможности с учетом выполняемого перечня операций и используемых автоматизированных систем, программного обеспечения, эксплуатация которых обеспечивается банковским платежным агентом (субагентом).

Оператор по переводу денежных средств обеспечивает хранение информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта, не менее пяти лет, начиная с даты осуществления клиентом действия, выполняемого с использованием автоматизированной системы, программного обеспечения.

>Оператор по переводу денежных средств определяет во внутренних документах:

порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;

перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;

подлежащий регистрации идентификатор устройства;

порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта.

Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами).

При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов.".

1.4. Пункт 2.13 дополнить подпунктом 2.13.4 следующего содержания:

"2.13.4. Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают регистрацию самостоятельно выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных клиентами данного оператора по переводу денежных средств.

Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных банковскими платежными агентами (субагентами).

Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры определяют во внутренних документах порядок регистрации и хранения сведений об инцидентах, указанных в абзацах первом - третьем настоящего подпункта".

1.5. В пункте 2.15:

подпункт 2.15.2 дополнить абзацем следующего содержания:

"Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.";

подпункт 2.15.3 дополнить абзацами следующего содержания:

"Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры по результатам оценки соответствия в целях ее документального подтверждения формируют отчет, который утверждается исполнительными органами управления и хранится в порядке, установленном соответствующим оператором. Отчет включает сведения о проведении оценки соответствия, в том числе:

заполненную форму 1, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;

заполненную форму 2, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;

сроки проведения оценки соответствия;

сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры для проведения оценки соответствия.".

1.6. В приложении 2:

строку П.28 изложить в следующей редакции:

П.28  2.6.3 При осуществлении  доступа к  защищаемой информации,   находящейся на объектах информационной инфраструктуры,  указанных в подпункте 2.6.1 пункта  2.6  настоящего Положения, оператор по переводу  денежных средств,   банковский платежный агент(субагент) обеспечивают    регистрацию действий, связанных с назначением   и распределением прав клиентов, предоставленных им  в  автоматизированных системах и программном обеспечении     Требование категории проверки 1  

строку П.29 изложить в следующей редакции:

П.29 2.6.3 При осуществлении  доступа  к  защищаемой информации,   находящейся на объектах информационной инфраструктуры,  указанных в подпункте 2.6.1 пункта  2.6  настоящего Положения, оператор по переводу  денежных средств,   банковский платежный агент (субагент) обеспечивают    регистрацию действий  клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения. Банковским платежным агентом (субагентом) обеспечивается регистрация действий клиентов,  выполняемых с  использованием автоматизированных  систем,  программного обеспечения,  при   наличии   технической возможности с учетом выполняемого перечня операций  и используемых автоматизированных  систем,  программного обеспечения, эксплуатация которых обеспечивается банковским платежным агентом (субагентом) Требование категории проверки 1 

после строки П.29 дополнить строками П.29.1, П.29.2, П.29.3, П.29.4 следующего содержания:

П.29.1  2.6.3 При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают регистрацию следующей    информации о действиях следующей информации    о действиях клиентов, выполняемых с использованием автоматизированной системы, программного обеспечения:
  • дата (день, месяц, год) и время (часы, минуты,   секунды) осуществления действия клиента;
  • идентификатор клиента;
  • код, соответствующий   выполняемому действию;
  • идентификатор устройства
Требование категории проверки 1
П.29.2 2.6.3 Оператор  по  переводу  денежных  средств обеспечивает     хранение     информации, указанной   в   абзацах   тринадцатом   - шестнадцатом подпункта 2.6.3  пункта  2.6 настоящего Положения, не менее пяти  лет, начиная  с  даты  осуществления  клиентом действия, выполняемого  с  использованием автоматизированной системы,  программного обеспечения Требование категории проверки 3
П.29.3 2.6.3 Оператор  по  переводу  денежных  средств определяет во внутренних документах:
  • порядок   формирования    уникального идентификатора         клиента          в автоматизированной  системе,  программном обеспечении;
  • перечень  кодов  действий   клиентов, выполняемых при  осуществлении  переводов денежных   средств    с    использованием автоматизированной системы,  программного обеспечения;
  • подлежащий  регистрации идентификатор устройства;
  • порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом   подпункта 2.6.3 пункта 2.6 настоящего Положения
Требование категории проверки 2
П.29.4 2.6.3 Оператор  по  переводу  денежных  средств определяет требования к порядку, форме  и срокам   передачи   ему   информации    о действиях   клиентов,    выполняемых    с использованием         автоматизированных систем,     программного     обеспечения, регистрируемой   банковскими   платежными агентами (субагентами) Требование категории проверки 2

строку П.59 изложить в следующей редакции:

П.59 2.9.1 В случае если оператор по переводу денежных  средств,  банковский платежный агент (субагент), оператор    услуг платежной инфраструктуры  применяют СКЗИ российского производителя, указанные СКЗИ должны     иметь сертификаты уполномоченного государственного органа Требование  
категории проверки 3

после строки П.106 дополнить строками П.106.1, П.106.2 следующего содержания:

П.106.1 2.13.4 Оператор по переводу денежных средств, оператор услуг  платежной  инфраструктуры обеспечивают  регистрацию  самостоятельно выявленных инцидентов, связанных  с нарушением требований к обеспечению защиты информации   при осуществлении переводов денежных средств. Оператор  по  переводу денежных  средств обеспечивает  регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты   информации при осуществлении переводов денежных  средств,  выявленных клиентами данного оператора  по  переводу денежных средств. Оператор по переводу  денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением   требований к обеспечению защиты информации при   осуществлении переводов денежных средств, выявленных банковскими платежными агентами (субагентами) Требование  
категории проверки 3
П.106.2     2.13.4 Оператор по переводу денежных средств, оператор услуг  платежной инфраструктуры определяют во внутренних   документах порядок регистрации и хранения сведений об инцидентах, указанных в абзацах первом - третьем подпункта 2.13.4 пункта 2.13 настоящего Положения Требование  категории проверки 2

строку П.109 изложить в следующей редакции:

П.109 2.14.3 Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают выполнение порядка обеспечения защиты информации при осуществлении переводов денежных средств Требование категории проверки 3

после строки П.113 дополнить строками П.113.1, П.113.2 следующего содержания:

П.113.1 2.15.2 Организация, ставшая оператором по переводу денежных  средств, оператором платежной системы, оператором   услуг платежной  инфраструктуры, должна провести  первую оценку соответствия в течение шести месяцев  после получения соответствующего статуса Требование категории проверки 3
П.113.2 2.15.3 Оператор по переводу денежных средств, оператор  платежной системы, оператор услуг платежной    инфраструктуры по результатам оценки соответствия  в  целях ее документального подтверждения формируют  отчет,  который утверждается исполнительными  органами  управления  и хранится в порядке, установленном соответствующим оператором. Отчет включает  сведения  о  проведении  оценки соответствия, в том числе:
  • заполненную  форму  1, установленную приложением 1 к  настоящему  Положению и содержащую оценки  выполнения  требований к обеспечению защиты информации при осуществлении переводов денежных средств;
  • заполненную форму 2, установленную приложением 1 к  настоящему Положению и содержащую оценки  выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
  • сроки проведения оценки соответствия;
  • сведения о сторонней организации наименование и   местонахождение) в случае ее привлечения оператором по переводу денежных средств, оператором платежной системы, оператором   услуг платежной инфраструктуры  для проведения оценки соответствия
Требование категории проверки 2

2. Настоящее Указание в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 24 апреля 2013 года N 8) вступает в силу со дня его официального опубликования в "Вестнике Банка России", за исключением подпункта 1.3 и абзацев второго, третьего и четвертого подпункта 1.6 пункта 1 настоящего Указания.

Подпункт 1.3 и абзацы второй, третий и четвертый подпункта 1.6 пункта 1 настоящего Указания вступают в силу по истечении 180 дней после дня его официального опубликования в "Вестнике Банка России".

3. Организация, являющаяся на день вступления в силу настоящего Указания оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев со дня вступления в силу настоящего Указания.

 

Председатель Центрального банка

Российской Федерации

С.М.ИГНАТЬЕВ

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2018 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex