к договору об обмене электронными
сообщениями при переводе денежных
средств в рамках платежной
системы Банка России
--------------------------------
<63> Приложение включается в Договор с Клиентом - пользователем СПФС.
1. Клиент в части требований к защите информации при обмене ЭС через СПФС обеспечивает выполнение следующих требований.
1.1. Общие требования к обеспечению защиты информации.
информации, содержащейся в ФС;
ключей КА (ЭП) и ключей шифрования, используемых при обмене ЭС;
информации об объектах информационной инфраструктуры, а также информации о конфигурации, определяющей параметры работы технических средств защиты информации;
информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, содержащейся в ФС.
1.2. Требования к организационному и документационному обеспечению защиты информации.
1.2.1. Для защиты информации при осуществлении доступа к объектам информационной инфраструктуры Клиент должен обеспечивать доступ к АРМ обмена только из сегмента локальной вычислительной сети, в котором расположен АРМ обмена с СПФС (далее - участок обмена с СПФС).
1.2.2. В целях фиксации решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации и обеспечения применения указанных мер Клиентом должны быть разработаны документы в соответствии с перечнем процедур, регламентируемых в целях обеспечения информационной безопасности (пункт 2 настоящего приложения). Документы, регламентирующие процедуры по информационной безопасности, должны быть согласованы со службой информационной безопасности Клиента.
1.2.3. Документы, указанные в пункте 1.2.2 настоящего приложения, должны определять порядок обеспечения защиты информации и предусматривать меры по обеспечению защиты информации на всех стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации объектов информационной инфраструктуры участка обмена с СПФС.
1.2.4. Клиент должен обеспечивать выполнение требований эксплуатационной документации на системы защиты информации от несанкционированного доступа (далее - СЗИ от НСД), СКЗИ, средства защиты от воздействий вредоносного кода (далее - СЗ от ВВК) в течение всего срока их эксплуатации, в том числе при установке и настройке, а также обеспечить восстановление указанных технических средств защиты информации в случаях сбоев и (или) отказов в их работе.
1.3. Требования к защите информации при физическом доступе к участку обмена с СПФС.
1.3.1. Клиент осуществляет контроль физического доступа к объектам информационной инфраструктуры в целях предотвращения физического воздействия на средства вычислительной техники, применяемые для формирования, обработки, контроля и передачи ЭС, с использованием организационных мер или технических средств контроля и управления доступом в помещения, в которых формируются, обрабатываются, контролируются и передаются (принимаются) ЭС (далее - помещения).
1.3.2. Физический доступ в помещения должен предоставляться только тем работникам Клиента, которые указаны в списке доступа в данные помещения.
1.3.3. Помещения должны быть оборудованы охранной сигнализацией, сдаваться под охрану и располагаться в зоне действия системы видеонаблюдения и контроля доступа.
1.3.4. Срок хранения информации систем видеонаблюдения и контроля доступа), предусмотренных пунктом 1.3.3 настоящего приложения, должен составлять не менее трех лет.
1.4. Требования к защите информации при логическом доступе к участку обмена с СПФС.
1.4.1. Процедуры идентификации, аутентификации и авторизации при логическом доступе работников Клиента к участку обмена с СПФС должны осуществляться с использованием персонифицированных уникальных учетных записей в соответствии с действующим перечнем субъектов доступа, которым предоставлен логический доступ к участку обмена с СПФС.
1.4.2. В целях регистрации действий при осуществлении логического доступа работников к участку обмена с СПФС и действий, связанных с назначением и распределением прав логического доступа, а также обеспечения хранения указанной информации должно быть обеспечено ведение следующих электронных журналов:
журналов логического доступа к информационным ресурсам СПФС (далее - журналы логического доступа);
журналов операций, выполненных при осуществлении логического доступа к информационным ресурсам СПФС (далее - журналы операций);
журналов средств защиты информации.
Сроки хранения журналов логического доступа, журналов операций и журналов средств защиты информации должны составлять не менее трех лет.
1.4.3. В целях защиты информации от несанкционированного доступа журналы логического доступа и журналы операций должны быть доступны работникам службы информационной безопасности Клиента и работникам, осуществляющим обслуживание объектов информационной инфраструктуры на участке обмена с СПФС. Журналы средств защиты информации должны быть доступны только работникам службы информационной безопасности Клиента. Внесение исправлений в журналы операций не допускается.
1.5. Требования к использованию технологических мер защиты информации.
1.5.1. Функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена или с использованием специальной компоненты АС Клиента.
1.5.2. Для защиты ЭС от искажения, фальсификации, переадресации, несанкционированного ознакомления, уничтожения и ложной авторизации программным обеспечением АРМ обмена или специальной компоненты АС Клиента должны выполняться только функции, предусмотренные пунктом 1.5.1 настоящего приложения.
1.5.3. Контроль (мониторинг) соблюдения установленной технологии при подготовке, обработке, передаче и хранении ЭС осуществляется Клиентом путем регистрации всех операций в технологических процессах, осуществляемых на участке обмена с СПФС, в которых осуществляется взаимодействие работников с объектами информационной инфраструктуры.
1.5.4. В целях обеспечения возможности восстановления информации в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники, а также обеспечения сверки выходных ЭС с соответствующими входными и обработанными ЭС Клиент должен хранить все входящие и исходящие ЭС. Сроки хранения входящих и исходящих ЭС должны составлять не менее пяти лет.
1.6. Требования к контролю программного обеспечения, установленного и (или) используемого на средствах вычислительной техники участка обмена с СПФС.
1.6.1. В целях контроля несанкционированного внесения изменений в состав установленного и (или) используемого на средствах вычислительной техники участка обмена с СПФС программного обеспечения должен осуществляться контроль целостности программного обеспечения АРМ обмена при каждом включении.
1.6.2. В целях учета и контроля состава программного обеспечения, установленного и (или) используемого на средствах вычислительной техники участка обмена с СПФС, Клиент должен вести актуальный перечень указанного программного обеспечения.
1.7. Требования к защите информации от воздействий вредоносного кода на участке обмена с СПФС.
1.7.1. На участке обмена с СПФС Клиент должен использовать СЗ от ВВК различных производителей и обеспечивать их раздельную установку на персональных электронных вычислительных машинах и серверах.
1.7.2. Клиент должен проводить предварительную проверку программного обеспечения и средств вычислительной техники на отсутствие вредоносного кода перед их включением в участок обмена с СПФС.
1.7.3. В целях информирования пользователей СПФС об обнаружении вредоносного кода или факта воздействия вредоносного кода Клиент должен вести статистику событий, связанных с воздействиями вредоносного кода на участке обмена с СПФС.
1.7.4. Сроки хранения данных о событиях, связанных с воздействиями вредоносного кода на участке обмена с СПФС и их анализе, должны составлять не менее трех лет.
1.8. Требования по применению СКЗИ на участке обмена с СПФС.
1.8.1. В целях предотвращения несанкционированного использования криптографических ключей при организации работы с криптографическими ключами Клиентом должно обеспечиваться выполнение следующих требований:
исключение возможности доступа неуполномоченных лиц к криптографическим ключам;
использование носителей с рабочей копией криптографического ключа при работе с СКЗИ;
использование хранилищ (металлические шкафы, сейфы) для хранения носителей с криптографическими ключами по окончании рабочего дня, а также вне времени работы с СКЗИ (допускается хранение носителей с криптографическими ключами в хранилище вместе с иными документами при условии помещения носителей с криптографическими ключами в отдельный опечатываемый контейнер);
информирование Банка в случае возникновения или подозрения на возникновение события, определяемого владельцем ключа КА (ЭП), ключа шифрования как ознакомление неуполномоченного лица (лиц) его криптографическим ключом, и инициирование действий по внеплановой смене криптографического ключа в порядке, установленном в приложении 4 к Договору;
исключение возможности выполнения следующих действий:
изготовления несанкционированных копий с носителей криптографических ключей;
ознакомления с содержанием носителей криптографических ключей или передача носителей криптографических ключей лицам, не имеющим прав доступа к носителям криптографических ключей;
вывода криптографических ключей на дисплей электронной вычислительной машины (далее - ЭВМ) или устройства вывода (печати) текстовой или графической информации;
установки носителей криптографических ключей в считывающее устройство ЭВМ, на которой осуществляется функционирование СКЗИ в нештатных режимах, а также на другие ЭВМ, не предназначенные для работы в соответствии с настоящим Договором;
записи на носители криптографических ключей любой информации, за исключением криптографического ключа.
1.8.2. В целях обеспечения безопасности процессов изготовления криптографических ключей при выходе из строя носителя с рабочей копией криптографического ключа необходимо с использованием программного обеспечения СКЗИ изготовить новый носитель с рабочей копией криптографического ключа на основе носителя, содержащего оригинал криптографического ключа.
1.9. Требования к повышению осведомленности работников в области обеспечения защиты информации.
1.9.1. В целях обеспечения повышения осведомленности работников в области обеспечения защиты информации Клиент должен проводить и документально фиксировать обучение работников по вопросам обеспечения информационной безопасности на участке обмена с СПФС с привлечением службы информационной безопасности Клиента.
1.9.2. Клиентом должны быть назначены лица, ответственные за разработку, реализацию планов и программ обучения по вопросам информационной безопасности на участке обмена с СПФС.
1.10. Требования к информированию Банка о выявленных инцидентах и хранению информации об инцидентах.
1.10.1. Клиент информирует Банк о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации на участке обмена с СПФС (далее - инциденты), а также о подозрениях, о возникновении или о возможности возникновения инцидентов на участке обмена с СПФС. Информирование осуществляется Клиентом в произвольной форме путем направления сообщения на электронный адрес fincert@cbr.ru либо путем инициирования запроса о передаче данных сведений с применением мер и средств защиты информации не позднее трех часов после выявления инцидента.
1.10.2. В целях анализа обеспечения защиты информации при осуществлении обмена ЭС Клиент должен документально фиксировать всю информацию об инцидентах, включая результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации негативных последствий инцидентов и иную информацию, связанную с инцидентами.
1.10.3. Срок хранения информации об инцидентах должен составлять не менее трех лет с даты возникновения инцидента.
1.11. Требования к обеспечению восстановления функционирования технических средств на участке обмена с СПФС в случаях сбоев и (или) отказов в их работе.
1.11.1. Клиент должен разработать и утвердить план ОНиВД, согласованный со службой информационной безопасности Клиента и предусматривающий мероприятия по восстановлению функционирования технических средств защиты информации и объектов информационной инфраструктуры на участке обмена с СПФС в случаях сбоев и (или) отказов в их работе.
1.11.2. Клиентом должны быть назначены работники, ответственные за функционирование технических средств защиты информации на участке обмена с СПФС, в том числе за ОНиВД.
1.12. Требования по контролю выполнения требований к защите информации.
1.12.1. В целях обеспечения проведения оценки требований к обеспечению защиты информации при обмене ЭС Клиент должен проводить и документально подтверждать проведение контроля выполнения требований к защите информации (далее - контроль ТЗИ), установленных настоящим Договором. Контроль ТЗИ и его анализ должен проводиться Клиентом не реже одного раза в квартал.
1.12.2. Срок хранения информации о результатах проведения контроля ТЗИ и решениях, принятых по результатам указанного контроля, должен составлять не менее трех лет с даты проведения контроля ТЗИ.
2. Клиент в целях обеспечения информационной безопасности при обмене ЭС выполняет следующие регламентированные процедуры.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей