382 п 2018

  • автор:

Центральный банк традиционно является революционером в области кибербезопасности в России. То он вводит национальный стандарт (ГОСТ) как обязательный. То требует обязательного информирования об инцидентах ИБ. То создает ФинЦЕРТ, первый государственный и работающий центр сбора информации об инцидентах. И вот новая революция, а точнее две, пришедшие с новым Указанием 4793-У, которое спустя год после опубликования проекта, вносит долгожданные, но местами неприятные, изменения в 382-П, потребующие серьезного передела, как внутренней системы ИБ финансовых организаций, так и всего рынка ИБ России. Но обо всем по порядку.


Начну с более приземленной и практичной, но совершенно не раскрытой темы — уведомления об инцидентах ИБ. Лично я ждал, что ЦБ все-таки потребует от участников НПС (а 382-П распространяется именно на них) уведомления об инцидентах по форме, используемой в 552-П, то есть в течение 3-х часов с момента наступления инцидента. Но увы… ЦБ не смог ни определить перечень инцидентов, сославшись на то, что это будет сделано в виде отдельного документа, размещаемого на сайте ЦБ, ни определить порядок уведомления, также сославшись на то, что порядок и форма уведомления должны быть согласованы с ФСБ, курирующей ГосСОПКУ. Как мне кажется, это (а также сроки принятия новой редакции — больше года) связано с тем, что ФСБ в лице 8-го Центра и НКЦКИ до сих не смогли утвердить ни одного документа по ГосСОПКЕ в рамках 187-ФЗ. Ждать больше ЦБ не захотел или не смог, поэтому принял документ в этой части в абсолютно размытой и неконкретной формулировке, которая еще даст о себе знать.
Например, мне непонятен статус перечня инцидентов, о которых надо уведомлять ФинЦЕРТ, и который, после согласования с ФСБ, должен быть размещен на сайте ЦБ. Понятно, что это будет некая выжимка из недавно согласованного, но еще не принятого в окончательной редакции СТО 1.5. Но насколько этот документ будет обязательным? Предвижу вопросы от банковских юристов, которые начнут бомбить регулятора запросами, а то и вовсе манкировать своими обязанностями (до первых проверок). Так и не дождавшись от ФСБ согласования карточки инцидента, протоколов обмена данными о них, сроков и порядка, ЦБ отделался отпиской, что все это будет согласовано и также размещено на сайте ЦБ. А каков статус этого документа будет? Будет новое Указание? Или?.. В целом это же было написано и год назад (хочется надеяться, что данные об инцидентах ГосСОПКА будет раздавать более оперативно), но я обратил внимание, что с ГосСОПКОЙ надо будет согласовать не только порядок уведомления об инцидентах, но и порядок размещения информации о них в СМИ, в пресс-релизах, в пресс-конференциях и т.п. Вот захотите вы сообщить своим клиентам о хищении средств с их счетов, а вдруг ФСБ раз и запретит?.. Низзззя! Национальная безопасность пострадать может.
Прикладное ПО, используемое для переводя денежных средств, требует либо сертификации ФСТЭК, либо анализа уязвимостей по ОУД4 с помощью лицензиата ФСТЭК. Это классный пункт — он позволит поднять уровень защищенности ПО и заставит разработчиков повышать свои компетенции в этом вопросе, внедряя SDLC. Но есть и нюансы (куда же без них). Во-первых, испытательные лаборатории ФСТЭК не обладают должными компетенциями в этом вопросе, преимущественно занимаясь сертификацией средств защиты информации. Да, они будут рады новому рынку, но пока вся процедура утрясется, немало воды утечет. Тем более, что непонятно как к этому относится ФСТЭК и на соответствие каким требованиям должна проводиться сертификация (НДВ скоро отомрет, а разрабатывать РД для АБС никто пока не планировал)? Более того, у ФСТЭК наметился уход от концепции «Общих критериев» и как проводить оценку по ОУД4 скоро будет совсем непонятно. Также непонятно, что включается в понятие «прикладное ПО»? Регулятор утверждал неоднократно, что речь идет о ПО, которое непосредственно участвует в переводе денежных средств, то есть об АБС, клиент-банке, мобильном банкинге, процессинге, ДБО, интернет-банкинге и т.п. Надеюсь, браузеры и офис не потребуется сертифицировать…

Требование разделения контуров у клиент-банка (одним ПК у бухгалтера теперь не обойтись) было предсказуемым и подробно на нем я останавливаться не буду — подход ЦБ не поменялся. К счастью, так как это потребует переделки клиентской части АБС и усилий разработчиков финансового софта, возможна компенсирующая мера в виде введения ограничений по операциям (по суммам перевода, по временным периодам, по географии, по идентификаторам устройств и т.п.).
Вторым революционным изменением (после сертификации прикладного ПО) стало другое, которое имеет далеко идущие последствия для всего рынка и даже, не побоюсь этого, для всей цифровой экономики, как бы не смешно звучало это словосочетание в наших условиях. Речь идет о поголовном переходе всех финансовых организаций на российскую криптографию!!! Да-да, именно так. Мне можно возразить, что в 4793-У написано только про значимые платежные системы (кстати, в проекте упоминались национально значимые ПС), но давайте посмотрим на перечень таких систем. Там есть, как минимум, Сбербанк, Visa, Master Card и НСПК. Достаточно? Все банкоматы и POS-терминалы, все ДБО, позволяющие пополнять карточные счета, должны будут перейти на российскую криптографию. Пункт о том, что в остальных случаях можно применять СКЗИ иностранного производства в таком варианте звучит как издевка. Учитывая, что с 2011-го года, когда начался писаться первый вариант 382-П, эту формулировку не удавалось протоклнуть через ФСБ, а сейчас это удалось, мне кажется это сделано осознанно. Ситуаций, когда можно будет обойти компоненты инфраструктуры значимых платежных систем, практически нет. Кстати, требования от международных платежных систем перейти на российскую криптографию, не значит ли перевода и платежных карт Visa и MC на нее?
На этом фоне не так уж и значительно выглядит требования о применении 378-го приказа ФСБ при защите персональных данных с помощью СКЗИ. То есть, если вы для защиты ПДн хотите использовать СКЗИ, то будьте добры делать это с помощью сертифицированных решений. Но как мы помним, обеспечивать конфиденциальность ПДн можно и другими способами — выбор остается за вами.
ОБНОВЛЕНИЕ
Описанная в новом нормативном акте формулировка достаточно сложна и может трактоваться также как и возможность использования отечественных HSM и иных СКЗИ с поддержкой западной криптографии (например, Инфотекс вместа Thales). Да, такое возможно и более того, эту версию пару раз озвучивали представители ФСБ, сетуя на то, что банки не используют отечественные СКЗИ в своих платежных процессах. Банки же возражали, что для использования отечественного HSM (не важно, какую криптографию поддерживающую) в банкоматах или процессинге, необходимо сертифицировать их по требованиям тех же международных платежных систем. А это, как мне кажется (особенно в текущих геополитических условиях), будет крайне затруднительно. Так что мы имеем две равнозначных ситуации — переход НПС на отечественную криптографию или сертификация отечественных СКЗИ в международных НПС. Посмотрим, какой вариант выиграет…

КОНЕЦ ОБНОВЛЕНИЯ
В обоих случаях (отечественная криптография для защиты денежных переводов и ПДн) неотвеченным остается вопрос квантовых атак, но я им уже задавался и ответа на него пока не слышал/не видел. С практической же точки зрения я хотел бы обратить внимание на существенные финансовые обременения (глава НСПК на прошлогодней конференции Payment Security в Питере называл цифру в миллиарды долларов только для одной НСПК), связанные с внедрением российской криптографии, а также определенные технические сложности, которые я предвижу в этом процессе. Ведь переход на ГОСТы произойдет не одномоментно и будут ситуации, когда какие-то системы будут работать на российской криптографии, а какие-то на международной. То есть придется дублировать системы управления ключевой информацией, HSMы, ПО на картах и POS-терминалах и т.п. Вопрос стабильности работы двух параллельных СКЗИ еще предстоит анализировать. Но простым он точно не будет. Тут дело даже не в криптографии как таковой, а в ее практической реализации, внедрении и поддержке.
Прошлой весной, когда появился проект новой редакции 382-П, срок его введения был установлен на 1 июля 2018-го года. То есть давался примерно год на реализацию многих защитных мер. В текущей редакции, зарегистрированной Минюстом, 22 июня, срок остался… тем же — 1 июля 2018 года. Учитывая, что главки ЦБ стали рассылать 4793-У только 27-го июня, оставалось всего 2 рабочих дня на его реализацию 🙁 Два рабочих дня!!! Но есть и исключения:

  1. Требование по сертификации прикладного ПО или оценке уязвимостей по ОУД4 вступает в силу с 1-го января 2020 года (а вот пентесты и анализ уязвимостей объектов информационной инфраструктуры с 1-го июля 2018-го). У некоторых главков ЦБ есть мнение, что это не так и сертификация должна быть реализована с 1-го июля, но это не так. Достаточно посмотреть методические рекомендации по юридико-техническому оформлению законопроектов, в котором написано, как и откуда считается нумерация абзацев.
  2. Требование разделения контуров вступает в силу с 1-го января 2020-го года.
  3. Требование применения в значимых платежных системах HSM на базе иностранных криптографических алгоритмов, согласованных ФСБ, и вообще иностранных СКЗИ (с учетом оговорок выше) вступает в силу с 1-го января 2024-го года.
  4. Требование применения в значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ, вступает в силу с 1-го января 2031-го года.
  5. Требование применения в значимы платежных системах СКЗИ на базе иностранных криптоалгоритмов и ГОСТов по криптографии (исключая HSM), подтвержденных ФСБ, вступает в силу с 1-го января 2031-го года.
  6. Требование применения в национально значимых платежных системах HSM на базе иностранных криптоалгоритмов и ГОСТов по криптографии, подтвержденных ФСБ, в соответствие с 3342-У про требования к ИТ в национально значимых платежных системах.

А что же надо делать со следующей недели? А вот что:

  • Анализ уязвимостей и пентесты информационной инфраструктуры (обойти это требование нельзя). Это лицензируемый вид деятельности.
  • Применение 378-го приказа ФСБ, если вы для защиты ПДн хотите использовать СКЗИ (можно творчески подойти, как я описывал ранее)
  • Информировать об инцидентах ГосСОПКУ и ФинЦЕРТ (но после того, как ФСБ разродится своими приказами).
  • Отказ ЦБ от самооценки и переход на аудит с помощью лицензиатов ФСТЭК был ожидаемым и он вступает в силу с 1-го июля.

Документ хоть и короткий, но емкий — большинство пунктов отнесены на перспективу от 1,5 до 13 лет, что дает определенную свободу маневра, но требует и более серьезной проработки стратегии выполнения этих недешевых требований регулятора за это десятилетие, включая и оценку будущих угроз и изменения ИТ-ландшафта, которые тоже надо учитывать.

1. Ha основании части 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ «О национальной платежной системе» (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2012, N 53, ст. 7592; 2013, N 27, ст. 3477; N 30, ст. 4084; N 52, ст. 6968; 2014, N 19, ст. 2315, ст. 2317; N 43, ст. 5803; 2015, N 1, ст. 8, ст. 14; 2016, N 27, ст. 4221, ст. 4223; 2017, N 15, ст. 2134; N 18, ст. 2665; N 30, ст. 4456) внести в Положение Банка России от 9 июня 2012 года N 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», зарегистрированное Министерством юстиции Российской Федерации 14 июня 2012 года N 24575, 1 июля 2013 года N 28930, 10 сентября 2014 года N 34017, следующие изменения.

1.1. В пункте 2.2:

абзац шестнадцатый изложить в следующей редакции:

«Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, должен относить события, которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента, неоказанию услуг по переводу денежных средств, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети Интернет (далее — перечень типов инцидентов).»;

абзацы семнадцатый — девятнадцатый признать утратившими силу.

1.2. Пункт 2.5 дополнить подпунктом 2.5.5.1 следующего содержания:

«2.5.5.1. Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадиях создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить:

использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2014) (далее — ГОСТ Р ИСО/МЭК 15408-3-2013);

ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений оператору по переводу денежных средств, оператору услуг платежной инфраструктуры следует привлекать организацию, имеющую лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (Собрание законодательства Российской Федерации, 2012, № 7, ст. 863; 2016, № 26, ст. 4049) (далее — постановление Правительства Российской Федерации N 79).

При модернизации объектов информационной инфраструктуры по решению оператора по переводу денежных средств, оператора услуг платежной инфраструктуры проводится анализ уязвимостей только объектов информационной инфраструктуры, подвергнутых модернизации.».

1.3. Подпункт 2.8.3 пункта 2.8 изложить в следующей редакции:

«2.8.3. Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, должен установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга, в том числе указанные в подпункте 2.10.7 пункта 2.10 настоящего Положения.».

1.4. Абзац первый подпункта 2.9.1 пункта 2.9 изложить в следующей редакции:

«2.9.1. Обеспечение защиты информации с помощью СКЗИ осуществляется в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; № 27, ст. 3880; 2012, № 29, ст. 3988; 2013, N 14, ст. 1668; N 27, ст. 3463, ст. 3477; 2014, N 11, ст. 1098; N 26, ст. 3390; 2016, N 1, ст. 65; N 26, ст. 3889), Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66, зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350 (далее — Положение ПКЗ-2005), и технической документацией на СКЗИ.

Обеспечение защиты персональных данных с помощью СКЗИ осуществляется в соответствии с приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года N 33620.».

1.5. Пункт 2.10 дополнить подпунктами 2.10.5-2.10.7 следующего содержания:

«2.10.5. При осуществлении переводов денежных средств с использованием сети Интернет и размещении программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, оператору по переводу денежных средств необходимо обеспечить реализацию технологических мер по использованию раздельных информационно-коммуникационных технологий для подготовки электронных сообщений, содержащих распоряжения клиента на перевод денежных средств, и передачи клиентами подтверждений об исполнении распоряжений на перевод денежных средств (далее — технологические меры по использованию раздельных технологий) и (или) реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемые договором оператора по переводу денежных средств с клиентом, а также обеспечить возможность установления указанных ограничений по инициативе клиента.

2.10.6. Реализуемые оператором по переводу денежных средств технологические меры по использованию раздельных технологий должны обеспечивать:

идентификацию и аутентификацию клиента при подготовке клиентом и при подтверждении клиентом электронных сообщений в соответствии с требованиями законодательства Российской Федерации;

возможность использования клиентом независимых программных сред для подготовки и подтверждения электронных сообщений;

возможность контроля клиентом реквизитов распоряжений о переводе денежных средств при подготовке электронных сообщений (пакета электронных сообщений) и их подтверждении;

аутентификацию входных электронных сообщений (пакета электронных сообщений) путем использования и сравнения (сверки) аутентификационных данных, сформированных на основе информации о реквизитах распоряжений о переводе денежных средств при подготовке клиентом электронных сообщений (пакета электронных сообщений) и подтверждении клиентом электронных сообщений;

удостоверение оператором по переводу денежных средств в праве клиента распоряжаться денежными средствами только в случае положительных результатов аутентификации входных электронных сообщений (пакета электронных сообщений).

В зависимости от параметров и статистики выполняемых операций, связанных с осуществлением переводов денежных средств, количества и характера выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, реализуемые технологические меры по использованию раздельных технологий могут дополнительно обеспечивать:

возможность выполнения подтверждения клиентом электронных сообщений вне операционной системы, используемой для подготовки электронных сообщений;

установление временных ограничений на выполнение клиентом подтверждения электронных сообщений.

2.10.7. При реализации ограничений по параметрам операций по осуществлению переводов денежных средств могут применяться следующие ограничения:

на максимальную сумму перевода денежных средств за одну операцию и (или) за определенный период времени;

на перечень возможных получателей денежных средств;

на временной период, в который могут быть совершены переводы денежных средств;

на географическое местоположение устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений;

на перечень идентификаторов устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений;

на перечень предоставляемых услуг, связанных с осуществлением переводов денежных средств.

Оператор по переводу денежных средств может применить иные ограничения по параметрам операций по осуществлению переводов денежных средств.».

1.6. Дополнить пунктом 2.13.1 следующего содержания:

«2.13.1 Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры должны осуществлять информирование Банка России:

о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе включенных в перечень типов инцидентов;

о планируемых мероприятиях по раскрытию информации об инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, включая размещение информации на официальных сайтах в сети Интернет, выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до проведения мероприятия.

Информирование осуществляется в форме предоставления оператором по переводу денежных средств, оператором услуг платежной инфраструктуры в Банк России сведений, указанных в абзацах втором и третьем настоящего пункта. Информация о форме и сроке предоставления указанных сведений подлежит согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации согласно части 6 статьи 5 Федерального закона от 26 июля 2017 года N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736), и размещается на официальном сайте Банка России в сети «Интернет».».

1.7. Абзац шестой подпункта 2.15.1 пункта 2.15 изложить в следующей редакции:

«Оценка соответствия должна осуществляться оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации N 79.».

1.8. Подпункт 2.16.1 пункта 2.16 дополнить абзацем следующего содержания:

«Оператору национально значимой платежной системы следует уведомлять федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, об установленных требованиях к содержанию, форме и периодичности представления указанной в абзаце первом настоящего подпункта информации в части применения СКЗИ.».

1.9. Главу 2 дополнить пунктом 2.20 следующего содержания:

«2.20. Оператору значимой платежной системы в соответствии с правилами платежной системы необходимо обеспечить использование:

в аппаратных модулях безопасности информационной инфраструктуры платежной системы СКЗИ, реализующих криптографические алгоритмы, не определенные национальными стандартами Российской Федерации (далее — иностранные криптографические алгоритмы), имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

в аппаратных модулях безопасности информационной инфраструктуры платежной системы СКЗИ, реализующих иностранные криптографические алгоритмы и криптографические алгоритмы, определенные национальными стандартами Российской Федерации (далее — криптографические алгоритмы Российской Федерации), имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

СКЗИ, реализующих иностранные криптографические алгоритмы и криптографические алгоритмы Российской Федерации, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, в иных технических средствах информационной инфраструктуры платежной системы, используемых при осуществлении переводов денежных средств, типы которых определяются Банком России по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности.

В целях обеспечения надежности и бесперебойности функционирования информационной инфраструктуры платежной системы и ее устойчивости от внешних воздействий оператору национально значимой платежной системы в правилах платежной системы следует определять долю технических средств информационной инфраструктуры национально значимой платежной системы, в которых обеспечивается использование СКЗИ, указанных в абзаце четвертом настоящего пункта, на основании требований, устанавливаемых Указанием Банка России от 25 июля 2014 года N 3342-У «О требованиях к информационным технологиям, используемым операторами услуг платежной информационной инфраструктуры, для целей признания платежной системы национально значимой платежной системой», зарегистрированным Министерством юстиции Российской Федерации 9 октября 2014 года N 34269.

Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры вправе применять для обеспечения защиты информации при осуществлении переводов денежных средств СКЗИ иностранного производства в части, не противоречащей требованиям настоящего пункта.

Разработка и эксплуатация СКЗИ, указанных в абзацах втором — четвертом настоящего пункта, должны проводиться в соответствии с Положением ПКЗ-2005.».

1.10. В приложении 2:

после строки П. 14 дополнить строками П. 14.1 и П. 14.2 следующего содержания:

«

П. 14.1 2.5.5.1 Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадии создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013 Требование категории проверки 3
П. 14.2 2.5.5.1 Оператору по переводу денежных средств, оператору услуг платежной инфраструктуры на стадии создания и эксплуатации объектов информационной инфраструктуры необходимо обеспечить проведение ежегодного тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры Требование категории проверки 3

«;

строку П. 57.4 изложить в следующей редакции:

«

П. 57.4 2.8.3 Оператору по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, необходимо установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга, в том числе указанные в подпункте 2.10.7 пункта 2.10 настоящего Положения Требование категории проверки 1

«;

строку П. 58 изложить в следующей редакции:

«

П. 58 2.9.1 Обеспечение защиты информации с помощью СКЗИ осуществляется в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ «Об электронной подписи», Положением ПКЗ-2005 и технической документацией на СКЗИ. Обеспечение защиты персональных данных с помощью СКЗИ осуществляется в соответствии с приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» Требование категории проверки 3

«;

после строки П. 81 дополнить строками П. 81.1 и П. 81.2 следующего содержания:

«

П. 81.1 2.10.5 При осуществлении переводов денежных средств с использованием сети Интернет и (или) размещении программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, оператору по переводу денежных средств необходимо обеспечить реализацию технологических мер по использованию раздельных технологий и (или) реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемых договором оператора по переводу денежных средств с клиентом, а также обеспечить возможность установления указанных ограничений по инициативе клиента Требование категории проверки 1
П. 81.2 2.10.6 Реализуемые оператором по переводу денежных средств технологические меры по использованию раздельных технологий должны обеспечивать: идентификацию и аутентификацию клиента при подготовке клиентом и при подтверждении клиентом электронных сообщений; возможность использования клиентом независимых программных сред для подготовки и подтверждения электронных сообщений; возможность контроля клиентом реквизитов распоряжений о переводе денежных средств при подготовке электронных сообщений (пакета электронных сообщений) и их подтверждении; аутентификацию входных электронных сообщений (пакета электронных сообщений) путем использования и сравнения (сверки) аутентификационных данных, сформированных на основе информации о реквизитах распоряжений о переводе денежных средств при подготовке клиентом электронных сообщений (пакета электронных сообщений) и подтверждении клиентом электронных сообщений; удостоверение оператором по переводу денежных средств распоряжений о переводе денежных средств только в случае положительных результатов аутентификации входных электронных сообщений (пакета электронных сообщений) Требование категории проверки 1

«;

после строки П. 115 дополнить строкой П. 115.1 следующего содержания:

«

П.115.1 2.16.1 Оператору национально значимой платежной системы следует уведомлять федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, об установленных требованиях к содержанию, форме и периодичности представления указанной в абзаце первом подпункта 2.16.1 пункта 2.16 настоящего Положения информации в части применения СКЗИ Требование категории проверки 3

«.

2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решениями Совета директоров Банка России (протоколы заседаний Совета директоров Банка России от 27 октября 2017 года N 28 и от 27 апреля 2018 года N 15) вступает в силу с 1 июля 2018 года, за исключением абзаца третьего подпункта 1.2, подпункта 1.5 и абзацев первого — седьмого подпункта 1.9 пункта 1 настоящего Указания.

Абзац третий подпункта 1.2 и подпункт 1.5 пункта 1 настоящего Указания вступают в силу с 1 января 2020 года.

Абзацы первый — третий и седьмой подпункта 1.9 пункта 1 настоящего Указания вступают в силу с 1 января 2024 года.

Абзацы четвертый — шестой подпункта 1.9 пункта 1 настоящего Указания вступают в силу с 1 января 2031 года.

Председатель
Центрального банка
Российской Федерации
Э.С. Набиуллина

СОГЛАСОВАНО

Директор
Федеральной службы безопасности
Российской Федерации
А.В. Бортников
Директор
Федеральной службы
по техническому и экспортному контролю
В.В. Селин

Зарегистрировано в Минюсте РФ 22 июня 2018 г.

Регистрационный № 51411

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *